Gamigo: Über acht Millionen Zugangsdaten in Umlauf

Bild von ScareYa
ScareYa 494 EXP - 10 Kommunikator,R2,S2
Vielspieler: Hat 250 Spiele in seine Sammlung eingetragenVorbild: Hat mindestens 100 Kudos erhaltenSammler: Hat mindestens 50 Spiele in seiner SammlungProfiler: Hat sein Profil komplett ausgefüllt

26. Juli 2012 - 8:02 — vor 4 Jahren zuletzt aktualisiert

Anfang März dieses Jahres wurde ein Hackerangriff auf Gamigos Datenbanken bekannt (wir berichteten). Gamigo ließ nach diesem Vorfall mitteilen, dass keine Spieldaten verloren gegangen seien. Um möglichen Missbräuchen mit gestohlenen Daten vorzubeugen, setzte das Unternehmen sämtliche User-Passwörter zurück.

Wie das Forbes Magazine nun berichtet, waren vom Hackerangriff mehr als acht Millionen Accounts betroffen. Neben Usernamen sind auch die E-Mail-Adresse und die verschlüsselten Passwörter der betroffenen Konten gestohlen worden. Das Startup PwnedList, das sich der Überwachung von Accountdiebstählen verschrieben hat, berichtet, dass die gestohlenen Daten unterdessen im Netz aufgetaucht seien. Darüber hinaus sei es wohl binnen einer halben Stunde gelungen, mehr als 94% der offenbar relativ einfach verschlüsselten Passwörter im Klartext auszulesen.

Nachdem Gamigo rasch die Änderung der Kundenpasswörter ausgelöst hat, sollte damit eigentlich keine Gefahr mehr bestehen. Erfahrungsgemäß nutzen viele Menschen aber dasselbe oder zumindest ähnliche Passwörter auch für andere Zugänge. Gamigo hat laut PwnedList-Gründer Steve Thomas auf den Vorfall keinesfalls falsch reagiert. Das Einzige, was man Gamigo vorwerfen könnte, ist, die betroffenen Nutzer nicht über mögliche Folgen außerhalb von Gamigo aufgeklärt zu haben. Nachdem diese Daten offenbar jetzt im Umlauf sind, könnte die Zahl der "feindlicher Accountübernahmen" nämlich schnell ansteigen.

Daher sei an dieser Stelle nochmals allen Betroffenen geraten: Falls ihr einen Gamigo-Account im fraglichen Zeitraum genutzt habt (egal, ob aktiv oder ruhend), solltet ihr dringend auch die Passwörter von anderen Konten ändern, auf die ihr mit der gleichen E-Mail-Adresse und gegebenenfalls dem selben oder einem ähnlichen Kennwort zugreift. Ganz besonders betrifft das selbstverständlich Banking-Accounts, aber vielleicht auch euren Steam-Zugang, eure E-Mail-Accounts, Facebook, Twitter und vieles mehr.

Commander Z 10 Kommunikator - 363 - 26. Juli 2012 - 9:25 #

"Darüber hinaus sei es wohl binnen einer halben Stunde gelungen, mehr als 94% der offenbar relativ einfach verschlüsselten Passwörter im Klartext auszulesen."

OMG. Man müsste Firmen und ähnliches verpflichten starke Verschlüsselungen zu nutzen :/

Anonymous (unregistriert) 26. Juli 2012 - 10:05 #

Falsch. Die Idioten sollten Passwörter endlich hashen. Verschlüsseln ist idiotisch, da man hiermit Passwörter rekonstruieren kann statt nur vergleichen.

ogir 12 Trollwächter - 1184 - 26. Juli 2012 - 10:31 #

Blödsinn.

Ich möchte dich sehen wie du mein verschlüsseltes Kennwort ohne Kenntnis meines Schlüssels rekonstruierst.

Ein Hash generiert beim gleichen Wort und gleichem Algorithmus IMMER das gleiche Hash.

Daher salten gute Seiten auch ihre Passwörter, und hashen nicht nur einfach, sondern mehrfach.

Anonymous (unregistriert) 26. Juli 2012 - 11:29 #

Gute Argumentation. Verändern wir die einmal wie folgt:

Ich möchte Dich sehen, wie Du ohne etwas illegales zu tun an mein unverschlüsseltes Kenntwort gelangst. Merkste selbst, oder?

Wieso sollte man eine Technik verwenden, mit welcher man das Passwort wieder rekonstruieren kann, wenn man eine Einweglösung nutzen kann? Wer hashed wird wohl auch angemessen salten können …

Wäre ja nicht das erste mal das private keys und andere brisante Daten an die Öffentlichkeit gelangen.

ogir 12 Trollwächter - 1184 - 26. Juli 2012 - 13:06 #

Ich weiss nicht ob du Heise liest, aber da gab es heute nen tollen Artikel: Bei meetOne war es möglich über ne API die unverschlüsselten Passwörter der User auszulesen. Ganz legal, ohne zu hacken.

Private Key != Salt und Hash != Verschlüsselung.

Und in einer Datenbank macht es halt noch weniger sinn.

User gibt Passwort (PW) ein, das Passwort des Users wird aus der Datenbank gelesen und entschlüsselt, und dann mit dem eingegeben Passwort verglichen und danach selecte ich dann die UserID aus der Datenbank (man selected keine UserID vor dem Passwortabgleich, weil das sinnlose Ressourcenverschwendung wäre, vor allem wenn das Passwort nicht stimmt)?

Das sind dann pro Versuch 2 Queries.
Das macht doch garkeinen Sinn!

Beim Hash läuft das so: User gibt erstmalig sein PW ein, das PW wird gehasht und in der Datenbank gespeichert. Wenn sich der User dann wieder anmeldet wird das eingegebene PW wieder gehasht, und mit "select UserID from table where Name='Meier' and PW='Hash'" gelesen.

Eine Query. Wenn die kein Ergebnis liefert war das passwort falsch, ansonsten hast du gleich ne UserID.

Achso, und im Encrypting Beispiel: Natürlich könnte man auch vorher das eingegebene Passwort encrypten und dann ähnlich einem Hash vergleichen, aber hier ist das encrypten immernoch langsamer, und brächte gegenüber einem Hash auch sonst keine Vorteile.

Sgt. Nukem 15 Kenner - 3471 - 27. Juli 2012 - 8:45 #

Hmm... Du proklamierst doch die ganze Zeit das Salzen. Wie liest Du denn das User-Salz ohne Query aus der DB aus, um dann das Hash zu generieren...?!

Anonymous (unregistriert) 26. Juli 2012 - 22:29 #

pfeffern nicht vergessen!

ArcaJeth 12 Trollwächter - P - 1124 - 26. Juli 2012 - 12:27 #

Ich glaube hier heißt verschlüsseln = hashen. Denn wenn ich das richtig verstanden habe waren die Passwörter via MD5 gehasht und die 94% beziehen sich auf die Hashes die schon bekannt waren (Stichwort: Rainbow Tables) und wo der Klartext nur "rausgesucht" werden mußte. Salt wäre natürlich von Vorteil gewesen.

ogir 12 Trollwächter - 1184 - 26. Juli 2012 - 12:45 #

Ja, heisst es auch. Kein normaler Mensch wird PWs encrypted in ne DB speichern. Dazu gibt es auch keinen Grund.

Wenn ich ein PW hashe ist das zum einen Schneller als encrypten, und zum anderen brauche ich ja nur den String vergleichen.

Und wer unsalted md5 hasht, gehört sowieso gleich an die Wand gestellt. Oder der Internetzugang gesperrt. Amateure an allen Ecken und Enden. -.-

Barkeeper 16 Übertalent - 4226 - 26. Juli 2012 - 11:11 #

Und ich will einfach nochmal auf meinen User-Artikel hinweisen :-)
Kann ja evtl. auch im Rahmen der News erwähnen.

http://www.gamersglobal.de/user-artikel/ein-leitfaden-fuer-die-eigene-passwortsicherheit

Hemaehn 16 Übertalent - 4560 - 27. Juli 2012 - 10:31 #

Bin aufgrund dieses Artikels letzte Woche mal hingegangen und habe versucht meinen Account von sämtlichen Seiten zu löschen auf denen ich mich jemals rumgetrieben habe und dann nie mehr war. Hatte bis dahin auch nur 3 Passwörter, die dann einfach immer gewechselt wurden, E-Mail Konto war davon auch betroffen und hat man die E-Mail, hat man alles. Jetzt ist es zwar nicht ganz so wie bei dir, aber zumindest die wichtigen Sachen sind jetzt unique. Das ist aber gar nicht so einfach sich von manchen Seiten löschen zu lassen. Viele Seiten sehen es nicht als notwendig an, eine Löschenfunktion irgendwo anzubieten bzw. relativ leicht zugänglich zu haben. Bleibt nur die Sache mit dem Support. Und dann weiß man auch nicht, ob der Account wirklich gelöscht wird. Es kamen auch manchmal E-Mails zurück, in denen es hieß, dass der Account stillgelegt wurde. Obwohl ich um Löschung aller Daten gebeten habe. Also da gibt es schon einige, die versuchen um jeden Preis etwas von einem zu behalten.

So ein bisschen mehr Bewusstsein hab ich jetzt :)

Anonymous (unregistriert) 26. Juli 2012 - 12:13 #

Wie siehts eigentlich bei Gamersglobal mit der Sicherheit aus? Wie werden hier die Passwörter gespeichert?

Ekrow 15 Kenner - 3352 - 26. Juli 2012 - 12:24 #

Als Klartext auf root/pass/pw.txt

Kith (unregistriert) 26. Juli 2012 - 13:55 #

:D

Faerwynn 17 Shapeshifter - P - 6680 - 26. Juli 2012 - 23:49 #

Lol, YMMD xD

TASMANE79 14 Komm-Experte - 1841 - 26. Juli 2012 - 12:31 #

Hashen uns bashen uns salten, das liest sich ja wie ein Cyperkrimi aus dem Jahr 2070.

ogir 12 Trollwächter - 1184 - 26. Juli 2012 - 13:13 #

Hashen kannst du dir (sehr grob gesagt) wie eine Quersumme vorstellen.

Beispiel:

PW = Hash(Quersumme)
12=3
16=7
usw.

Bei einem Salt veränderst du die Zsahl, indem du z.B. bei jeder Zahl eine 3 davorsetzt.

Obige Bespiele sehen dann so aus:

PW -> SaltedPW = Hash
12 -> 312 = 6
16 -> 316 = 10

Und das kann man dann noch kombinieren, indem man z.B. aus dem neuen Hash nochmals einen Hash bildet, oder einen Hash aus dem neuen Hash und nochmals dem Passwort. Oder wie auch immer.

Das ist nichts kompliziertes, und sollte eigentlich mittlerweile gängiger Standard sein. Aber manche Seitenbetreiber lesen wohl gerne die Passwörter ihrer User, oder ihnen fehlt das KnowHow, oder aber sie sind einfach zu faul.

Darth Spengler 18 Doppel-Voter - 9209 - 26. Juli 2012 - 17:15 #

Das Teaserbild ^^ Herr Lich !

Faerwynn 17 Shapeshifter - P - 6680 - 27. Juli 2012 - 0:00 #

Vielleicht sollte ich mal in die Liste schauen ob meine Daten dabei sind... :p

Weryx 18 Doppel-Voter - P - 10032 - 28. Juli 2012 - 10:00 #

Hab zwar nen gamingo Konto aber meine alte email ist sowieso gespeert und vom PW hab ich keine ahnung mehr.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit