Daily Archives: 16. Juli 2012

Yahoo sollte mal alles durchkämmen

Wenn Yahoo von nur 5 Prozent noch gültigen Passworten spricht, dann meinen sie nur den eigenen angegriffenen Dienst. Dass aber wahrscheinlich deutlich mehr Google-, AOL-, Hotmail-, GMX- oder Web.de-Konten betroffen sind und die Benutzer in den nächsten Tagen und Wochen eine böse Überraschung erleben werden, davon spricht erst einmal niemand.

Die Empfehlung von Yahoo sichere Passworte zu wählen und diese öfter auch mal zu ändern, klingt wie Hohn — denn was nützt das sicherste Passwort, wenn es im Klartext gespeichert wird? Nichts!

Nach Bereinigung der Liste bleiben 442.787 E-Mail-Adresse/Passwort-Kombinationen übrig, also genügend potenzielle Opfer, die u.U. noch gar nichts von ihrem Glück wissen.

Zu Besuch im E-Mail-Account von Yahoo-Freunden. ;O)


Als Benutzer eines Dienstes hat man nur zwei Chancen festzustellen ob ein Passwort im Klartext in der Datenbank gespeichert wurde:

  1. Bekommt man über die Passwort-Erinnerungs-Funktion das vergebene Passwort zugesendet, dann muss es im Klartext in der Datenbank stehen oder es ist so kodiert, dass diese Kodierung wieder rückgängig gemacht werden kann (z.B. Base64).
  2. Es gibt eine Schwachstelle über die man direkt in die Datenbank reinschauen kann, z.B. per SQL-Injection, über den direkten Zugriff auf die Datenbank per phpMyAdmin oder ein Datenbank-Dump liegt auf dem Server rum.

Da man i.d.R. nicht weiß wie die Zugangsdaten in der Datenbank gespeichert werden, sollte man immer vom DAMP ausgehen, also von Passworten im Klartext. Da hilft nur: Für jeden Dienst ein eigenes Passwort vergeben und wenn man paranoid ist, auch noch jeweils eine eigene E-Mail-Adresse, dann kann man auch sehr schnell feststellen, wo Daten lecken, wenn man mit Spam zugeschüttet wird.


Wer nun glaubt das Yahoo eine Ausnahme wäre, den erinnere ich gerne noch einmal an: “Hacktivisten knacken Datenbank von Sony Pictures” (heise.de)

Und auch bei eigenen Forschungen via Havij werden sich garantiert die Nackenhaare aufstellen.


Ich glaube dass es Yahoo so gehen wird wie dem Spaceball: “Hier gibts nicht mal Scheiße, Sir!”





(DAMP — Dümmster anzunehmender Möch­te­gernprogrammierer)