Im Netz kursiert eine Liste mit 11 Millionen Passwort-Hashes von Nutzern der deutschen Onlinespiele-Plattform Gamigo. Laut einer Analyse befinden sich in der 478 MByte großen Liste auch über 8,2 Millionen unterschiedliche Mailadressen. Davon sind demnach 2,4 Millionen deutschen Nutzern zuzuordnen, allein 100.000 mit T-Online-Mailadressen. Darüber hinaus sollen rund 3 Millionen Mailadresse von US-Nutzern stammen und 1,3 Millionen aus Frankreich. Angeblich finden sich auch einige Mailadressen von Firmen wie IBM, Allianz, Siemens und Deutsche Bank auf der Liste; diese steht mittlerweile nicht mehr zum Download bereit.

Die Liste ist in demselben Forum aufgetaucht, in dem zuvor bereits Millionen Passwort-Hashes von LinkedIn, Last.fm, eHarmony und weiteren veröffentlicht wurden. Einem Nutzer des Forums gelang es nach eigenen Angaben innerhalb kurzer Zeit, für 94 Prozent der MD5-Hashes das passende Klartext-Passwort zu ermitteln. Das deutet darauf hin, dass die Hashes nicht gesalzen waren.

Die Axel-Springer-Tochter Gamigo bestätigte gegenüber heise Security, dass die Daten echt sind. Demnach "gab es Anfang März 2012 einen Sicherheitsvorfall[...], im Zuge dessen Nutzernamen und Passwörter einer älteren Datenbank-Version entwendet worden sind.". Das Unternehmen hat damals nach eigenen Angaben die betroffenen Mitglieder informiert und deren Passwörter zurückgesetzt. Darüber hinaus wurde die betroffene Datenbank laut Gamigo vom Netz genommen und eine "umfassende IT-Sicherheitsprüfung" angestoßen. Die Veröffentlichung der geklauten Daten will man "zum Anlass nehmen, den Vorgang erneut kritisch zu überprüfen.". Hinter dem Hack steckt anscheinend ein Hacker mit dem Pseudonym 8in4ry_Munch3r.

Wer bei Gamigo registriert ist und sein Passwort auch zur Anmeldung bei anderen Webdiensten nutzt, sollte es umgehend überall ändern und dabei darauf achten, jedes Mal ein anderes Passwort zu wählen. Das Recycling von Passwörtern macht es Angreifern unnötig leicht: Wenn sie die Datenbank eines Dienstes geknackt haben, können sie sich mit den dort erbeuteten Daten auch auf alle anderen Dienste zugreifen.

Quelle: heise.de