Mitglieder der losen Hackergruppe LulzSec haben Kundenkonten des US-Anbieters „Stratfor“ gehackt, die Analysen, Berichte und Zukunftsprojektionen zur Geopolitik anbietet. Die Namen mit den MD5-verschlüsselten Passwörtern wurden am 24.12.2011 veröffentlicht. Es sind 860.000 Benutzer der Dienste und 75.000 zahlende Kunden davon betroffen.

In der Meldung von Antisec wird dies als eine Weihnachtsüberraschung für Bradley Manning angesehen.

Did Bradley Manning get his fancy LulzXmas dinner yet?

Bradley Manning ist wegen des Verdachts der Zuspielung von vertraulichen Informationen an WikiLeaks im Gefängnis. Manning sei es auch gewesen, der die versehentliche Tötung von Reuters-Reportern von einem Hubschrauber des US-Militärs aus (in Youtube auch bekannt unter: „Collateral Murder“) im Irak publik machte.

httpv://www.youtube.com/watch?v=5rXPrfnU3G0

Nun ist die Öffentlichkeit durch die Häufigkeit solcher Vorfälle traurigerweise schon etwas abgebrüht. Viel Beachtung wird hier – außer von IT-Experten – nicht geschenkt. Jedoch hat der thetechherald.com eine interessante Analyse der Passworte durchgeführt. Die Ernüchterung: Die Sicherheit der Passworte war sehr bescheiden. Aus den MD5-Hashes wurde versucht, das korrekte Passwort herzuleiten. Einige Ergebnisse:

• Es gab nicht wenige Passworte, die Namen waren, wie z. B. ‘Hanna’, ‘Robert’ oder ‘James’; einige bestanden aus wichtigen Daten, wie z. B. ‚19871987‘ oder ‚1996linda‘
• Die ersten fünf Passworte, die entschlüsselt wurden, waren: 123456, 11111111, 123123, 123qwe und 1q2w3e4r5t. Dies geschah in weniger als fünf Sekunden.
• 49 der 860.160 Passworte bestanden nur aus einem (!) Zeichen, obwohl bei der Registrierung mindestens sechs Zeichen vorgeschlagen werden. Zumindest handelt es sich hier nur um Bruchteile eines Promills der Anwender. Aber die Tatsache, dass Personen Passworte wählen, die höchst unsicher sind, ist bestürzend.
• Von den 860.160 Passworten wurden 81.883 innerhalb von knapp fünf Stunden geknackt. Es ist davon auszugehen, dass mindestens 10 Prozent der Passworte unsicher sind.
• Das wohl einfallsreichste Passwort: ****** (sechs Sterne)

The Tech Herald:

Yet, it’s hard to justify the use of even a single password out of the 81,833 we were able to crack. Many of them were just silly, there’s no other way to put it.

Außerdem wurden folgende Daten veröffentlicht:

• 9.651 nicht gesperrte Kreditkartennummern, die Daten waren nicht verschlüsselt
• 47.680 E-Mail-Adressen
• 25.680 Telefonnummern
• 13.973 Adressen aus den USA

Die veröffentlichten Daten waren gut eine Woche später nicht mehr erreichbar. Die Dienste wie megaupload.com, wupload.com wurden angewiesen, die Dateien von ihren Servern zu löschen.

Artikel von computerworld.com, 26.12.2011: Confidential client list safe from Anonymous, Stratfor says
Artikel von thetechherald.com, 02.01.2012: Report: Analysis of the Stratfor Password List

Update, 16.01.2012

George Friedman, CEO von Stratfor über den Hackerangriff:

httpv://www.youtube.com/watch?v=ItreEs03A2k