Datenleck bei bsmparty.de

Kaum berichteten wir über ein Datenleck bei SchülerVZ, schon bekommen wir das nächste zugespielt. Uns wurden rund 130.000 Datensätze der Plattform bsmparty.de zugeschickt. Das scheint die komplette User-Datenbank zu sein, wenn man der Nutzerzahl auf der Seite glauben mag.

Aus der Selbstbeschreibung:

Ist man erst einmal registriert wird man durch das verlockende Angebot festgehalten. bsmparty.de hat sich mittlerweile zu der Kommunikationsplattform in Niederbayern etabliert. Man lernt neue Leute kennen und trifft alte wieder. Viele der Besucher nutzen die Seite mehrmals täglich um sich zu informieren, Nachrichten auszutauschen oder die besten Party-Fotos anzusehen die von den unzähligen Events gemacht werden. Durch das große Team von ca. 150 Partyfotografen agiert bsmparty.de mittlerweile in ganz Niederbayern und auch über die Grenzen hinaus. Was damals in Grafenau im Bayerischen Wald begann rollt jetzt unaufhaltsam wie ein Feuer Richtung Westen.

Betrieben wir die Plattform von der BWmedien GmbH.

Dabei sind die folgenden Felder: User-ID, Nickname, Mailadresse, Geburtsdatum, Alter, Geschlecht, Wohnort, Anmeldungsdatum, Letztes Login und Premium-Account/Oder nicht. Passwörter sind verschlüsselt, die Quelle berichtete aber, dass es kein Problem sei, innerhalb kürzester Zeit 40.000 der Passwörter zu knacken.

Das kann ich nicht verifizieren, aber hier sind mal zwei wahllos heraus gefischte Passwörter:

d6af584f696538fb6302edf1e20439f1
3fcf6748deb8c48fcbfef4a9cd6e55a0

Danke für die Kommentare. Die md5-Strings sind bei einfachen Passwörtern recht schnell zu knacken.

Wenn man bedenkt, dass sich viele Nutzer bei verschiedenen Plattformen mit derselben Mailadresse und demselben Passwort anmelden, kann man sich vorstellen, was das bedeutet. Sicherlich wäre es nicht schwierig, mit etwas Zeit und Geduld heraus zu finden, wo die einzelnen Nutzer noch angemeldet sind. Das kann von Paypal über Facebook bis hin zu den Mailaccounts reichen.

Unschöne Sache.

43 Ergänzungen

  1. Die Passwörter sind scheinbar als md5 abgespeichert. Geht man da eine md5-Datenbank durch, kann man sicherlich 60% der Passwörter in einer relativen Geschwindigkeit „entschlüsseln“.

    „3fcf6748deb8c48fcbfef4a9cd6e55a0“ entspricht dem Passwort „uuuu“

  2. Der Unterschied zum VZ-„Datenskandal“ ist der, dass diese Daten wohl tatsächlich aus der Datenbank stammen.

    Bei VZ hat jemand nur einen Crawler programmiert, der die öffentlich verfügbaren Daten einsammelt. Das ist vermutlich nicht mal illegal, da die Daten in keinster Weise dagegen geschützt waren.

  3. Einige der Kommentare fallen wohl in die Rubrik: „Herr Lehrer, Herr Lehrer, hier, ich weiß was!!“

  4. Man sollte den Betreibern erklären, dass sie wenigstens einen eigenen String an die PWs anhängen sollen, der nur intern im PHP-Script bekannt ist. Damit dürfte das Rückschließen dann sehr viel schwieriger / kaum möglich sein (wenn der Zusatzstring nicht zu kurz ist), da die DBs meist nur kürze Zeichenkombinationen (frag mich jetzt nicht, ob ~10 Zeichen, oder nicht, aber sicherlich keine 20-30) und Wörterbücher gespeichert haben. Und wenn PW + Zusatzstring irgendwann solang sind, dass ein viel kürzeres Wort den gleichen Hash ergibt, dann ist es eh egal, weil das neue Wort im PW-Feld (Zusatzstring wird im PHP-Script ergänzt) einen ganz falschen Hash ergibt.

    Ich hoffe, man versteht halbwegs, was ich meine.
    Wenn der Nutzer das PW „fuf2435“ hat, dann hängt mein PHP-Script zusätzlich noch „8ffasd7fasf7d$s8fs&8738278“ an und hasht beide gemeinsam. Beim Login wird das immer wieder gemeinsam geprüft, wenn jemand den Hash klaut, dann kommt er somit nicht auf das PW des Nutzers. Und wenn jemand als PW ein Wort „dummkopf“ hat und die Rainbow-Table tatsächlich einen Hash von so einem langen String (dummkopf8ffasd7fasf7d$s8fs&8738278) gespeichert haben sollte, dann ist der Nutzer selbst schuld…

  5. Die Methode, wie Stefan sie beschreibt, also das Voranstellen/Anhängen einer zusätzlichen geheimen (hartcodierten) Zeichenkette („Salt“) bei der Verwendung von MD5 SOLLTE eigentlich Standard sein. Ohne dieses ist wenig Sicherheit gegeben.

  6. Vielen Dank für den Hinweis auf das Datenleck, wir als Betreiber haben umgehend alle Maßnahmen ergreifen um die Lücke zu schließen und unsere Bemühungen den Datenschutz zu gewährleisten zu verstärken.

    Außerdem haben wir die User bereits entspr. zur Problematik informiert und diese werden nach dem Login aufgefordert ihre Passwörter sicherheitshalber zu ändern.

  7. @chrissie: Die Passwörter werden nun mit einem Salt verstärkt und zusätzlich wurde die Lücke geschlossen

    Nein es wird niemand verhaftet, unser Interesse besteht darin mit dem „Urheber“ gemeinsam an der Lösung des Problems/Verbesserung der Seite zu arbeiten. Diesbezüglich haben wir schon anonym Kontakt aufgenommen.

    Vielen Dank an dieser Stelle an Markus – Betreiber von netzpolitik – für die Vermittlung des Kontakts.

  8. Einem md5-String sieht man nicht an, ob er geSALTed ist oder nicht. Auch nicht, ob es vielleicht md5(md5(passwort)) ist.
    Auch mit Rainbow-Tables …
    Daniels kommentar lässt aber vermuten, dass weder noch der Fall war.

  9. Konnte grad das Passwort von einem beliebigen Nutzer ändern, so sicher kann das alles noch nicht sein!!!*gg*

  10. bis jetzt ist perf. mässig / sicherheit
    immer noch rand0m salt am besten.
    salt(10 oder 26/52) im hash mit einbauen als 1. oder letzten zahl/buchstabe(klein/groß)
    in einer eigen Tabelle.

    kann auch gelöst werden macht nur mehr arbeit für großere datensätzte.

    mehrfaches md5 kann ich nur von abraten.
    epic fail.

    http://www.freerainbowtables.com/
    unterstützen!!

  11. @Duff:
    Wie sollte das den funktionieren?
    Wenn Du nicht das alte Passwort von dem beliebigen User hast, wird das wohl kaum gehen oder?

  12. ja Duff hat schon recht und ich habs live beim ihm am PC gsehn.

    OWNED so viel zum Thema sicherheit und wir arbeiten daran…

  13. @Duff: Bitte sende mir deinen Nicknamen per Mail (support at bsmparty.de), dann prüfe ich diesen Sachverhalt.

    Wobei ich mir das ehrlich gesagt nicht vorstellen kann da man nur an einer Stelle das Passwort ohne Abgleich ändern kann und das ist der aktuelle Loginscreen, der direkt nach dem Login erscheint, dieser bezieht sich auf den aktuellen User. Wahrscheinlich hast du dein eigenes Passwort geändert.

  14. @ Daniel Wildfeuer:

    Wenn ich mein eigenes PW geändert hätte, würde ich mich nicht wundern! (FI/AE)
    Naja haben ja mehr gesehen, dass es gegangen ist!

  15. @Duff:
    Wenn man sich nach dem Hack bei bsm mit dem alten Passwort angemeldet hat, dann kommt ein Fenster wo man aufgefordert wird, dass man sein Passwort ändern soll.

    Also wenn das alte Passwort von einem beliebigen User Dir nicht bekannt ist, dann kann man es nicht ändern. Außer Du hast das alte Passwort, dann gehts natürlich…
    Da muss wohl bei Dir was falsch gelaufen sein.

  16. Vllt bin ich ja zu doof, aber ein
    echo „uuuu“ | md5sum ergibt bei mir _nicht_ die zweite md5sum, sondern „14f12199881dd478d7206f2a8699079d“. Entweder will tmto.org nicht, oder ich hab was falsch verstanden. Aber was?

    1. @keba: echo erzeugt automatisch einen Zeilenumbruch, der an md5sum weitergegeben wird, du bekommst also den md5-Hash für uuuuZEILENUMBRUCH.

      Du musst echo den Zeilenumbruch abgewöhnen (ich glaube echo -n), dann dürfte der Hash passen.

  17. @Seppl:

    Das weiß ich selber auch, aber die anderen haben es ja gesehen, dass es gegangen ist, weiter muss ich mich nicht rechtfertigen!!!

    Hab ja gesagt, dass da was falsch sein muss!!!!

    So long…..

  18. Die Passwörter konnten nur kurz nach dem Datenklau beliebig verändert werden, da bsmparty die webseite umgestellt hat, dh. es wurden die passwörter zurückgestellt und die user konnten dann die passwörter ändern, wenn dann so „idioten“ wie du Duff das wieder ausnutzen bist du echt das letzte was rumrennt!

    lg

  19. @Kerstin:

    Lieber jemand, der das testet und meldet, als jemand der das heimlich macht und niemanden mitteilt. Die zweiteren sind nämlich diejenigen, die damit dann schlimme sachen anstellen.

  20. @Duff
    Danke für die Analyse.

    Man hat also aufgrund von Panik nach dem Servereinbruch gleich mal noch von betreiberseite selbst eine Sicherheitslücke eingebaut, indem man die leaked passwords einfach entfernte.

    @Kerstin:
    „Die Passwörter konnten nur kurz nach dem Datenklau beliebig verändert werden, da bsmparty die webseite umgestellt hat, dh. es wurden die passwörter zurückgestellt und die user konnten dann die passwörter ändern“

    Das ist kein Grund und keine Rechtfertigung, sondern ist eher ein Hinweis auf Inkompetenz der Betreibers.
    Faszinierend welche Leute heutzutage Server betreiben dürfen…

  21. Private Gruppenforen welche nur für Gruppenmitglieder sichtbar sein sollen sind für alle zugänglich. So indiziert google etwa auch das verstecke, vermeintlich nur für BSM-Moderatoren zugängliche Forum http://www.bsmparty.de/forum/kat/12274.

    Seit Wochen bekannt, dass es Probleme gibt, für Moderatoren ist die Sache mit einer Sperre des Users erledigt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.