150 Millionen Nutzerdaten gestohlen
MyFitnessPal-Hack: Passwort ändern oder gleich das Konto löschen
Die Chancen, dass jemand von euch ein Benutzerkonto bei MyFitnessPal hat, stehen alleine deswegen gut, weil das Angebot mittlerweile mehr als zehn Jahre am Markt ist und sich teils auch als Sync-Dienst für die Apps sonst nicht miteinander kompatibler Fitness-Apps nutzen ließ. Anfang des Jahres hat das mittlerweile zum Sportartikelhersteller Under Armour gehörende Angebot Daten von rund 150 Millionen Nutzern verloren.
MyFitnessPal informiert betroffene Nutzer per E-Mail und hat beantwortet zumindest einen Teil der mit dem Datendiebstahl verbundenen Fragen auch online. Demnach wurden Benutzernamen und E-Mail-Adressen sowie „gehashte“ Passwörter gestohlen, „hashed“ steht für „zerhackt“, die Passwörter werden bei der Übertragung in zusammenhanglose Zeichenketten gewandelt und sollten somit für Angreifer unnütz sein. Dennoch fordert MyFitnessPal dazu auf, benutzte Passwörter zu ändern.
Für euch gilt in diesem Zusammenhang die übliche Warnung. Aus Sicherheitsgründen solltet ihr mal eben darüber nachdenken, ob ihr die dort verwendete Kombination aus E-Mail-Adresse und Passwort auch auf anderen Seiten verwendet. Falls dem so ist, wäre es angebracht, überall ein neues, eigenes Passwort zu vergeben(was man ohnehin tun sollte).
Möglicherweise liegt das MyFitnessPal-Konto bei euch lediglich noch als Account-Leiche im Passwort-Manager. Dann wäre der aktuelle Vorgang vielleicht der gegebne Anlass, sein Konto dort komplett zu löschen.
Ich hatte damals die Anmeldung über Facebook Account gewählt.
Damit ist das Passwort Problem für mich nicht relevant, korrekt?
auf deren faq seite fand ich keinen entsprechenden Hinweis
Schön wie hier 3 Leute die gleiche Frage stellen, es aber von den tollen fachkundigen Kommentatoren keine Antwort darauf gibt, nur irgendwas über hashes was man auf Wikipedia lesen kann. Danke Leute. Tolles Forum!!!
Sehr geehrter Herr Mehl, dies ist kein Forum. Es handelt sich hierbei um einen Internetauftritt mit Kommentarfunktion. Hilfestellung erfolgt auf freiwilliger Basis, wenn sich Fragende entsprechend respektvoll verhalten. Man könnte allerdings auch einfach selbst auf die Idee kommen, mal das Facebook-Passwort zu ändern… Unabhängig von der Tatsache, dass es auch schon sehr fragwürdig ist, diesen Facebook-Login außerhalb Facebooks zu nutzen…
Und das heißt nicht, dass das die Lösung ist. Aber instinktiv würde man das wohl tun. Mehr Daten wurden ja nicht genutzt.
Hab das über meinen Facebook Account verbunden. Wie verhält sich das da? Ist dann das Facebook Passwort zu ändern? Einen eigenen „myfittnespal“ account hab ich nicjt wo ich das passwort ändrnt könnte. Und für alle Spaßantworten: ja oh weiß Facebook löschen ist besser. Aber das will ich nicht.
Wie kommt ihr darauf, dass ein gehashtes Passwort „zerhackt“ ist? Habt ihr die beantworteten Fragen, die ihr selbst verlinkt habt, überhaupt gelesen? Dort steht nämlich:
Hashing is a one-way mathematical function that converts an original string of data into a seemingly random string of characters.
Ändert nichts daran, dass die gestohlenen Passwörter für die Angreifer nutzlos sein sollten, aber eure Erläuterung ist trotzdem falsch.
Auch Hashes kann man knacken
Nein, das ist nicht möglich, da man aus einem Hash nicht die Original-Zeichenkette ermitteln kann. Du kannst z.B. aus jeder beliebig langen Zeichenkette einen 32 Zeichen langen Hash generieren. Das reicht, um eine Passworteingabe zu verifizieren, indem Du nur den Hash speicherst. Aber natürlich kannst Du aus dem Hash nicht wieder den Originaltext bekommen. Das ist technisch schlicht unmöglich.
MD5 – schonmal gehört? ;)
Ich habe mein Konto gelöscht. FB auch. Ich denke zwar nicht, dass die Anbieter die paar Kündigungen ernst nehmen werden, aber ich habe einfach keine Lus mehr, nicht mit Anbietern wie Yahoo und Co. zu beschäftigen, die sich einfach nicht mit dem notwendigen Ernst um meine Daten kümmern.
Eigentlich nutze ich die App täglich und mit neuem einzigartigem Passwort sollte der Kittel eigentlich geflickt sein sofern man nicht wirklich überall die gleiche Kombination verwendet.
Nicht gestohlen, verkauft…
Ein gehashtes Passwort ist im Grunde eine Art (kryptographische) Quersumme des eigentlichen Passworts – wenn der zugrunde liegende Algorithmus nicht korrekt implementiert wurde, ist es nicht zu schwierig, auf moderner Hardware das Passwort mit geeigneten Tools in kurzer Zeit herauszubekommen, insbesondere wenn es bereits in gängigen dictionaries verzeichnet ist.
deswegen wird es vorm hashen auch gesalted
Wie willst Du aus einer Quersumme die Original-Zahl rück-codieren? Das geht so wenig wie aus einem Hash die Original-Zeichenfolge zu bekommen. Ist technisch unmöglich, auch bei noch so hohem Aufwand.
wie sieht es da eigentlich aus, wenn man sich über facebook eingeloggt hat?
Konto gelöscht, Danke!
Sicherlich sind die Daten nicht „verloren“, denn durch einen Kopiervorgang werden sie vervielfältigt. Ein gehashtes Passwort ist „zerhackt“. Vielmehr wird ein Passwort mit variabler Länge auf z.B. einen 32 Bit Wert abgebildet. Übliche Funktion hierfür ist MD5. Mit Zerhacken hat das nichts zu tun.
Na, dann haben sie wohl eine Kopie verloren.
Frage zum Text ab dem zweiten Satz: ist es jetzt zerhackt oder nicht?
Hashing ist eine nicht umkehrbare Mathematische Funktion. Genaueres dazu hier: https://de.wikipedia.org/wiki/Hashfunktion
Ich hätte spontan aber auch keinen besseren Begriff gehabt, um hashen für Laien verständlich zu machen.
Die interessante Frage: Waren die Hashes salted? Sonst kann das Passwort mittels Rainbow Tables nämlich tatsächlich relativ einfach wiederhergestellt werden.
Waren sie, es wurde bcrypt als Hashverfahren verwendet
Ich glaube ich wurde gehackt! Auf meinem Konto… ähm.. Bauch sind auf einmal 17.000 kcal. mehr drauf;-)
Wenn die 17.000 kcal. Gehacktes ist, leg es auf den Grill und dann Mahlzeit :)
Es kann auch nur einfacher umgesetzt sein. Dann werden die Buchstaben nur vertauscht und für den ITler, der die Daten verwaltet, ist es nicht möglich Daten einfach so zu lesen.
A wird X und B wird E, C wird G etc..
Die günstigste Verschlüsselung. So macht es meine Firma, die ein großer Konzern ist. ( Gefällt mir auch nicht )
Das letzt mal hat man das im 2. Weltkrieg so gemacht und zwar am Anfang. Einfach Buchstaben zu vertauschen ist derart unsicher, dass man nicht einmal darüber nachdenken sollte. Bitte gib mir mal den Namen Deiner Firma, nicht dass ich da noch einen Benutzeraccount habe …
Was du hier beschreibst, ist eine primitive Verschlüsselung, aber kein Hash.
Ich will ja nichts sagen aber diese „news“ sind fast zwei Wochen alt…..
@Daniel
Ich will ja nicht auf Deinen Kommentar antworten, aber: bist Du gezwungen worden?
Und gehasht als zerhackt zu bezeichnen, finde ich für ein Tech-Blog erschreckend ahnungslos.
Da hier 90% der Kommentierenden eh Laien sind und größtenteils keine Ahnung haben, empfinde ich die Erklärung als durchaus passend.
die ein oder anderen werden das eh nicht verstehen. englisch geschriebene mail als deutscher nutzer. Toll!