Auf der Sicherheits-Mailing-Liste Full Disclosure wurde am vergangenen Sonntagabend eine Liste mit Zugangsdaten von rund 100.000 Nutzern der Internet-Dating-Website Flirtlife.de veröffentlicht. Der Betreiber reagierte nach eigenem Bekunden bereits an diesem Montagmorgen mit der Vergabe neuer Passwörter für die Accounts und informierte die Nutzer per E-Mail über die Maßnahme. Zur Reaktivierung des Accounts müssen Turteltäubchen nun ein neues Passwort setzen. Im eigenen Interesse sollte dies natürlich nicht wieder das alte Passwort sein, da es nun als bekannt angesehen werden muss.
Flirtlife-Geschäftsführer Matthias Kopolt sagte gegenüber heise Security, dass es sich bei der Liste wahrscheinlich um einen alten Stand der Passwortdatenbank handelt, da etwa die Hälfte der Benutzernamen mittlerweile nicht mehr existierten. Demnach wären also höchstens rund ein Viertel der derzeit 200.000 Accounts von der Veröffentlichung betroffen. Wie die Account-Daten an die Öffentlichkeit gelangen konnten, ist für Kopolt derzeit noch schleierhaft. Passwörter würden bei Flirtlife ausschließlich als so genannte MD5-Hashes abgelegt und seien damit nicht im Klartext auslesbar. Er vermutet, dass die Angreifer nicht über eine Schwachstelle in der Flirtlife-Seite an die Daten gelangten. Man sei im Hause jedoch noch mit den Untersuchungen zugange.
Derweil offenbart ein Blick auf die Passwortliste interessante Einsichten. Sie ist stellenweise mit HTML- beziehungsweise XML-ähnlichen Strukturen durchsetzt. Mehrfach auftretende BODY-Tags, wie sie zu Beginn und Ende jeder Webseite auftauchen, legen die Vermutung nahe, dass sie das Ergebnis mehrerer Sammelaktionen gewesen sein könnte. Offensichtliche Buchstabendreher in Account-Namen weisen auf die Protokollierung mehrfacher, erfolgloser Log-in-Versuche hin. Möglicherweise versuchten die Angreifer auch, sich mit einem Passwort aus einer Liste besonders häufig auftretender Passwörter bei möglichst vielen Accounts anzumelden.
Vernachlässigt man Vertipper bei Accountnamen sowie unterschiedliche Groß- und Kleinschreibung, ergibt sich in der veröffentlichten Liste bei einer Gesamtzahl von rund 100.000 Datensätzen folgende Verteilung der häufigsten Passwörter:
123456 1375
ficken 404
12345 367
hallo 362
123456789 260
schatz 253
12345678 215
daniel 215
askim 184
nadine 177
1234 176
passwort 173
sommer 159
baby 159
frankfurt 159
Auffällig ist die starke Häufung der Ziffernfolge 1234, mit der insgesamt rund 2,5 Prozent aller Passwörter beginnen: Ein blinder Login-Versuch mit "123456" führt in fast 1,4 Prozent der Fälle zum Erfolg. Ebenfalls ein zu starker Themenbezug oder typische Vor- und Kosenamen als Passwort könnten zum Verhängnis werden. Auch sehr beliebt: Markennamen, Sportvereine und Jahreszahlen. Immerhin: Rund 40 Prozent der Passwörter tauchen nur einmal auf, ein Großteil davon sind unvorhersehbare Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Daran sollten sich Flirtlife-Nutzer für das neue Passwort ein Beispiel nehmen.
quelle: heise
dat gibt post für die gehackten user aus spammerkreisen. 
