Auch Last.fm betroffen: Passwörter im Netz

Tjoa, heute morgen schrieb ich noch über die geleakten Passwörter bei LinkedIn, nun hat es einen Dienst getroffen, den sicherlich ganz viele von euch nutzen. Es handelt sich nicht mehr und nicht weniger als um den beliebten Musikdienst Last.fm. Dieser recherchiert gerade, wie es dazu kommen konnte, dass Kennwörter ins Internet gelangten.

Noch gibt es keine genaueren Infos, doch für euch noch einmal die Info: einloggen und Kennwort ändern – und wieder einmal die Empfehlung, nicht auf allen Seiten die gleichen Passwörter zu nutzen! (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

34 Kommentare

  1. Ahja, dass erklärt einiges.

    Ich lehne mich mal ganz weit aus dem Fenster: Die Logins bei lastFM wurden schon vor mind. 2 Wochen gestohlen. Wie ich darauf komme? Ich bekomme seit ca. diesem Zeitraum Spam-Mails an eine Email-Adresse, die ich 100%ig lastfm zuordnen kann

  2. Echt uncool.. vor allem wenn ich überlege, das ich fast bei jeder Seite das gleiche Passwort habe. Argh.

  3. Sehr interessant, was Dennis da schreibt. Was sind das für Spam-Mails? Ich bekomme nämlich auch seit gut 2 Wochen übermäßig viele Spam-Mail an eine E-Mail-Adresse, bei der ich sonst fast gar nichts bekam und die ich auch bei Last.fm hinterlegt habe.

  4. Unverzeihlich. Habe gleich den kompletten Account gelöscht.

  5. @Chriz:
    Wieder mal ein Beispiel dafür, dass selbst die von Caschy gebetsmühlenartig vorgetragenen Hinweise darauf, dass man für jeden Account ein eigenes Passwort verwenden sollte, anscheinend doch nichts bewirken …

  6. @Sören: Spam-Mails von einem Online-Casino .. in deutscher Sprache.

  7. @Dennis: Bei mir genau das selbe: „Bet2day“, „EuroDice“… Hot Offer und zahlen sie 100€ ein…

  8. Account gelöscht. So etwas darf nicht passieren. Speichern die die Passwörter im Klartext?

  9. Account gelöscht. Vermutlich im Klartext abgespeichert, daher byebye lastfm.

  10. Ich muss ruhig bleiben, sonst besteht die Möglichkeit, dass es eventuell Mord und Totschlag geben könnte.

  11. @Sören: Das erhärtet meinen Verdacht … also hat man uns den Diebstahl 2 Wochen lang bewusst verschwiegen oder hat es erst jetzt gemerkt – beides irgendwie ein Unding … überlege auch meinen Account zu löschen.

  12. Und genau deswegen traue ich mich immer noch nicht, einen Blog oder Internetseite zu erstellen. Wenn solche große „Firmen“ gehackt werden konnten, was kann mir denn passieren? Meine Seite wird wahrscheinlich keinen vollen Monat überleben. Mann bin ich machtlos 🙁

  13. @Dennis, @Sören, auch hier, die selben SPAM E-Mails. Bei mir fast ausschließlich bet2day. Zum Glück nutze ich für jedes solcher Konten eigene Passwörter und auch eigene E-Mail Adressen ala e4ward. Der 2-Wochen-Delay geht gar nicht, ich habe instant meinen Account begraben.

  14. Meins ist zwar nicht drin, aber trotzdem ist es nun geändert und länger als 50 Zeichen mit Sonderzeichen und allem pipapo… – Wobei das natürlich auch nicht gegen einen weiteren Leak hilft…

  15. @Chriz: Mein Tipp, wenn ihr Passworttools nicht nutzen wollt, dann denkt Euch eben drei Passwörter für drei Sicherheitslevel (low, medium, high) sowie einen Anpassungsalgorithmus pro Site aus und ihr seid wenigstens halbdwegs sicherer

    @MarioW: Wenn Du auf Sicherheit achtest und Deine Site nicht gerade Facebook Konkurrenz machen will, werden professionelle Hacker Dich in Ruhe lassen und Skriptkiddies nichts ausrichten können

    @last.fm: Ein Unding!

  16. Da kommt noch mehr, viel mehr! Ich denke so das in 2 Jahren alles ziemlich kaputt gefahren wurde in Sachen Sicherheit, Datenschutz usw.

    Man siehe heute -> Schufa und Facebook!

    Das wird ein Spass werden!

  17. Christoph says:

    Welcher gulugulu Dienst speichert denn heutzutage noch Passwörter im Klartexte? Ich dachte das ist seit 8 Jahren out (Unis ausgenommen)

  18. So ein Nerv! Ich glaube ich muss demnächst mal den Firefox Passwortmanager durchgehen, und mich bei allen seiten die ich nicht mehr nutze abmelden :/

  19. Das bestätigt mir nun wieder, jede Seite und jeder Dienst ein eigenes Passwort mit Hilfe eines PW-Generators generiert und mit einem PW-Manager OFFLINE ! (Keepass oder Roboform lokal) verwaltet, ich würde keinem Online-Dienst meine PW-Verwaltung anvertrauen, auch von Firefox PW-Managern lasse ich die Finger weg.

  20. Ach Leute, macht euch doch nicht in die Hose.

    Ihr stellt euer ganzes Zeugs ja auch in die Cloud, irgendwann wird das Ganze sowieso gehackt und öffentlich zugänglich. Warum dann nicht einfach gleich alle Passwörter und privaten Daten unverschlüsselt im Klartext veröffentlichen.

    Privatsphäre ist doch eh so was von out.

  21. Hab’s zum Anlass genommen und den Account dort gelöscht.

  22. Linkedin und Lastfm Account gelöscht. Bekomme den gleichen Spam. Unglaublich sowas.

  23. Das ist ja interessant, dass die Passwörter wohl schon min 2 Wochen unterwegs sind. Danke für die Hinweis. Das baue ich in meinem Blogbeitrag auch mal ein.

  24. Megachip says:

    Last.fm speichert, wie leider fast jeder Webdienst, die Passworter als ungesalzenen Hash. Z.B. über Rainbow-Tables lassen sich so eure Klartextpasswörter ermitteln. Es sei denn ihr verwendet ein ziemlich langes, kryptisches PW. Z.b. 20 Zeichen oder so. Solche langen Zeichenketten sind meines wissens noch nicht irgendwo hinterlegt und ein Brute-Force darauf würde ewig dauern. Leider kann es bei den häufig verwendeten MD5-Hashverfahren auch dazu kommen, dass 2 Passwörter den gleichen Hash besitzen. Also sicher gibt es halt im Internet nicht 🙁
    Wenn ihr wgn sowas gleich den Account löscht, dann zieht sicherheitshalber gleich den Netzstecker. Bekanntlich wurden ja auch schon die Daten von Einwohnermeldeämtern geleakt… da ist schlecht mit Account löschen 😉

  25. Bekomme auch seit dem 10. Mai von „Bat2day“, „Bet2day Support“ und „Ryan Harding“ Spam. Und das auf zwei verschiedene Mailadressen auf denen beiden ein Last.fm account sitzt.

  26. Das wundert mich nicht. Die Firmen haben Schiss Meldung (Umfang ist ja vorgeschrieben…) zu machen und der Betriebsdatenschutzbeauftragte muss sich erst rechtlich absichern gegen seinen COO.

  27. Laut last.fm arbeite man dran, es werden bald mails raus gegeben die zum ändern der passwörter aufforden.
    desweiteren ziehe man auf ein anderes passwort sicherheitsystem um – sofern ich das richtig verstanden habe.
    Die oben genannten Webservices sind nicht alleinig
    betroffen, es hat auch noch weitere kleinere Unternehmen erwischt. (namentlich leider nicht bekannt)
    hoffe ich konnte mit meiner info aushelfen.

  28. Zum Glück verwende ich seit Jahren fast überall verschiedene Passwörter. Sollte man eigentlich immer machen. Auch wenn es sehr nervig ist, weil man sich die schließlich alle merken muss. Oder man schreibt sie sich halt auf.

  29. Ich nutze ebenfalls individuelle Mailadressen um auf den ursprung von spammails zu kommen. Am 14.5.2012 ging es bei mir mit dem Casino-Spam mit der nur für Last.fm bekannten Mailadesse los…