Dienstag, Mai 23, 2006

Sicherheitslücke bei Flirtlife.de

Online Dating News, Hamburg -- 23.05.2006 -- Folgende Meldung fanden wir bei heise online:

Auf der Sicherheitsmailingliste Full Disclosure wurde am vergangenen Sonntagabend eine Liste mit Zugangsdaten von rund 100.000 Nutzern der Internet-Dating-Website Flirtlife.de
veröffentlicht. Der Betreiber reagierte nach eigenem Bekunden bereits an diesem Montagmorgen mit der Vergabe neuer Passwörter für die Accounts und informierte die Nutzer per E-Mail über die Maßnahme. Zur Reaktivierung des Accounts müssen Turteltäubchen nun ein neues Passwort setzen. Im eigenen Interesse sollte dies natürlich nicht wieder das alte Passwort sein, da es nun als bekannt angesehen werden muss.

Flirtlife-Geschäftsführer Matthias Kopolt sagte gegenüber heise Security, dass es sich bei der Liste wahrscheinlich um einen alten Stand der Passwortdatenbank handelt, da etwa die Hälfte der Benutzernamen mittlerweile nicht mehr existierten. Demnach wären also höchstens rund ein Viertel der derzeit 200.000 Accounts von der Veröffentlichung betroffen. Wie die Account-Daten an die Öffentlichkeit gelangen konnten, ist für Kopolt derzeit noch schleierhaft. Passwörter würden bei Flirtlife ausschließlich als so genannte MD5-Hashes abgelegt und seien damit nicht im Klartext auslesbar. Er vermutet, dass die Angreifer nicht über eine Schwachstelle in der
Flirtlife-Seite an die Daten gelangten. Man sei im Hause jedoch noch mit den Untersuchungen zugange.


Wie heißt es doch so schön in der Werbewelt? Bad news is good news und so viele Backlinks dürfte flirtlife.de auf einmal noch nie bekommen haben ;-)