Klage gegen Linkedin wegen Passwortklau: Ein Hash so alt wie das Web

SAN JOSE/BERLIN dpa | Zwei Wochen nach dem Einbruch unbekannter Täter in eine Datenbank von Linkedin sieht sich das Business-Netzwerk mit einer Millionenklage konfrontiert. Eine Linkedin-Nutzerin aus dem US-Staat Illinois reichte bei der Justiz der kalifornischen Stadt San Jose eine Sammelklage im Namen weiterer Mitglieder ein, die Linkedin vorwirft, mit einer veralteten Sicherungstechnik persönliche Daten gefährdet und die Nutzer nach dem Diebstahl zu spät informiert zu haben. Der Streitwert wird mit mehr als fünf Millionen Dollar beziffert.

Die im Internet aufgetauchten Passwörter waren mit einer sogenannten Hash-Funktion unkenntlich gemacht. Dabei handelt es sich jedoch nicht um eine echte Verschlüsselung, so dass die Informationen mit etwas Aufwand sichtbar gemacht werden können.

Die Klägerin wirft Linkedin vor, die Daten einem veralteten Hash-Algorithmus unterzogen zu haben, dem Format SHA1, das bereits 1995 entwickelt worden sei. Das Unternehmen habe es versäumt, die Passwörter zuvor „gesalzen“, das heißt mit Zufallswerten ergänzt zu haben, um die Rückübersetzung in Klartext zu erschweren. Damit habe Linkedin „die Integrität von sensiblen Daten der Nutzer erheblichen Risiken ausgesetzt“, heißt es in der Klage.

Linkedin betonte am Mittwoch in einer Stellungnahme, nach dem Datendiebstahl sei es in keinem einzigen Fall zu Störungen von Nutzerprofilen gekommen. Die Klage sei daher offenbar „von Anwälten vorangetrieben worden, die die Situation ausnutzen wollen“. Die Vorwürfe seien gegenstandslos, und Linkedin werde sich entschieden dagegen zur Wehr setzen.

Das Online-Netzwerk hat mehr als 150 Millionen Mitglieder. Anders als etwa beim meist privat genutzten Facebook dienen die Profile bei Linkedin der Pflege geschäftlicher Kontakte oder der Suche nach einem neuen Arbeitsplatz. Das Ausmaß des Datendiebstahls ist unklar. Laut Medienberichten sollen auf einer russischen Webseite nahezu 6,5 Millionen „gehashte“ Passwörter aufgetaucht sein.