Klage gegen Linkedin wegen Passwortklau: Ein Hash so alt wie das Web
Eine Linkedin-Nutzerin klagt gegen das Business-Netzwerk, von dem kürzlich Tausende Zugangsdaten geklaut wurden. Ihr Vorwurf: Das Netzwerk habe die Passwörter nicht ausreichend geschützt.
SAN JOSE/BERLIN dpa | Zwei Wochen nach dem Einbruch unbekannter Täter in eine Datenbank von Linkedin sieht sich das Business-Netzwerk mit einer Millionenklage konfrontiert. Eine Linkedin-Nutzerin aus dem US-Staat Illinois reichte bei der Justiz der kalifornischen Stadt San Jose eine Sammelklage im Namen weiterer Mitglieder ein, die Linkedin vorwirft, mit einer veralteten Sicherungstechnik persönliche Daten gefährdet und die Nutzer nach dem Diebstahl zu spät informiert zu haben. Der Streitwert wird mit mehr als fünf Millionen Dollar beziffert.
Die im Internet aufgetauchten Passwörter waren mit einer sogenannten Hash-Funktion unkenntlich gemacht. Dabei handelt es sich jedoch nicht um eine echte Verschlüsselung, so dass die Informationen mit etwas Aufwand sichtbar gemacht werden können.
Die Klägerin wirft Linkedin vor, die Daten einem veralteten Hash-Algorithmus unterzogen zu haben, dem Format SHA1, das bereits 1995 entwickelt worden sei. Das Unternehmen habe es versäumt, die Passwörter zuvor „gesalzen“, das heißt mit Zufallswerten ergänzt zu haben, um die Rückübersetzung in Klartext zu erschweren. Damit habe Linkedin „die Integrität von sensiblen Daten der Nutzer erheblichen Risiken ausgesetzt“, heißt es in der Klage.
Linkedin betonte am Mittwoch in einer Stellungnahme, nach dem Datendiebstahl sei es in keinem einzigen Fall zu Störungen von Nutzerprofilen gekommen. Die Klage sei daher offenbar „von Anwälten vorangetrieben worden, die die Situation ausnutzen wollen“. Die Vorwürfe seien gegenstandslos, und Linkedin werde sich entschieden dagegen zur Wehr setzen.
Das Online-Netzwerk hat mehr als 150 Millionen Mitglieder. Anders als etwa beim meist privat genutzten Facebook dienen die Profile bei Linkedin der Pflege geschäftlicher Kontakte oder der Suche nach einem neuen Arbeitsplatz. Das Ausmaß des Datendiebstahls ist unklar. Laut Medienberichten sollen auf einer russischen Webseite nahezu 6,5 Millionen „gehashte“ Passwörter aufgetaucht sein.
50.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr Leser*innen machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Denn wir suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus und unterstützen Sie die taz – schon ab 5 Euro. Jetzt unterstützen
meistkommentiert