Google als Cracker-Tool

Das ist mal eine verrückte Geschichte:

  1. Blog wird von einem Cracker lahmgelegt.
  2. Blogbesitzer (der übrigens größtenteils über Computer-Sicherheit bloggt) macht sich auf die Suche, wie der Cracker das geschafft hat.
  3. Blogger findet einen Account den der Cracker angelegt hat, denkt sich: wäreinteressant, das Passwort dieses Accounts zu kennen.
  4. Blogger holt sich den MD5-Hash des Passworts (in diesem Format merkt sich die Blog-Software WordPress, wie die Passwörter lauten) aus der Datenbank und versucht, es zu knacken. Mit klassischen Crackermitteln (verschiedene Wörterbuchsuchen) -> kein Erfolg
  5. Blogger gibt den Hash bei Google ein. An erster Stelle von Googles Ergebnis : eine Stammbaumseite, die sich mit dem Namen “Anthony” beschäftigt.
  6. Blogger versucht “Anthony” als Passwort -> stimmt!

Schlussfolgerung: Wenn ein Passwort all zu gewöhnlich ist, kann es also durchaus sein, dass es zu anderen Zwecken von anderen Menschen bereits genutzt wurde, und dass die unendlichen Weiten der von Google indizierten Daten auch den Hash des Passworts beinhalten.

Falls Ihr jetzt unruhig werdet: Einer der Leser des betroffenen Blogs hat ein nettes kleines Script geschrieben, dass aus Klartext Google-Suchanfragen nach den entsprechenden Hashes erzeugt, die sich dann per Copy & Paste in den Browser packen lassen. Nettes Spielzeug.

Kommentar verfassen