Ein Unbekannter verbreitete gestern eine illegale Datenbank des Online-Anzeigenportals kleinanzeigen.de, ehemals eBay Kleinanzeigen.
Vor genau einem Tag erschien bei den Untergrund-Foren Crime Network (CNW) und bei Crimestate eine offenkundig gehackte Datenbank von kleinanzeigen.de. Bei crime.to (CNW) löschte der Verbreiter des Archivs direkt wieder den Download-Link zum Sharehoster workupload.com. Der Thread existiert im CNW aber noch immer. Und das, obwohl der Nutzer xzv1337 um eine Löschung des Threads bat.
Update:
Leider ist das Ganze offenkundig ein Fake. Weitere Infos dazu weiter unten.
Leak beinhaltet unzählige gültige E-Mail-Adressen der Kunden
Laut seiner Auskunft habe der Hacker den Thread beim CNW „einfach so“ eröffnet und den Link für den Download nach rund 20 Minuten wieder aus dem Forum entfernt. Die Datenbank des Online-Anzeigenportals kleinanzeigen.de ist laut seiner Auskunft zudem nicht vollständig.
Der Admin von crimestate.cc teilte uns mit, der Datensatz datiere von Anfang diesen Jahres. Die Daten gehen von Januar bis etwa August 2024. Bezüglich des vom Unbekannten verschenkten Daten-Leaks soll es in Zukunft noch weitere Nachrichten geben, teilte uns Krypton, der Gründer des Forums Crimestate mit.
Passwörter sind glücklicherweise alle verschlüsselt
Im Archiv kleinanzeigen.de.rar befinden sich vier riesige Dateien. Für Phisher wären die unzähligen gültigen E-Mail-Adressen der Kunden (nebst der dort verwendeten Usernamen) sicher von großem Wert. Doch die Passwörter sind mittels Hash verschlüsselt, weswegen beim Anzeigen-Portal kein Login mit den Zugangsdaten eines kopierten (also fremden) Accounts möglich ist.
Mangels entschlüsseltem Passwort können Hacker glücklicherweise auch nicht probieren, ob die gleichen Zugangsdaten womöglich noch woanders im Einsatz sind, weil die Ersteller zu faul waren, verschiedene Passwörter zu nutzen.
Keine Antwort von kleinanzeigen.de
Außerdem sind dort unzählige Transaktionsdaten aus dem Käuferschutzprogramm etc. des Unternehmens vermerkt. Mehrere Dateien machen den Eindruck, als seien es Logdateien des Webservers des Portals.
Wir haben heute Nachmittag um 15.43 Uhr gleich zwei E-Mails an die Kommunikationsabteilung des Unternehmens inklusive des Download-Links des Archivs verschickt. Bis jetzt haben wir von kleinanzeigen.de leider keine Antwort darauf erhalten. Wir hätten gerne von einem der beiden Pressesprecher die Hintergründe der Daten erfahren. Und auch, wie man gemeinsam mit der Entdeckung umgehen soll.
Da man die Verbreitung des Archivs mittels der Sharehoster Filen und Workupload nicht mehr aufhalten kann, muss man befürchten, dass Phisher und andere Cyberkriminelle schon bald die vielen erbeuteten E-Mail-Adressen für ihre Zwecke missbrauchen werden. Und das überall und natürlich nicht nur bei Kunden von kleinanzeigen.de.
Update
Wir haben weitere Tests durchgeführt und mussten feststellen, dass mehrere E-Mail-Adressen, die im Datenleak enthalten sind, nicht bei der Anmeldung des Portals funktionieren. Möglicherweise hat der Cyberkriminelle die Daten mit denen anderer Leaks gemischt.
Der Pressesprecher von kleinanzeigen.de reagierte gestern ebenfalls auf unsere Anfrage. „Wir haben den Datensatz eingehend geprüft. Es handelt sich nicht um Daten von Kleinanzeigen.
Das ist auch für den Laien anhand einiger Punkte leicht zu erkennen – schauen Sie sich beispielsweise die Struktur der Daten an. Der Datensatz mit den E-Mail-Adressen enthält überwiegend Domains, die verglichen mit Domains anderer E-Mail-Provider hierzulande deutlich seltener genutzt werden. Auch die Transaktionsparameter sind auffällig homogen (bspw. hinsichtlich der Summen).“ Er hält das Ganze für eine Zeitungsente und hat uns eine Frist bis gestern um 16 Uhr gesetzt, um den Beitrag zu korrigieren.
