pompompurin kopierte die persönlichen Angaben von 23 Millionen Nutzern der Comic-Leseplattform MangaToon. Deren Passwort lautete password.
Wie der Blog der in Tschechien beheimateten IT-Security Firma CyberSecurity Help berichtet, konnte der Hacker pompompurin vor ein paar Wochen die Datenbank von MangaToon herunterladen. MangaToon wird vor allem als App für Android und iOS genutzt, um darüber auf entsprechende Werke zuzugreifen. Um die Comics, Mangas und sonstige Lektüre lesen zu können, müssen die Fans sogenannte Coins erwerben. Dafür ist eine Anmeldung notwendig, die naturgemäß unzählige Daten hinterlässt.
MangaToon: das Passwort lautete password
Nach Angaben des Cyberkriminellen pompompurin konnte er im Mai die Datenbank des Elasticsearch-Servers von MangaToon kopieren, die lediglich mit einem extrem schwachen Passwort geschützt war. Anschließend hat er die Betreibergesellschaft kontaktiert, um sie zu warnen. Daraufhin änderte man das Passwort des entsprechenden Servers. Eine Warnung an die Nutzer erging aber bislang nicht.
Letzte Woche fügte der Benachrichtigungsdienst Have I Been Pwned (HIBP) 23 Millionen MangaToon-Konten mit Namen, E-Mail-Adressen, Geschlechtern, Identitäten von Social-Media-Konten, Authentifizierungstoken von Social-Logins und salted MD5-Password-Hashes zu seiner Plattform hinzu. Bemerkenswert ist, dass 27 % dieser Daten bereits in der HIBP-Datenbank enthalten waren.
Bevor er die geleakten Informationen verwendete, versuchte der HIBP-Eigentümer Try Hunt zunächst, MangaToon zu kontaktieren, was ihm jedoch nicht gelang. Er probierte es per E-Mail und via Twitter, keine Reaktion. Auch die Kollegen des News-Portals Bleeping Computer versuchten MangaToon für ein Statement zu erreichen, vergebens.
Keine Antwort ist auch eine
Der Hacker pompompurin wird die illegal kopierte Datenbank irgendwann in Zukunft veröffentlichen oder versuchen zu verkaufen. Er hat im November 2021 die Aufmerksamkeit von Cybersicherheitsexperten und Strafverfolgungsbehörden auf sich gezogen, als er sich erfolgreich in den E-Mail-Server des FBI hackte.
Lange Zeit war der Hacker regelmäßiger Supporter des RaidForums. Nachdem die Strafvefolungsbehörden die Server des Forums im April beschlagnahmt haben, soll pompompurin an der Gründung des Nachfolgers breached.to beteiligt gewesen sein. Dort ist der MangaToon-Datensatz laut unserer Recherchen aber noch nicht aufgetaucht. Mit dem Angebot der Daten hat es der Verkäufer wohl nicht sonderlich eilig.
Wie pompompurin Bleeping Computer mitteilt, lautete das Passwort des Elasticsearch-Severs lediglich „password“. Dies war ein Schutz vor unerlaubten Zugriffen, der keiner ist.
Das dürfte möglicherweise erklären, warum niemand vom Unternehmen bereit ist, zu diesem Fall öffentlich Stellung zu beziehen. Zumindest hätte MangaToon seine eigenen Nutzer warnen sollen.