MixCloud gehackt
MixCloud gehackt

MixCloud: Hacker erbeuten über 20 Millionen Datensätze

MixCloud: Benutzernamen, E-Mail-Adressen und Kennwörter von über 20 Millionen Nutzern gehackt. Daten zum Verkauf im Darknet angeboten.

Der überaus bekannte und bei vielen beliebte Musik-Streaming-Dienst MixCloud, wurde kürzlich gehackt. Die Hacker konnten mehr als 20 Millionen Datensätze von mehr als 17 Millionen Nutzern kopieren. Den kompletten Datensatz bieten Cyberkriminelle im Darknet für „nur“ ca. 4.000 Dollar zum Verkauf an.

MixCloud: Benutzernamen, E-Mail-Adressen und Kennwörter gehackt

MixCloud ist in den USA ein ziemlich bekannter Musik-Streaming-Dienst. Zu seinen bekanntesten Nutzern gehören dort u. a. die Harvard Business School, TED Talks und Barack Obama. Der Hacker hat gegenüber TechCrunch bestätigt, dass der Hack bereits Anfang November stattgefunden hat. Auch hat der Eindringling TechCrunch einen Auszug der gehackten Datenbank zukommen lassen. Das Magazin konnte damit recht einfach die Echtheit der gestohlenen Daten überprüfen.

Die kürzlich gestohlenen Daten enthalten Angaben wie die Benutzernamen, E-Mail-Adressen und Kennwörter nebst dem Datum der letzten Anmeldung. Die Kennwörter wurden aber anscheinend immerhin mit SHA-2 verschlüsselt. Das Entschlüsseln der Kennwörter, dürfte dabei nicht so einfach sein.

Hacker A_W_S ist kein Unbekannter in der Szene

Bereits diesen Sommer hat es der als „A_W_S“ in der Szene bekannte Hacker, schon einmal in die Schlagzeilen geschafft. Damals wurde die Mode- und Sneaker-Handelsplattform StockX gehackt. Mehr als 6,8 Millionen Datensätze hat A_W_S bei der Gelegenheit kopiert, die er anschließend im Darknet zum Verkauf angeboten hat.

i2p

Die eigenen User erst fast einen Monat nach Bekanntwerden des Sicherheitsvorfalls informieren zu können, ist natürlich bitter. Denn auch hier müssen die betroffenen Nutzer des Streaming-Anbieters jetzt zunehmend mit Phishing rechnen.

Wir haben heute Abend glaubwürdige Berichte erhalten, wonach Hacker unberechtigten Zugriff auf einige unserer Systeme gesucht und erhalten haben.

Unser Verständnis zum gegenwärtigen Zeitpunkt ist, dass es sich bei dem Vorfall um E-Mail-Adressen, IP-Adressen und sicher verschlüsselte Kennwörter für eine Minderheit von Mixcloud-Benutzern handelt. Die Mehrheit der MixCloud-Benutzer hat sich über die Facebook-Authentifizierung angemeldet. In diesem Fall speichern wir keine Passwörter.“ (MixCloud)

Doch selbst wenn die Passwörter bei MixCloud mit SHA-2 verschlüsselt wurden, sollte man das Passwort zeitnah ändern. Vor allem, wenn man ein und dasselbe Passwort für mehrere Anbieter nutzt. Darauf weist uns auch der Streaming-Anbieter hin:

Wir haben keinen Grund zu der Annahme, dass Passwörter kompromittiert wurden. Sie sollten jedoch möglicherweise Ihre Passwörter ändern, insbesondere wenn Sie dasselbe über mehrere Dienste hinweg verwendet haben“ (MixCloud)

Mit einer Geldstrafe für MixCloud ist zu rechnen

MixCloud

Es ist sehr wahrscheinlich, dass MixCloud mit einer Strafe rechnen muss. Da die Betreibergesellschaft ihren Sitz in London hat, muss sich das Unternehmen auch entsprechend an die GDPR Richtlinien halten. Das könnte bedeuten, dass MixCloud mit einer Strafe von bis zu 20 Millionen Britischen Pfund rechnen muss. Maximal wäre eine Strafe von vier Prozent des Jahresumsatzes möglich.

Zuletzt schaffte es die Marriott Hotelkette in die „GDPR Schlagzeilen“. Marriott wurde letztes Jahr wegen einer ähnlichen, wenn auch weitaus größeren Verletzung der GDPR Richtlinien, mit 99 Millionen Britischen Pfund belangt. Beim Marriot-Hack haben Unbekannt 2018 immerhin Daten von 500 Millionen Starwood-Hotelgästen gestohlen. Die Strafe bei MixCloud, dürfte also etwas geringer ausfallen.

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.