Sicherheitslücke beim Chat-Anbieter Knuddels: Daten von 1,8 Mio. Nutzern geleakt

Artikel von · 8. September 2018 ·

Am Freitag gab der Chat-Anbieter Knuddels, eine Karlsruher Firma, in einem Forenbeitrag bekannt, dass sie seit dem nunmehr 19. Jahr ihres Bestehens erstmals das Opfer eines erfolgreichen Hackerangriffs geworden sind. Ein unbekannter Täter veröffentlichte am 5. September 8.000 Mitgliederdaten auf Pastebin. Das wurde von einem IT-Sicherheitsmitarbeiter, einem ehemaligen Mitglied von Knuddels, bemerkt. Er wendete sich per E-Mail an Knuddels.de, woraufhin der Fall untersucht wird.

Das Angebot von Knuddels richtet sich hauptsächlich an Jugendliche. Ab einem Alter von 14 Jahren kann man sich dort anmelden. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, unterrichtet darüber, dass sie alle erforderlichen Schritte eingeleitet haben, um die Nutzerdaten zu schützen und zudem die Behörden über den Vorfall informiert hätten. Bisher gebe es jedoch noch keine Hinweise auf die Täter. Knuddels weist darauf hin, dass sie nach Bekanntwerden des Hacks den Sicherheitsstandard für Nutzerdaten noch einmal erhöht haben. So müssen sich Nutzer, die sich über ein bisher unbekanntes Gerät anmelden würden, nun über einen per SMS oder E-Mail erhaltenen Link authentifizieren. Aus Sicherheitsgründen heraus müssen die User auch beim Log-in ein neues Passwort festlegen. Auf diese Weise wollen die Chat-Betreiber das Vertrauen der Nutzer zurückgewinnen: „Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen“, so Kujath. Bei der Untersuchung des Datenleaks hat das Team die erste mögliche Schwachstelle ausgemacht, die für das Leak verantwortlich sein könnte. Auf einem Backupserver war nicht die neueste Betriebssystemversion installiert. Als Sofortmaßnahme wurde der Server abgeschaltet, auch ein Entfernen von noch unverschlüsselten Passwörtern in allen Datensätzen wurde eingeleitet.

Weiter heißt es, dass in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht wurden und noch weitere im Forum „nulled.to“. Knuddels teilte mit, dass alle Nutzer betroffen seien, die am 20. Juli 2018 einen Account beziehungsweise Nick bei Knuddels.de besessen hätten. Von zahlreichen Nutzern sind neben dem Chatnamen auch Passwort, Mailadresse sowie Angaben zum echten Vornamen oder zum Wohnort veröffentlich worden: 57 Prozent der Datensätze enthielten die E-Mail-Adresse, 30 Prozent die Stadt und 41 Prozent den Profilnamen. Laut Knuddels wären von den rund 808.000 Maildressen nur 320.000 verifiziert. Knuddels informierte weiterhin darüber, dass betroffene Accounts aus Sicherheitsgründen vorläufig deaktiviert worden seien. Da die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden, forderte Knuddels die User auf, auch auf anderen Seiten, bei denen dasselbe oder ein ähnliches Passwort verwendet wurde, auch dieses zu ändern. Bei Problemen und Fragen können sich Nutzer an den Support unter community@knuddels.de wenden.

Bildquelle: terimakasih0, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

2 Kommentare

  • comment-avatar

    TrommelResolver

    Nachtrag (grad im Golem-Kommentarbereich gefunden) :

    Na wenigstens haben sie Humor !!!
    Autor: Tuxgamer12 08.09.18 – 19:11

    „Der Schutz der Nutzerdaten hat für uns höchste Priorität“
    „Knuddels.de hat seine bereits sehr hohen Sicherheitsstandards“
    „Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen.“
    (https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916081)

    Das könnte fast im Postillon stehen:

    „Unternehmen, dass es nicht schafft einfache Hash-Funktion zu nutzen, hat hohe Sicherheitsstandards“

    Wird noch lustiger:

    „Ein IT-Sicherheitsmitarbeiter, welcher ein ehemaliges Mitglied von Knuddels ist, bemerkt die Veröffentlichung und wendet sich per E-Mail an Knuddels.de.“

    Du bemerkst also einen Hack daran, dass Kunden-Daten auf einmal auf Pastebin stehen.

    Ähhmmm…. Ja.

    Da kann ich eigentlich nur sagen: Noch einmal Schwein gehabt, dass die Hacker „öffentlich“ gegangen sind, sonst hätten die wahrscheinlich ziemlich über die Daten freuen können ohne dass jemand etwas gemerkt hätte.

    Dazu vielleicht noch:

    „Knuddels.de ist 19 Jahre nach ihrer Gründung erstmals Opfer eines erfolgreichen Hackerangriffs geworden.“

    Tja, wer weiß; vielleicht stellt nicht jeder Hacker Daten auf Pastebin?

    Was hat man denn heute (3 Tage später) herausgefunden?

    „bei unserer Untersuchung des Datenleaks haben wir eine erste mögliche Schwachstelle gefunden, die für das Leak verantwortlich sein könnte.
    Es handelt sich um einen Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war.“

    Keine weiteren Fragen.

    [Quelle: golem.de – Benutzerkommentare]

  • comment-avatar

    TrommelResolver

    ….Kennt ihr das: Es gibt Tage im Leben, an denen ist Fusspilz wohl das Beste, was dieser gebracht hat !! Wenn ich so was von einem KF-Knuddelverein dann lesen muss an solchen Tagen, da platzt mir nur noch mein Aneurysma….

    [Zitat Text oben / Knuddel-Blog]
    „“Knuddels.de ist 19 Jahre nach ihrer Gründung erstmals Opfer eines erfolgreichen Hackerangriffs geworden. Dabei wurden in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (sog. Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht. Wichtig: Noch eine wichtige Information zur Emailadresse: 330.000 Emailadressen waren verifiziert, das sind die verschiedenen, eindeutigen Personen die betroffen sind.““ [Ende]

    !!! Was meinen diese Knuddelviecher eigentlich, wer sie sind. So etwas kundzugeben an seine Kunden, in der unverschämten Art und Weise, den kleinen Kiddies rotzfrech ins Gesicht zu lügen, mit Aussagen, die jederzeit zu widerlegen sind….

    I. Wer seine Serverlandschaften nicht anständig unter Kontrolle hat und dafür sorgt, dass die Büchsen auf dem aktuellsten Stand an Technik / Software (OS etc) sind in Zeiten von Verschlüsselungstrojanern, Meltdown, Spectre und schulschwänzenden Script-Kiddies, sollte Konsequenzen daraus ziehen UND die Behörden an dieser Stelle ERST RECHT ! Stecker ziehen, die Struktur soweit „busten“, dass nie wieder etwas „recovered“ werden kann — dann alle einsperren und die dort vergessen, wie sie ihren eigenen, verstaubten Server mit den DBs vergessen hatten °°
    Desweiteren kann man als Betreiber nicht entrüstet die Frage stellen, wie das alles nur passieren konnte ?!?

    *** Wer über 95% seiner persönlichen Kundendaten (Daten von KINDERN!) vor allem Passwörter, Klarnamen, Adressen, Emails etc. pp. in KLARTEXT speichert und sich wundert, warum das gefährlich ist — Der sollte von den Juristen dazu benutzt werden, als allererster PRÄZEDENZFALL der neuen DSGVO vorgeführt zu werden….kann man gleich noch das Strafmass mittesten ^^

    II. Und wenn man schon einmal dabei ist, mal recherchieren und ermitteln, ob bei denen 19 Jahre lang das alles mit seinen minderjährigen, pubertierenden Klienten legal und vertretbar war ?!? Ich hege da mal riesige Zweifel, die wohl die meistten kennen und jetzt nicht näher ausgeführt werden müssen ;))

    III. Kommen wir mal zum eigentlichen Thema:
    a) Die ursprüngliche Verlinkung über mega.nz mit der kompl. Datenbank ist wohl entfernt worden !?
    Wer sich ber mit der Suchfunktion bei Pastebin (not easy @ all) etwas auskennt findet zwar nicht den Vorab-Datensatz mit den 8000 Accounts so ohne weiteres, dafür aber mit mühseeliger Kleinarbeit und etwas Zeit sehr viele Pastes, welche über die magische Zeitgrenze September 2018 hinausgehen. August, aber auch die anderen Sommermonate sind dort auch vertreten inklusive Dokumente, wo einfach die Zeitlinie etwas „abgeändert“ wurde ^^
    In jedem dieser relevanten Pastes sind nur reine Linklisten zumega.nz eingetragen….da ich leider nicht sovieeeel Zeit habe, braucht es jemanden, der alle Links zusammenstellt und ausführt (KEINE toten Links bisher gefunden!)….man wird dann am Ende auf die knapp 2 Millionen Datensätze kommen !!!!
    Mal nebenbei erfährt man über uralte Pastes, auch von uralten Leak-Seiten, wie z.B. Leakedin.com (down), wie oft 1x gehackt in 19 Jahren vorgekommen ist ^^ Und das ist nur die Eisbergspitze dort !!
    Bei der Menge der verschiedenen geleakten Daten, alleine nur von den letzten 10 Jahren wird dir aber schwindelig ! Und diese Leaks sind bei Pastebin, Pastemon und wie die alle heissen einsehbar. Natürlich aber auch bei den vielen „“Leak-Sammelseiten““ im Netz ;))

    b) Knuddels ist / war immer ein riesiger Anlaufpunkt für menschlichen Abschaum, für Hägger, Script-Kiddies im Besonderen und für Leutz die sich nen Spass daraus gemacht haben, Unruhe zu stiften !
    Es wurden sogar massenweise Boards / Foren extra für den Zweck „Knuddels.de“ gegründet und teilweise noch heute gerne betrieben.
    Mir fällt da unter anderem spontan diese Community ein ->

    https://u-labs.de/forum/knuddels-allgemein-37/leak-knuddels-shop-source-mit-datenbank-zugangsdaten-29626/

    https://u-labs.de/forum/sourcecode-91/source-kframework-knuddels-controls-1351/

    https://u-labs.de/forum/sourcecode-91/open-source-knuddels-live-client-v1-0-90aeh-30372/

    Wenn man die Links mal gnadenlos verfolgt, kommt man aus dem Staunen UND Lachen nicht mehr raus !!
    Hier noch am Rande eine ca. sieben Jahre alte Story aus dem Knuddelversum ->

    http://ks-leak.blogspot.com/

    Und alles, was den Knuddelvieh-Farmern dazu einfällt ist die hohle Phrase „1x gehackt“ ??
    Vielleicht wollte man das alles auch einfach nur nicht sehen, damit es nicht zu hohen Wellen kommt, die auch anderen Interessierten aufgefallen wären….?
    Dazu muss man sich nur mal auf den Blog-Seiten des Betfreibers umsehen, um festzustellen, wie professionell dort mit den Kiddies gearbeitet wurde, um sich selber aus der Verantwortung ziehen zu können ->

    https://blog.knuddels.de/user-apps/changelog/

    c) Fazit: Es gibt noch so unendlich viel mehr über den Verein zu sagen, aber ich möchte hiermit keine „Neverending Story“ schreiben, sondern nur meinen Blutdruck und mein Aneurysma beruhigen °° Ich habe fertig….


Schreib einen Kommentar