Sicherheitslücke beim Chat-Anbieter Knuddels: Daten von 1,8 Mio. Nutzern geleakt

Der Chat-Anbieter Knuddels meldet, dass Account-Daten von rund 1,8 Millionen Nutzern im Internet veröffentlicht wurden. Das Unternehmen hat umgehend Untersuchungen eingeleitet und Maßnahmen getroffen.

Knuddels Smartphone

Am Freitag gab der Chat-Anbieter Knuddels, eine Karlsruher Firma, in einem Forenbeitrag bekannt, dass sie seit dem nunmehr 19. Jahr ihres Bestehens erstmals das Opfer eines erfolgreichen Hackerangriffs geworden sind. Ein unbekannter Täter veröffentlichte am 5. September 8.000 Mitgliederdaten auf Pastebin. Das wurde von einem IT-Sicherheitsmitarbeiter, einem ehemaligen Mitglied von Knuddels, bemerkt. Er wendete sich per E-Mail an Knuddels.de, woraufhin der Fall untersucht wird.

Das Angebot von Knuddels richtet sich hauptsächlich an Jugendliche. Ab einem Alter von 14 Jahren kann man sich dort anmelden. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, unterrichtet darüber, dass sie alle erforderlichen Schritte eingeleitet haben, um die Nutzerdaten zu schützen und zudem die Behörden über den Vorfall informiert hätten. Bisher gebe es jedoch noch keine Hinweise auf die Täter. Knuddels weist darauf hin, dass sie nach Bekanntwerden des Hacks den Sicherheitsstandard für Nutzerdaten noch einmal erhöht haben. So müssen sich Nutzer, die sich über ein bisher unbekanntes Gerät anmelden würden, nun über einen per SMS oder E-Mail erhaltenen Link authentifizieren. Aus Sicherheitsgründen heraus müssen die User auch beim Log-in ein neues Passwort festlegen. Auf diese Weise wollen die Chat-Betreiber das Vertrauen der Nutzer zurückgewinnen: „Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen“, so Kujath. Bei der Untersuchung des Datenleaks hat das Team die erste mögliche Schwachstelle ausgemacht, die für das Leak verantwortlich sein könnte. Auf einem Backupserver war nicht die neueste Betriebssystemversion installiert. Als Sofortmaßnahme wurde der Server abgeschaltet, auch ein Entfernen von noch unverschlüsselten Passwörtern in allen Datensätzen wurde eingeleitet.


Weiter heißt es, dass in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht wurden und noch weitere im Forum „nulled.to“. Knuddels teilte mit, dass alle Nutzer betroffen seien, die am 20. Juli 2018 einen Account beziehungsweise Nick bei Knuddels.de besessen hätten. Von zahlreichen Nutzern sind neben dem Chatnamen auch Passwort, Mailadresse sowie Angaben zum echten Vornamen oder zum Wohnort veröffentlich worden: 57 Prozent der Datensätze enthielten die E-Mail-Adresse, 30 Prozent die Stadt und 41 Prozent den Profilnamen. Laut Knuddels wären von den rund 808.000 Maildressen nur 320.000 verifiziert. Knuddels informierte weiterhin darüber, dass betroffene Accounts aus Sicherheitsgründen vorläufig deaktiviert worden seien. Da die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden, forderte Knuddels die User auf, auch auf anderen Seiten, bei denen dasselbe oder ein ähnliches Passwort verwendet wurde, auch dieses zu ändern. Bei Problemen und Fragen können sich Nutzer an den Support unter community@knuddels.de wenden.

Bildquelle: terimakasih0, thx! (CC0 Public Domain)

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.