Knuddels mit Sicherheitslücke: Daten von 1,8 Mio. Nutzern geleakt

Der Chat-Anbieter Knuddels meldet, dass Unbekannte Account-Daten von rund 1,8 Millionen Nutzern im Internet veröffentlicht haben.

Knuddels Smartphone

Am Freitag gab der Chat-Anbieter Knuddels, eine Karlsruher Firma, in einem Forenbeitrag bekannt, dass sie seit dem nunmehr 19. Jahr ihres Bestehens erstmals das Opfer eines erfolgreichen Hackerangriffs geworden sind. Ein unbekannter Täter veröffentlichte am 5. September 8.000 Mitgliederdaten auf Pastebin. Das wurde von einem IT-Sicherheitsmitarbeiter, einem ehemaligen Mitglied von Knuddels, bemerkt. Er wendete sich per E-Mail an Knuddels.de, woraufhin der Fall untersucht wird.

Probleme bei Knuddels

Das Angebot von Knuddels richtet sich hauptsächlich an Jugendliche. Ab einem Alter von 14 Jahren kann man sich dort anmelden. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, unterrichtet darüber, dass sie alle erforderlichen Schritte eingeleitet haben, um die Nutzerdaten zu schützen. Sie haben zudem die Behörden über den Vorfall informiert. Bisher gebe es jedoch noch keine Hinweise auf die Täter. Knuddels weist darauf hin, dass sie nach Bekanntwerden des Hacks den Sicherheitsstandard für Nutzerdaten noch einmal erhöht haben. So müssen sich Nutzer, die sich über ein bisher unbekanntes Gerät anmelden würden, nun über einen per SMS oder E-Mail erhaltenen Link authentifizieren.

Aus Sicherheitsgründen heraus müssen die User auch beim Log-in ein neues Passwort festlegen. Auf diese Weise wollen die Chat-Betreiber das Vertrauen der Nutzer zurückgewinnen. „Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen“, so Kujath. Bei der Untersuchung des Datenleaks hat das Team die erste mögliche Schwachstelle ausgemacht, die für das Leak verantwortlich sein könnte. Auf einem Backupserver war nicht die neueste Betriebssystemversion installiert. Als Sofortmaßnahme hat man den Server abgeschaltet. Auch das Entfernen von noch unverschlüsselten Passwörtern in allen Datensätzen hat man eingeleitet.


Über 800.000 Accounts bei Mega veröffentlicht

Weiter heißt es, dass in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht wurden und noch weitere im Forum „nulled.to“. Knuddels teilte mit, dass alle Nutzer betroffen seien, die am 20. Juli 2018 einen Account beziehungsweise Nick bei Knuddels.de besessen hätten. Von zahlreichen Nutzern sind neben dem Chatnamen auch Passwort, Mailadresse sowie Angaben zum echten Vornamen oder zum Wohnort veröffentlich worden.

57 Prozent der Datensätze enthielten die E-Mail-Adresse, 30 Prozent die Stadt und 41 Prozent den Profilnamen. Laut Knuddels wären von den rund 808.000 Maildressen nur 320.000 verifiziert. Knuddels informierte weiterhin darüber, dass man die betroffenen Accounts aus Sicherheitsgründen vorläufig deaktiviert hat. Da die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden, forderte Knuddels die User auf, auch auf anderen Seiten, bei denen dasselbe oder ein ähnliches Passwort verwendet wurde, auch dieses zu ändern. Bei Problemen und Fragen können sich Nutzer an den Support unter community@knuddels.de wenden.

Foto terimakasih0, thx! (CC0 1.0 PD)

Tarnkappe.info

Über den Autor

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.