Datenleck: App leakt zwei Millionen WLAN-Passwörter

Eine ungeschützte Datenbank einer Android-App verrät die Zugangsdaten von zwei Millionen WLANs. Eigentlich sollten sich Nutzer der App nur unkompliziert mit öffentlichen Hotspots verbinden können, doch die Datenbank enthält auch die Zugangsdaten zu vielen privaten Wi-Fis.

Artikel veröffentlicht am ,
Ob dein Wi-Fi auch in dem Datenleck ist?
Ob dein Wi-Fi auch in dem Datenleck ist? (Bild: Bernard Hermant/Unsplash)

Mit der Android-App WiFi Finder sollen sich Nutzer mit Hotspots in ihrer Umgebung verbinden können - und die Passwörter von Hotspots hochladen können, damit sich auch andere Nutzer automatisch mit diesen verbinden können. Die Passwörter wurden von der App im Klartext in einer Datenbank gespeichert, die ungeschützt über das Internet erreichbar war. Laut einem Bericht von Techcrunch entdeckte der Sicherheitsforscher Sanyam Jain das Datenleck - in dem sich nicht nur Hotspots, sondern auch die Zugangsdaten zu privaten WLANs befunden hätten. Die Datenbank wurde mittlerweile vom Netz genommen.

Stellenmarkt
  1. Assistent (m/w/d) des Vorstands
    Württembergische Versicherung AG, Stuttgart
  2. Inhouse SAP FI/CO-Berater (m/w/d)
    THOMAS SABO GmbH & Co. KG, Lauf an der Pegnitz
Detailsuche

Die Datenbank enthielt die Namen (SSID, Service Set Identifier) von rund zwei Millionen Wi-Fi-Netzwerken, dazu die Passwörter im Klartext sowie die Geokoordinaten. Zudem wurde die BSSID (Basic Service Set Identification) gespeichert, eine eindeutige ID der einzelnen Accesspoints.

Die App behauptet zwar, nur die Passwörter zu öffentlichen Hotspots anzubieten, laut Techcrunch befanden sich in der Datenbank jedoch auch unzählige Heimnetzwerke. Beispielsweise habe man viele WLANs in reinen Wohngegenden verorten können. Jeder App-Nutzer habe beliebige, ihm zur Verfügung stehende Zugangsdaten zu Wi-Fis hochladen können - eine Erlaubnis des Netzwerkeigentümers sei hierfür nicht erforderlich gewesen. Möglicherweise sind die Zugangsdaten zu den privaten Netzwerken in der Datenbank also ohne das Wissen der Eigentümer der jeweiligen WLANs in der Datenbank gelandet.

Kein Kontakt zu Entwickler

Techcrunch versuchte über zwei Wochen, den Entwickler des WiFi Finders zu erreichen - ohne Erfolg. Anschließend kontaktierten sie den Webhoster Digital Ocean, auf dessen Servern die Datenbank gespeichert war. Dieser reagierte prompt: Binnen eines Tages war die Datenbank nicht mehr aus dem Internet zu erreichen.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

In der Datenbank seien keine Kontaktdaten zu den jeweiligen Netzbetreibern hinterlegt, daher habe man diese nicht kontaktieren und auf das Problem hinweisen können, schreibt Techcrunch. Mehrere 10.000 WLANs hätten sich in den USA befunden. Wie die restlichen WLANs weltweit verteilt waren, verrät der Bericht nicht. Die App verzeichnet laut Googles Playstore über 100.000 Installationen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
E-Learning-Plattform
Mysteriöses Datenleck bei Oncampus
artikel-bild
Vergleich
Yahoo soll 118 Millionen US-Dollar für Hacks bezahlen
artikel-bild
Sicherheitsprobleme
Schlechte Passwörter bei Ärzten
artikel-bild
Passwort-Richtlinien
Schlechte Passwörter vermeiden
artikel-bild
Datenleck
Nutzerdaten von Facebook-Apps ungeschützt im Internet
Meistgelesen
artikel-bild
Microsoft
11 gute Gründe gegen den Umstieg auf Windows 11
artikel-bild
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig
artikel-bild
Sportuhr im Hands-on
Garmin Fenix 7 mit Touchscreen und Saphirglas-Solarstrom
artikel-bild
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?
artikel-bild
Bundesservice Telekommunikation
Die dubiose Adresse in Berlin-Treptow
Kommentarübersicht
Re: Das ist kein Leck
Skeltek 30. Apr 2019

Es könnten ja auch Gast-WLANs privater Haushalte sein.

Gastzugänge?
Skeltek 30. Apr 2019

Dass sich die WLANs in einem reinen Wohngebiet befinden sagt noch lange nichts darüber...

Re: "auf die komplette Sicherung auf Google Drive...
MoodyMammoth 30. Apr 2019

Eher grob fahrlässig, die Daten in die Cloud zu jagen.

Re: Was funktioniert?
Fun 25. Apr 2019

Nein, war das erste und letzte mal dass ich das Ding ausprobiert hatte.

Wo bleibt da die Strafverfolgung?
Herricht 24. Apr 2019

Derartige Apps, die ohne deren Einverständnis Daten Unbeteiligter abgreifen, sind meines...

Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 wohl am 19.01. bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /