Datenleck: App leakt zwei Millionen WLAN-Passwörter

Eine ungeschützte Datenbank einer Android-App verrät die Zugangsdaten von zwei Millionen WLANs. Eigentlich sollten sich Nutzer der App nur unkompliziert mit öffentlichen Hotspots verbinden können, doch die Datenbank enthält auch die Zugangsdaten zu vielen privaten Wi-Fis.

Artikel veröffentlicht am ,
Ob dein Wi-Fi auch in dem Datenleck ist?
Ob dein Wi-Fi auch in dem Datenleck ist? (Bild: Bernard Hermant/Unsplash)

Mit der Android-App WiFi Finder sollen sich Nutzer mit Hotspots in ihrer Umgebung verbinden können - und die Passwörter von Hotspots hochladen können, damit sich auch andere Nutzer automatisch mit diesen verbinden können. Die Passwörter wurden von der App im Klartext in einer Datenbank gespeichert, die ungeschützt über das Internet erreichbar war. Laut einem Bericht von Techcrunch entdeckte der Sicherheitsforscher Sanyam Jain das Datenleck - in dem sich nicht nur Hotspots, sondern auch die Zugangsdaten zu privaten WLANs befunden hätten. Die Datenbank wurde mittlerweile vom Netz genommen.

Stellenmarkt
  1. Assistent (m/w/d) des Vorstands
    Württembergische Versicherung AG, Stuttgart
  2. Inhouse SAP FI/CO-Berater (m/w/d)
    THOMAS SABO GmbH & Co. KG, Lauf an der Pegnitz
Detailsuche

Die Datenbank enthielt die Namen (SSID, Service Set Identifier) von rund zwei Millionen Wi-Fi-Netzwerken, dazu die Passwörter im Klartext sowie die Geokoordinaten. Zudem wurde die BSSID (Basic Service Set Identification) gespeichert, eine eindeutige ID der einzelnen Accesspoints.

Die App behauptet zwar, nur die Passwörter zu öffentlichen Hotspots anzubieten, laut Techcrunch befanden sich in der Datenbank jedoch auch unzählige Heimnetzwerke. Beispielsweise habe man viele WLANs in reinen Wohngegenden verorten können. Jeder App-Nutzer habe beliebige, ihm zur Verfügung stehende Zugangsdaten zu Wi-Fis hochladen können - eine Erlaubnis des Netzwerkeigentümers sei hierfür nicht erforderlich gewesen. Möglicherweise sind die Zugangsdaten zu den privaten Netzwerken in der Datenbank also ohne das Wissen der Eigentümer der jeweiligen WLANs in der Datenbank gelandet.

Kein Kontakt zu Entwickler

Techcrunch versuchte über zwei Wochen, den Entwickler des WiFi Finders zu erreichen - ohne Erfolg. Anschließend kontaktierten sie den Webhoster Digital Ocean, auf dessen Servern die Datenbank gespeichert war. Dieser reagierte prompt: Binnen eines Tages war die Datenbank nicht mehr aus dem Internet zu erreichen.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

In der Datenbank seien keine Kontaktdaten zu den jeweiligen Netzbetreibern hinterlegt, daher habe man diese nicht kontaktieren und auf das Problem hinweisen können, schreibt Techcrunch. Mehrere 10.000 WLANs hätten sich in den USA befunden. Wie die restlichen WLANs weltweit verteilt waren, verrät der Bericht nicht. Die App verzeichnet laut Googles Playstore über 100.000 Installationen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Skeltek 30. Apr 2019

Es könnten ja auch Gast-WLANs privater Haushalte sein.

Skeltek 30. Apr 2019

Dass sich die WLANs in einem reinen Wohngebiet befinden sagt noch lange nichts darüber...

MoodyMammoth 30. Apr 2019

Eher grob fahrlässig, die Daten in die Cloud zu jagen.

Fun 25. Apr 2019

Nein, war das erste und letzte mal dass ich das Ding ausprobiert hatte.

Herricht 24. Apr 2019

Derartige Apps, die ohne deren Einverständnis Daten Unbeteiligter abgreifen, sind meines...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 wohl am 19.01. bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /