• IT-Karriere:
  • Services:

Datenleck: Warum Knuddels seine Passwörter im Klartext speicherte

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Artikel veröffentlicht am ,
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz.
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz. (Bild: Knuddels.de/Screenshot: Golem.de)

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit. Am Wochenende war bekanntgeworden, dass eine Datenbank mit fast 1,9 Millionen Datensätzen der Nutzer geleakt worden war.

Stellenmarkt
  1. Universität Osnabrück, Osnabrück-Westerberg
  2. Analytik Jena GmbH, Jena

Besonders problematisch war in diesem Fall, dass die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden. Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, hat man keinen direkten Zugriff auf die Passwörter. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden.

Ungepatchter Backup-Server als mögliche Ursache

Knuddels hatte bereits am Wochenende weitere Details zu dem Sicherheitsvorfall bekanntgegeben. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war". Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

In einer ebenfalls veröffentlichten Chronologie des Vorfalls heißt es, dass bereits am vergangenen Mittwoch ein erster Datensatz mit 8.000 Nutzerdaten auf Pastebin veröffentlicht worden sei. Bis Donnerstagnachmittag seien die Accounts der betroffenen Nutzer deaktiviert worden. Zudem wurden die Nutzer nach dem Login dazu aufgefordert, ihr Passwort neu zu setzen.

Gründer entschuldigt sich

Erst am Freitagnachmittag wurde dem Team demnach bekannt, dass der komplette Datensatz mit mehr als 1,8 Millionen Datensätzen auf mega.nz geleakt worden war. Daraufhin wurden alle Nutzer per E-Mail auf das Problem hingewiesen und beim Login aufgefordert, einen neues Passwort zu setzen. Mitglieder, die sich nicht über ein bekanntes Gerät einloggten, erhielten zudem einen Link per E-Mail oder SMS zum Setzen eines neuen Passworts. Nachdem der Hack der gesamten Datenbank bemerkt worden sei, habe das Unternehmen die zuvor deaktivierten 8.000 Accounts wieder freigeschaltet.

Auf Knuddels.de gibt es nach Unternehmensangaben derzeit 1,91 Millionen Accounts. Zusammen mit Knuddels.at existieren gut 2 Millionen Accounts. Es gebe Nutzer, die mehr als einen Account angemeldet hätten. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, entschuldigte sich bei den Nutzern. "Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität", sagte Kujath. 19 Jahre nach seiner Gründung sei Knuddels erstmals Opfer eines erfolgreichen Hackerangriffs geworden.

Nachtrag vom 11. September 2018, 14:01 Uhr

Das Unternehmen korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 49,99€ (Release 7. Mai)
  2. 27,99€
  3. 29,99€

Leibi133 20. Sep 2018

Die gestohlenen Daten sind sehr wahrscheinlich immer noch verfügbar. Stand 20.09.2018...

andy01q 12. Sep 2018

Nur durch erhöhte Rechenleistung wird das nicht passieren. Aber evtl. findet man...

Lanski 11. Sep 2018

Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

Tyrola 11. Sep 2018

100% Zustimmung

SJ 11. Sep 2018

pass https://www.passwordstore.org/ In Bash geschrieben, einfach zu benutzen. Verwendet...


Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
BVG: Lieber ungeschützt im Nahverkehr
BVG
Lieber ungeschützt im Nahverkehr

In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.
Ein IMHO von Moritz Tremmel

  1. Mobilitätswende Berlin schickt 100. Elektrobus auf die Straße
  2. Solaris Urbino 18 electric Berliner Verkehrsbetriebe mit elektrischen Gelenkbussen
  3. Dekarbonisierung Alle Berliner Busse werden elektrisch

Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

IT-Security outsourcen: Besser als gar keine Sicherheit
IT-Security outsourcen
Besser als gar keine Sicherheit

Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.
Von Boris Mayer

  1. Joe Biden Stellenanzeige im Quellcode von Whitehouse.gov versteckt
  2. Sturm auf Kapitol Pelosis Laptop sollte Russland angeboten werden
  3. Malware Offenbar Ermittlungen gegen Jetbrains nach Solarwinds-Hack

    •  /