Abo
  • IT-Karriere:

Datenleck: Warum Knuddels seine Passwörter im Klartext speicherte

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Artikel veröffentlicht am ,
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz.
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz. (Bild: Knuddels.de/Screenshot: Golem.de)

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit. Am Wochenende war bekanntgeworden, dass eine Datenbank mit fast 1,9 Millionen Datensätzen der Nutzer geleakt worden war.

Stellenmarkt
  1. Kliniken Schmieder, Stuttgart
  2. Modis GmbH, Essen

Besonders problematisch war in diesem Fall, dass die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden. Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, hat man keinen direkten Zugriff auf die Passwörter. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden.

Ungepatchter Backup-Server als mögliche Ursache

Knuddels hatte bereits am Wochenende weitere Details zu dem Sicherheitsvorfall bekanntgegeben. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war". Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

In einer ebenfalls veröffentlichten Chronologie des Vorfalls heißt es, dass bereits am vergangenen Mittwoch ein erster Datensatz mit 8.000 Nutzerdaten auf Pastebin veröffentlicht worden sei. Bis Donnerstagnachmittag seien die Accounts der betroffenen Nutzer deaktiviert worden. Zudem wurden die Nutzer nach dem Login dazu aufgefordert, ihr Passwort neu zu setzen.

Gründer entschuldigt sich

Erst am Freitagnachmittag wurde dem Team demnach bekannt, dass der komplette Datensatz mit mehr als 1,8 Millionen Datensätzen auf mega.nz geleakt worden war. Daraufhin wurden alle Nutzer per E-Mail auf das Problem hingewiesen und beim Login aufgefordert, einen neues Passwort zu setzen. Mitglieder, die sich nicht über ein bekanntes Gerät einloggten, erhielten zudem einen Link per E-Mail oder SMS zum Setzen eines neuen Passworts. Nachdem der Hack der gesamten Datenbank bemerkt worden sei, habe das Unternehmen die zuvor deaktivierten 8.000 Accounts wieder freigeschaltet.

Auf Knuddels.de gibt es nach Unternehmensangaben derzeit 1,91 Millionen Accounts. Zusammen mit Knuddels.at existieren gut 2 Millionen Accounts. Es gebe Nutzer, die mehr als einen Account angemeldet hätten. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, entschuldigte sich bei den Nutzern. "Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität", sagte Kujath. 19 Jahre nach seiner Gründung sei Knuddels erstmals Opfer eines erfolgreichen Hackerangriffs geworden.

Nachtrag vom 11. September 2018, 14:01 Uhr

Das Unternehmen korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.



Anzeige
Spiele-Angebote
  1. 19,99€
  2. 26,99€
  3. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  4. (-79%) 8,50€

Leibi133 20. Sep 2018

Die gestohlenen Daten sind sehr wahrscheinlich immer noch verfügbar. Stand 20.09.2018...

andy01q 12. Sep 2018

Nur durch erhöhte Rechenleistung wird das nicht passieren. Aber evtl. findet man...

Lanski 11. Sep 2018

Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

Tyrola 11. Sep 2018

100% Zustimmung

SJ 11. Sep 2018

pass https://www.passwordstore.org/ In Bash geschrieben, einfach zu benutzen. Verwendet...


Folgen Sie uns
       


Akku-Recycling bei Duesenfeld

Das Unternehmen Duesenfeld aus Peine hat ein Verfahren für das Recycling von Elektroauto-Akkus entwickelt.

Akku-Recycling bei Duesenfeld Video aufrufen
Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /