Datenleck: Warum Knuddels seine Passwörter im Klartext speicherte

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Artikel veröffentlicht am ,
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz.
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz. (Bild: Knuddels.de/Screenshot: Golem.de)

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit. Am Wochenende war bekanntgeworden, dass eine Datenbank mit fast 1,9 Millionen Datensätzen der Nutzer geleakt worden war.

Stellenmarkt
  1. (Junior) Data Scientist (m/w/d) im Chief Data Office
    Allianz Versicherungs-AG, München Unterföhring
  2. Entwicklungsingenieur (m/w/d) im Bereich Maschinensoftware
    Kleemann GmbH, Göppingen
Detailsuche

Besonders problematisch war in diesem Fall, dass die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden. Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, hat man keinen direkten Zugriff auf die Passwörter. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden.

Ungepatchter Backup-Server als mögliche Ursache

Knuddels hatte bereits am Wochenende weitere Details zu dem Sicherheitsvorfall bekanntgegeben. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war". Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

In einer ebenfalls veröffentlichten Chronologie des Vorfalls heißt es, dass bereits am vergangenen Mittwoch ein erster Datensatz mit 8.000 Nutzerdaten auf Pastebin veröffentlicht worden sei. Bis Donnerstagnachmittag seien die Accounts der betroffenen Nutzer deaktiviert worden. Zudem wurden die Nutzer nach dem Login dazu aufgefordert, ihr Passwort neu zu setzen.

Gründer entschuldigt sich

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Erst am Freitagnachmittag wurde dem Team demnach bekannt, dass der komplette Datensatz mit mehr als 1,8 Millionen Datensätzen auf mega.nz geleakt worden war. Daraufhin wurden alle Nutzer per E-Mail auf das Problem hingewiesen und beim Login aufgefordert, einen neues Passwort zu setzen. Mitglieder, die sich nicht über ein bekanntes Gerät einloggten, erhielten zudem einen Link per E-Mail oder SMS zum Setzen eines neuen Passworts. Nachdem der Hack der gesamten Datenbank bemerkt worden sei, habe das Unternehmen die zuvor deaktivierten 8.000 Accounts wieder freigeschaltet.

Auf Knuddels.de gibt es nach Unternehmensangaben derzeit 1,91 Millionen Accounts. Zusammen mit Knuddels.at existieren gut 2 Millionen Accounts. Es gebe Nutzer, die mehr als einen Account angemeldet hätten. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, entschuldigte sich bei den Nutzern. "Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität", sagte Kujath. 19 Jahre nach seiner Gründung sei Knuddels erstmals Opfer eines erfolgreichen Hackerangriffs geworden.

Nachtrag vom 11. September 2018, 14:01 Uhr

Das Unternehmen korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Sexismus: Mitarbeiter von Blizzard wenden sich gegen Management
    Sexismus
    Mitarbeiter von Blizzard wenden sich gegen Management

    Der Konflikt bei Activision Blizzard eskaliert, die Arbeit an World of Warcraft soll weitgehend eingestellt sein.

  2. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

  3. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.

Leibi133 20. Sep 2018

Die gestohlenen Daten sind sehr wahrscheinlich immer noch verfügbar. Stand 20.09.2018...

andy01q 12. Sep 2018

Nur durch erhöhte Rechenleistung wird das nicht passieren. Aber evtl. findet man...

Lanski 11. Sep 2018

Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

Tyrola 11. Sep 2018

100% Zustimmung

SJ 11. Sep 2018

pass https://www.passwordstore.org/ In Bash geschrieben, einfach zu benutzen. Verwendet...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /