Abo
  • Services:

Datenleck: Warum Knuddels seine Passwörter im Klartext speicherte

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Artikel veröffentlicht am ,
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz.
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz. (Bild: Knuddels.de/Screenshot: Golem.de)

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit. Am Wochenende war bekanntgeworden, dass eine Datenbank mit fast 1,9 Millionen Datensätzen der Nutzer geleakt worden war.

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  2. Techniker Krankenkasse, Hamburg

Besonders problematisch war in diesem Fall, dass die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden. Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, hat man keinen direkten Zugriff auf die Passwörter. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden.

Ungepatchter Backup-Server als mögliche Ursache

Knuddels hatte bereits am Wochenende weitere Details zu dem Sicherheitsvorfall bekanntgegeben. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war". Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

In einer ebenfalls veröffentlichten Chronologie des Vorfalls heißt es, dass bereits am vergangenen Mittwoch ein erster Datensatz mit 8.000 Nutzerdaten auf Pastebin veröffentlicht worden sei. Bis Donnerstagnachmittag seien die Accounts der betroffenen Nutzer deaktiviert worden. Zudem wurden die Nutzer nach dem Login dazu aufgefordert, ihr Passwort neu zu setzen.

Gründer entschuldigt sich

Erst am Freitagnachmittag wurde dem Team demnach bekannt, dass der komplette Datensatz mit mehr als 1,8 Millionen Datensätzen auf mega.nz geleakt worden war. Daraufhin wurden alle Nutzer per E-Mail auf das Problem hingewiesen und beim Login aufgefordert, einen neues Passwort zu setzen. Mitglieder, die sich nicht über ein bekanntes Gerät einloggten, erhielten zudem einen Link per E-Mail oder SMS zum Setzen eines neuen Passworts. Nachdem der Hack der gesamten Datenbank bemerkt worden sei, habe das Unternehmen die zuvor deaktivierten 8.000 Accounts wieder freigeschaltet.

Auf Knuddels.de gibt es nach Unternehmensangaben derzeit 1,91 Millionen Accounts. Zusammen mit Knuddels.at existieren gut 2 Millionen Accounts. Es gebe Nutzer, die mehr als einen Account angemeldet hätten. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, entschuldigte sich bei den Nutzern. "Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität", sagte Kujath. 19 Jahre nach seiner Gründung sei Knuddels erstmals Opfer eines erfolgreichen Hackerangriffs geworden.

Nachtrag vom 11. September 2018, 14:01 Uhr

Das Unternehmen korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.



Anzeige
Blu-ray-Angebote

Leibi133 20. Sep 2018 / Themenstart

Die gestohlenen Daten sind sehr wahrscheinlich immer noch verfügbar. Stand 20.09.2018...

andy01q 12. Sep 2018 / Themenstart

Nur durch erhöhte Rechenleistung wird das nicht passieren. Aber evtl. findet man...

Lanski 11. Sep 2018 / Themenstart

Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

Tyrola 11. Sep 2018 / Themenstart

100% Zustimmung

SJ 11. Sep 2018 / Themenstart

pass https://www.passwordstore.org/ In Bash geschrieben, einfach zu benutzen. Verwendet...

Kommentieren


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
15 Jahre Extreme Edition: Als Intel noch AMD zuvorkommen musste
15 Jahre Extreme Edition
Als Intel noch AMD zuvorkommen musste

Seit 2003 verkauft Intel seine CPU-Topmodelle für Spieler und Enthusiasten als Extreme Edition. Wir blicken zurück auf 15 Jahre voller zweckentfremdeter Xeon-Chips, Mainboards mit Totenschädeln und extremer Prozessoren, die mit Phasenkühlung demonstriert wurden.
Von Marc Sauter

  1. Quartalszahlen Intel legt 19-Milliarden-USD-Rekord vor
  2. Ryan Shrout US-Journalist wird Chief Performance Strategist bei Intel
  3. Iris GPU Intel baut neuen und schnelleren Grafiktreiber unter Linux

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

    •  /