Datenleck: Warum Knuddels seine Passwörter im Klartext speicherte

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Artikel veröffentlicht am ,
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz.
Die Passwörter von fast 1,9 Milllionen Knuddels-Nutzern standen als Passwort im Netz. (Bild: Knuddels.de/Screenshot: Golem.de)

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. "Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden", teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit. Am Wochenende war bekanntgeworden, dass eine Datenbank mit fast 1,9 Millionen Datensätzen der Nutzer geleakt worden war.

Stellenmarkt
  1. Product Owner - Media Solutions (m/f/d)
    Cataneo GmbH, München
  2. Berater als Projektleiter (m/w/d) Software
    wiko Bausoftware GmbH, Freiburg im Breisgau
Detailsuche

Besonders problematisch war in diesem Fall, dass die Passwörter im Klartext und nicht als Hashwerte gespeichert wurden. Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, hat man keinen direkten Zugriff auf die Passwörter. Der Kanzlei zufolge wurde die ungehashte Version der Passwörter am vergangenen Freitag, 7. September 2018, um 7:00 Uhr gelöscht, die Filterfunktion sei ebenfalls deaktiviert worden.

Ungepatchter Backup-Server als mögliche Ursache

Knuddels hatte bereits am Wochenende weitere Details zu dem Sicherheitsvorfall bekanntgegeben. Ursache des Datenlecks war möglicherweise ein "Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war". Von den geleakten rund 808.000 E-Mail-Adressen seien 330.000 verifiziert gewesen.

In einer ebenfalls veröffentlichten Chronologie des Vorfalls heißt es, dass bereits am vergangenen Mittwoch ein erster Datensatz mit 8.000 Nutzerdaten auf Pastebin veröffentlicht worden sei. Bis Donnerstagnachmittag seien die Accounts der betroffenen Nutzer deaktiviert worden. Zudem wurden die Nutzer nach dem Login dazu aufgefordert, ihr Passwort neu zu setzen.

Gründer entschuldigt sich

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Erst am Freitagnachmittag wurde dem Team demnach bekannt, dass der komplette Datensatz mit mehr als 1,8 Millionen Datensätzen auf mega.nz geleakt worden war. Daraufhin wurden alle Nutzer per E-Mail auf das Problem hingewiesen und beim Login aufgefordert, einen neues Passwort zu setzen. Mitglieder, die sich nicht über ein bekanntes Gerät einloggten, erhielten zudem einen Link per E-Mail oder SMS zum Setzen eines neuen Passworts. Nachdem der Hack der gesamten Datenbank bemerkt worden sei, habe das Unternehmen die zuvor deaktivierten 8.000 Accounts wieder freigeschaltet.

Auf Knuddels.de gibt es nach Unternehmensangaben derzeit 1,91 Millionen Accounts. Zusammen mit Knuddels.at existieren gut 2 Millionen Accounts. Es gebe Nutzer, die mehr als einen Account angemeldet hätten. Holger Kujath, Gründer und Geschäftsführer von Knuddels.de, entschuldigte sich bei den Nutzern. "Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität", sagte Kujath. 19 Jahre nach seiner Gründung sei Knuddels erstmals Opfer eines erfolgreichen Hackerangriffs geworden.

Nachtrag vom 11. September 2018, 14:01 Uhr

Das Unternehmen korrigierte am Dienstag seine Angaben zur Speicherung der Passwörter als Hashwerte. Anders als ursprünglich mitgeteilt, würden die Passwörter nicht erst seit 2016, sondern bereits seit 2012 als Hashwert gespeichert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

Leibi133 20. Sep 2018

Die gestohlenen Daten sind sehr wahrscheinlich immer noch verfügbar. Stand 20.09.2018...

andy01q 12. Sep 2018

Nur durch erhöhte Rechenleistung wird das nicht passieren. Aber evtl. findet man...

Lanski 11. Sep 2018

Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

Tyrola 11. Sep 2018

100% Zustimmung

SJ 11. Sep 2018

pass https://www.passwordstore.org/ In Bash geschrieben, einfach zu benutzen. Verwendet...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /