Schock für die großteils jugendlichen Nutzer – Knuddels gab letzte Woche bekannt, dass aufgrund einer Sicherheitslücke Daten von 1,8 Millionen Usern im Internet veröffentlich wurden. Die Passwörter wurden aus „Sicherheitsgründen“ obendrein in Klartext statt als Hashwerte gespeichert, was den Leak noch drastischer macht. Betroffen sind laut Knuddels alle Nutzer, die am 20. Juli 2018 über einen Account bei der Plattform verfügt haben.
Kennst du Knuddels? Mittlerweile haben Facebook & Co der Chatcommunity schon lange den Rang abgelaufen. Aber 1999, als die Chat-Plattform an den Start ging, war sie bei Jugendlichen äußerst beliebt. Und so hat Knuddels auch heute noch 2 Millionen Mitglieder – von denen jetzt fast alle Daten veröffentlicht wurden. Warum das passiert ist, war kurz nach der Entdeckung noch unklar: „Sollte es ein Sicherheitsproblem geben, werden wir dieses schnellstmöglich beheben“, gab Knuddels im Rahmen seiner Warnung vor dem Leak in einem Forumsbeitrag bekannt. Weiters wurden die User, sobald sie chatten wollten, dazu aufgefordert, ihr Passwort zu ändern.
Inhaltsverzeichnis
Sehr viele Jugendliche vom Datenleck betroffen
Der geleakte Datensatz besteht laut Recherche von golem.de aus Daten wie Passwort, E-Mailadresse (in 57 %), Nickname und teils auch Namen (41 %) und Wohnort (30 %). Der Zugang dazu ist auf mega.nz nicht mehr möglich. Der erste Datensatz auf Pastebin, der 8.000 Nutzerdaten zeigt, war allerdings noch zugänglich. Die davon betroffenen Accounts hat Knuddels zuerst gesperrt, dann aber wieder aktiviert. Leider sind auch sehr viele Jugendlich von dem Datenleck betroffen. Eine Studie der Arbeitsgemeinschaft Online Forschung gab 2012 an, dass ca. 30 % der User jünger als 17 Jahre waren.
Passwörter nicht als Hashwerte sondern im Klartext gespeichert
Besonders prekär ist, dass Knuddels die Passwörter nicht als Hashwerte gespeichert hatte, sondern als Klartext, also für jedermann lesbar. Diese Vorgehensweise ist heute sehr unüblich, weil sie natürlich extreme Risiken birgt. Hashwerte hingegen verraten nur mit großem Rechenaufwand die tatsächlichen Passwörter. Warum also hat Knuddels dermaßen unbedacht gehandelt? Hierauf hat golem.de eine Antwort durch einen Anwalt von Knuddels erhalten, die interessanterweise doch mit Sicherheit zu tun hat: „Im Jahr 2016 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden“. Der Anwalt wies ebenfalls daraufhin, dass sowohl die Klartext-Passwörter, als auch der Filter letzten Freitag gelöscht wurden.
Grund wahrscheinlich Backup-Server mit veraltetem Betriebssystem
War zuvor noch unklar, wie es zudem Datenleak gekommen war, so vermutet man bei Knuddels momentan, im „Backup-Server, auf dem nicht die neueste Betriebssystemversion installiert war“ die Quelle des Übels gefunden zu haben. Knuddels-Geschäftsführer und Gründer Holger Kujath sprach den Usern eine Entschuldigung aus: „Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität.“ Ebenfalls eine große Rolle spielt für Knuddels, als „sichere Chatcommunity“ für Jugendliche anerkannt zu werden. In einem Spiegel-Interview verwies Kujath darauf, „seit Jahren gezielt gegen Cyber-Grooming vorzugehen.“ Außerdem hat Knuddels ein Jugendschutz-Team und einen Chatbot im Einsatz, die sich um die Sicherheit der Jugendlichen bei den Chats kümmern sollen: „Wenn spezielle Wörter oder Verhaltensweisen im Chat vorkommen, werden die Gespräche auch von uns nachträglich angeschaut. Wir haben eine Verantwortung gegenüber den jungen Nutzern.“
Umso ärgerlicher, dass bei all diesen Bemühen nun doch Hacker einen Weg gefunden haben, ein richtig großes Datenleck zu erzeugen – übrigens zum ersten Mal in der Geschichte von Knuddels seit Gründung Ende der 90er-Jahre. Mittlerweile haben sich auch die Datenschutzbehörden eingeschaltet und ein Vorgehen gegen Knuddels ist im Gespräch.
Quelle: golem.de, netzpolitik.org
Erstellt am: 14. September 2018
