Knuddels: Daten fast aller Nutzer im Klartext geleakt
von caschy | 15 Kommentare
Seit 1999 ist die Chat-Plattform Knuddels im Netz. Nutzer mussten sich registrieren und konnten dann miteinander kommunizieren. Hier fanden sich besonders viele Jugendliche ein, um sich mit anderen auszutauschen. In den Jahren verlor das Ganze natürlich an Charme, denn es kamen andere Netzwerke. Der Dienst ist allerdings bis heute aktiv und wird auch noch rege genutzt.
Nun musste man mitteilen, dass es wohl einen Hack oder ein Leck gegeben hat. Nutzer, die sich in den Chat einloggen, müssen ihr Passwort ändern.Offenbar sind Accountdaten im Klartext im Netz zu finden. Betroffen sind scheinbar fast alle Nutzer, wie es in der Meldung heißt:
„Wie uns mittlerweile bekannt ist, wurden die Daten der Nutzer veröffentlicht, die am 20.07.2018 einen Account bzw. Nick bei Knuddels.de hatten.“.
Die veröffentlichten Daten enthalten neben Nick und Passwort auch (wenn vorhanden) e-Mail-Adresse (in 57% der Fälle), Stadt (in 30% der Fälle) und Name im Profil (in 41% der Fälle).
Man habe unmittelbar Sicherheitsmaßnahmen eingeleitet und arbeite auch weiterhin daran herauszufinden, wie diese Daten veröffentlicht werden konnten.
So wie es kommuniziert wird, scheint alles unverschlüsselt gespeichert worden zu sein. Solltet ihr den Dienst also nutzen oder genutzt haben, dann solltet ihr vielleicht Passwörter ändern, sofern ihr kein einzigartiges bei Knuddels genutzt habt.
Wird geladen ...
Ich erinnere mich daran, dass Knuddels schon oft von jenen benutzt wurde, die sich stark zu Kindern und Jugendlichen „hingezogen“ fühl (t) en..
Die Polizei wirds freuen, wenn auch dieserlei Daten geleakt wurden.
Ja, weil die sich bestimmt mit ihren echten Daten registriert haben…
Wäre ja schön wenn die zuständigen Ermittlungsbehörden auch mal an die Daten kommen. Wenn in privaten Chaträumen für Minderjährige sich schon 40jährige tummeln, teilweise laut Profiltext mit eindeutigen Absichten… (Stand von vor ich glaub 8 Jahren) Daher wundert mich da nichts.
ich weiß nicht ob ich dort je angemeldet war und falls ja, ob ich das konto gelöscht habe und es dann auch wirklich gelöscht wurde (leider kann man sich darauf ja nicht verlassen – hier gibt es zu viele schwarze schafe) – daher wäre es schön, wenn man in nachrichten auch den zugehörigen pastebin link finden könnte.
Meine Güte. Unverschlüsselt. Im Klartext. Im Jahr 2018. ERNSTHAFT?
Auch verschlüsselt gehören Passwörter nicht gespeichert. Es sollten nur extra dafür ausgelegte Hashing-Verfahren benutzt werden.
Und dafür benutzt man kryptographische Hashfunktionen. Sie sind natürlich verschlüsselt. Nur eben mit sich selbst und dieser Schlüssel wird nicht im System gespeichert.
Hashfunktionen sind keine Verschlüsselung. Es gibt keinen Schlüssel, noch kann der Hashwert bei den meisten Verfahren überhaupt eindeutig einer Eingabe zugeordnet werden. Das alleine ist schon essentiell für ein Verschlüsselungsverfahren, da diese anders als Hashing-Verfahren unter Kenntnis des Schlüssels die Wiederherstellung des Klartextes erlauben.
WTF ist denn da aus meiner Welt ausgeblendet gewesen? Ich kann mich von Mitte bis Ende der 90er (damals Informatiksstudent) noch an viele Launches von Webdiensten erinnern, heise online, google, ebay, usw.
Knuddels höre ich heute bewusst zum ersten Mal, das ist komplett an mir vorbei gegangen.
man sollte knuddels eine strafe auferlegen. es kann nicht sein das nach etlichen skandalen immer noch sachen in klartext auf dem server liegen. frechheit.
auch wenn man sagen muss sie sprechen offen damit und so weiter, aber das geht gar nicht.
Knuddels?! Was ist das? Nie davon gehört.
„Man habe unmittelbar Sicherheitsmaßnahmen eingeleitet und arbeite auch weiterhin daran herauszufinden, wie diese Daten veröffentlicht werden konnten.“
Vollidioten. OK, gucken, wie man an die Daten kam (war wohl ein nicht aktueller Backup-Server, schlimm genug), ist die eine Sache. Die zweite Sache, und darüber sollten sie sich ernsthafte Gedanken machen, warum ist da Klartext (also die Passwörter)? Ich hätte ja noch verstehen können, wenn man das 1999 gemacht hätte, um schnell an den Markt zu kommen, ich meine, zu diese Zeit war das Sicherheitsbewusstsein einfach auf einem anderen Niveau aber spätestens 10 Jahre danach hätte irgend jemandem ja mal auffallen müssen, dass man da vollkommen unverantwortlich handelt. Allerspätestens nach den ersten bekannten Leaks hätte man dann Gegenmaßnamen erheben müssen. Schade, dass man dagegen nicht vorgehen kann.
Ich bin gespannt, wann ich es das letzte Mal erleben muss, dass irgendwo Passwörter im Klartext oder ungesalzene Hashes rumlagen.
Selbst für 1999 ist das nicht zu verstehen. Gehashte Passwörter – und dann /etc/shadow – war da unter UNIX schon längst Stand der Technik.
Von der DSGVO haben die auch noch nix gehört? Alles im Klartext? Das wird hoffentlich Ärger geben!
Knuddels höre ich zum ersten Mal. Ich werde wohl alt…
Ich bin der Meinung, dass solche fahrlässigen Leaks mittlerweile strafrechtlich verfolgt gehören. Wie viele andere Leaks gab es schon, wo Daten einfach in Klartext gespeichert waren? Es ist immer nur eine Frage der Zeit. Sofern dann wenigstens die Daten sauber verschlüsselt sind, passiert nicht viel weiter. Aber so hat man immer den Eindruck, dass solche Betreiber wie jetzt hier von Knuddels sich denken „Naja, kann uns ja nicht passieren“ und somit auch NICHTS ändern. Bei der aktuellen Wissenslage – und man kann es wirklich häufig verfolgen – erachte ich sowas als grob fahrlässig.