Knuddels.de: Weitere Details zum Datenleck
von caschy | 10 Kommentare
Wir berichteten in diesem Beitrag darüber, dass es ein Datenleck bei Knuddels gegeben hat. In einem ersten Beitrag sprach man davon, dass wohl alle Accounts bis Juli 2018 betroffen sind, nun versucht man das Ganze zu relativieren. Über einen Anwalt ließ man erste Zahlen verlauten.
So wurden in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (sog. Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht. Wichtig sei, dass lediglich 320.000 Emailadressen verifiziert waren. Bei den weiteren handelt es sich vermutlich um ungültige Fantasie-Emailadressen, so die Verantwortlichen.
Nicht ermittelt werden konnte bislang, woher oder von wem die veröffentlichten Mitgliederdaten stammen. Knuddels.de hat seine Sicherheitsstandards in den vergangenen Stunden nochmals verstärkt. “Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen. Wir werden alles in unserer Macht stehende dafür tun, die Dinge aufzuklären und das Vertrauen zurück zu gewinnen,” so der Geschäftsführer in einem Statement, welches uns vorliegt.
Dass man kommuniziert, dass die veröffentlichten Daten Passwörter im Klartext enthalten, lässt darauf schließen, dass die Sicherheitsstandards nicht auf der Höhe der Zeit waren. Knuddels konnte einen Backup-Server identifizieren, der nicht auf der neuesten Betriebssystemversion lief. Dieser Server wurde am Freitag heruntergefahren. Die Server laufen auf Ubuntu Linux, mit automatisierten Sicherheitsupdates, heißt es weiter.
Am 5. September hatten bislang unbekannte Täter zunächst 8.000 Mitgliederdaten auf der Dokument-Plattform “Pastebin” veröffentlicht. Der Eintrag dort besteht aus den Pseudonymen, Passwort, der Email-Adresse (in 57% der Fälle), einer Angabe zum Vornamen (41%), sowie einer Angabe zum Wohnort (30%).
Am diesem Freitag (7. September) erreichte Knuddels dann die Informationen, dass ein weiterer Beitrag auf der Webseite “mega.nz” veröffentlicht wurde. Hierbei handelt es sich um einen Datensatz mit 1.872.000 Pseudonymen.
Wird geladen ...
Auf mega.nz „veröffentlicht“?
Dann kann ich ja auch sagen, dass ich meine Daten auf Google Drive oder Dropbox „veröffentliche“.
Ohne Direktlink geht da also nix.
Wenn Du Dateien bei Google Drive hochlädst, sind diese ja nicht automatisch via Direktlink zugänglich. Du musst da schon explizit eine Freigabe erteilen, damit die Inhalte zugänglich sind; ansonsten geht das nur mit deinem eigenen Account.
Wenn Du die Dateien freigibst und den Link auch Dritten zur Verfügung stellst, darf m. E. auch von einer Veröffentlichung gesprochen werden. Ist damit vielleicht nicht direkt öffentlich zugänglich, aber theoretisch könnte jeder, der diesen Link auch hat, darauf zugreifen.
Den Wortlaut finde ich trotzdem etwas verwirrend, weil hier von der Veröffentlichung eines „Beitrags“ auf der Website gesprochen wird. Aber das ist 1:1 der Wortlaut wie er im Knuddels-Forum steht.
Mh, wo kann man die Daten einsehen? Wird das BSI wieder ein Check zur Verfügung stellen?
da sieht man wie einen die vergangenheit einholen kann…das internet vergisst nichts, keine anmeldung die man irgendwan irgendwo mal getätigt hat.
Knuddels.de verfügt über einen eigenen Datenschutzbeauftragten und speichert auch noch im Jahr 2018 wissend das Passwort im Klartext. Reife Leistung.
Knuddels.de verfügt über einen eigenen Datenschutzbeauftragten und speichert auch noch im Jahr 2018 wissend das Passwort im Klartext. Reife Leistung.
Du willst gar nicht wissen, was die noch alles von den Leuten speichern und wissen.
Interessieren würde mich das schon. Schade, dass ich da nicht registriert bin sonst würde ich meine Daten anfordern
Bin registriert und habe meine Daten angefordert. Du bekommst nur das, was du selbst im Profil angegeben hast und deine letzten IPs und Logins. Seit dem Leck wird auch kommuniziert, wann zuletzt das Passwort geändert wurde, sonst nichts.
Ist ja schon enttäuschend diese Infos
DSGVO, weite deines Amtes, jetzt soll es Knuddels an den kragen gehen.