Knuddels.de: Weitere Details zum Datenleck

Wir berichteten in diesem Beitrag darüber, dass es ein Datenleck bei Knuddels gegeben hat. In einem ersten Beitrag sprach man davon, dass wohl alle Accounts bis Juli 2018 betroffen sind, nun versucht man das Ganze zu relativieren. Über einen Anwalt ließ man erste Zahlen verlauten.

So wurden in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (sog. Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht. Wichtig sei, dass lediglich 320.000 Emailadressen verifiziert waren. Bei den weiteren handelt es sich vermutlich um ungültige Fantasie-Emailadressen, so die Verantwortlichen.

Nicht ermittelt werden konnte bislang, woher oder von wem die veröffentlichten Mitgliederdaten stammen. Knuddels.de hat seine Sicherheitsstandards in den vergangenen Stunden nochmals verstärkt. “Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen. Wir werden alles in unserer Macht stehende dafür tun, die Dinge aufzuklären und das Vertrauen zurück zu gewinnen,” so der Geschäftsführer in einem Statement, welches uns vorliegt.

Dass man kommuniziert, dass die veröffentlichten Daten Passwörter im Klartext enthalten, lässt darauf schließen, dass die Sicherheitsstandards nicht auf der Höhe der Zeit waren.  Knuddels konnte einen Backup-Server identifizieren, der nicht auf der neuesten Betriebssystemversion lief. Dieser Server wurde am Freitag heruntergefahren. Die Server laufen auf Ubuntu Linux, mit automatisierten Sicherheitsupdates, heißt es weiter.

Am 5. September hatten bislang unbekannte Täter zunächst 8.000 Mitgliederdaten auf der Dokument-Plattform “Pastebin” veröffentlicht. Der Eintrag dort besteht aus den Pseudonymen, Passwort, der Email-Adresse (in 57% der Fälle), einer Angabe zum Vornamen (41%), sowie einer Angabe zum Wohnort (30%).

Am diesem Freitag (7. September) erreichte Knuddels dann die Informationen, dass ein weiterer Beitrag auf der Webseite “mega.nz” veröffentlicht wurde. Hierbei handelt es sich um einen Datensatz mit 1.872.000 Pseudonymen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Auf mega.nz „veröffentlicht“?
    Dann kann ich ja auch sagen, dass ich meine Daten auf Google Drive oder Dropbox „veröffentliche“.
    Ohne Direktlink geht da also nix.

    • Wenn Du Dateien bei Google Drive hochlädst, sind diese ja nicht automatisch via Direktlink zugänglich. Du musst da schon explizit eine Freigabe erteilen, damit die Inhalte zugänglich sind; ansonsten geht das nur mit deinem eigenen Account.

      Wenn Du die Dateien freigibst und den Link auch Dritten zur Verfügung stellst, darf m. E. auch von einer Veröffentlichung gesprochen werden. Ist damit vielleicht nicht direkt öffentlich zugänglich, aber theoretisch könnte jeder, der diesen Link auch hat, darauf zugreifen.

      Den Wortlaut finde ich trotzdem etwas verwirrend, weil hier von der Veröffentlichung eines „Beitrags“ auf der Website gesprochen wird. Aber das ist 1:1 der Wortlaut wie er im Knuddels-Forum steht.

  2. Mh, wo kann man die Daten einsehen? Wird das BSI wieder ein Check zur Verfügung stellen?
    da sieht man wie einen die vergangenheit einholen kann…das internet vergisst nichts, keine anmeldung die man irgendwan irgendwo mal getätigt hat.

    • Knuddels.de verfügt über einen eigenen Datenschutzbeauftragten und speichert auch noch im Jahr 2018 wissend das Passwort im Klartext. Reife Leistung.

  3. Knuddels.de verfügt über einen eigenen Datenschutzbeauftragten und speichert auch noch im Jahr 2018 wissend das Passwort im Klartext. Reife Leistung.

    • Du willst gar nicht wissen, was die noch alles von den Leuten speichern und wissen.

      • Interessieren würde mich das schon. Schade, dass ich da nicht registriert bin sonst würde ich meine Daten anfordern

        • Bin registriert und habe meine Daten angefordert. Du bekommst nur das, was du selbst im Profil angegeben hast und deine letzten IPs und Logins. Seit dem Leck wird auch kommuniziert, wann zuletzt das Passwort geändert wurde, sonst nichts.

  4. DSGVO, weite deines Amtes, jetzt soll es Knuddels an den kragen gehen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.