Mixcloud: Daten von über 20 Millionen Nutzerkonten sind durch Sicherheitsleck im Umlauf

Wie man bei TechCrunch mitteilt, wurden dem Streamingdienst-Anbieter Mixcloud Nutzerdaten von über 20 Millionen Benutzerkonten entwendet. Darunter befinden sich demnach Benutzernamen, E-Mail-Adressen und wohl auch Passwörter. Diese seien aber durch SHA-2-Algorithmen verschlüsselt, wodurch sie angeblich nahezu unangreifbar sein sollen, so TechCrunch weiter. Vollständige Sicherheit bietet diese Aussage aber natürlich auf keinen Fall. Als Nutzer des Dienstes ist es auf jeden Fall ratsam, das dortige Passwort zu ändern.

Die gestohlenen Daten stehen angeblich im Dark Web zum Verkauf, einen Teil der Daten konnte sich TechCrunch durch eine nicht weiter genannte Quelle übermitteln lassen. Aus deren Informationen gehe auch hervor, dass der Einbruch ins System von Mixcloud bereits Anfang November erfolgt sein muss. Ebenfalls befinden sich unter den Daten wohl Informationen bezüglich der Anmeldedaten und das Datum der letzten Anmeldung bei Mixloud. Zu den Anmeldedaten zählen demnach auch das Land, aus dem sicher der Nutzer angemeldet hat, seine IP zu dem Zeitpunkt und Links zu den Profilfotos.

Als in London ansässiges Unternehmen unterliegt Mixcloud den britischen und europäischen Datenschutzbestimmungen. Sollte sich herausstellen, dass das Unternehmen durch das Sicherheitsleck in irgendeiner Form gegen die Bestimmungen der EU-DSGVO verstoßen haben sollte, könnte es mit einer Geldstrafe von bis zu vier Prozent ihres Jahresumsatzes belegt werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

14 Kommentare

  1. Meine Fresse. Als wenn ne AES-Verschlüsselung mit ner ordentlicher Bitrate heutzutage was Neues wäre. Sollte zur DSGVO-Pficht werden mit ruinösen Strafzahlungen und jährlichen Audits. Sonst bekommen wir das nie weg.

    • Wer redet denn von AES? Das wäre zwar eine sichere Verschlüsselung, für Passwörter aber vollkommen untauglich, jedenfalls in einem Webdienst, für einen Passwort Manager sähe das anders aus. Für die Passwörter wurde Sha-2 verwendet. Das ist immerhin eine passende Technologie (Hashing, nicht Verschlüsselung) und besser als Sha-1, ob es aber technisch gut gelöst ist, steht nicht im Artikel. Dazu müsste man wissen, ob zusätzlich gesalzen wurde. Sonst wäre ein Angriff auf die Konten mittels vorberechneter Hashes möglich.

    • Ist Mixcloud denn n europäischer Anbieter? Denn nur dann greift die DSGVO.
      Und wie willst Du den Usern beibringen, Passwörter mit einer ordentlichen Stärke zu nutzen, für jeden Dienst/Seite ein anderes? Selbst wenn der Anbieter alles technisch mögliche tut, um die Login-Daten zu schützen, bleibt immer der User als Unsicherheitsfaktor.

      • Nö, das ist nicht richtig. DSGVO gilt für alle europäischen Data Subjects. Ist ein Europäer in der DB, gilt die DSGVO auch für Mixcloud.

  2. Neuland, genaueres weiß man nicht

  3. account gelöscht – war ohnehin kaum noch in nutzung und nix weiter eingepflegt, was sensibel war (z.b. zahlungsdaten o.ä.). aber auch so. auf wiedersehen mixcloud

  4. SHA2 ist keine Verschlüsselung, sondern ein Hashverfahren. Sinn hierbei ist es: Es ist einfach, aus einer Eingabe eine Ausgabe zu erzeugen, aber eigentlich unmöglich, dies zurückzurechnen. Viele Hash-Verfahren (MD5, SHA1, SHA2, etc.) erzeugen aus einer beliebig langen Eingabe eine konstant lange Ausgabe.
    Allerdings sind so gespeicherte Passwörter, wenn diese leicht zu erraten sind, sehr anfällig für Angriffe mit vorberechneten Tabellen (Rainbowtables). Damit können dann vergleichsweise einfache Passwörter schnell hops genommen werden. Deswegen kann man für jeden Account noch zusätzlich einen sogenannten Salt mit in den Hashing-Algorithmus geben, der für jeden Account unterschiedlich ist. Damit erschwert man erheblich den Angriff mit vorberechneten Werten.
    Aber gehashte Passwörter sind allgemein nicht unendlich wiederstandsfähig. Alles steht und fällt mit dem genutzten Passwort, ein Passwort wie „123456“ ist trotz alledem mit heutiger Hardware in einigen Sekunden geknacht.

  5. Sehr gut, da sind so viele Nazis unterwegs deren Daten sicher interessant sind

    • Unglaublich. Selbst bei so einem Thema schaffen es die Leute das Wort „Nazi“ zu platzieren. Du hast definitiv nicht mehr alle Latten am Zaun. Hier gehts um IT und nicht um Deine kleine Blase in der Du scheinbar lebst.

    • Selbst wenn dem so wäre, warum ist es dann besser als wenn keine da wären? Was ist mit den Nicht-Nazis bei Mixcloud? Sippenhaft? Und was wäre, es keine Nazis, sondern RAFler wären? Genau das ist es, was mich an Antifa stört, es sind rot lackierte Nazis. Nie wieder NSDAP und nie wieder Kommunismus Diktatur. Freiheit für alle egal welcher Religion, Herkunft, Hautfarbe, Geschlecht, sexuelle Orientierung usw.

    • Hab ich das gerade richtig gelesen, das Du Dich selbst als Nazi betitelst? Oder bist Du die viel zitierte Ausnahme?
      Am besten gehst Du am Montag zum Arzt und lässt Deine Nazi-Phobie behandeln. Und wenn Du irgendwann wieder in der Realität lebst, reden wir miteinander.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.