Neue Leaks: "Have I Been Pwned" um 17,5 Millionen Nutzerdatensätze erweitert

Teils sehr sensible Daten von Nutzern des hierzulande eher unbekannten Video-Makers "Promo" und der Banking-App "Dave" wurden kürzlich kompromittiert.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 40 Beiträge

"Promo" und "Dave" kamen kürzlich teils sensible Nutzerdaten abhanden.

(Bild: Screenshot / Collage)

Update
Von

Der Passwort-Prüfdienst "Have I Been Pwned" (HIBP) hat seine Datenbank innerhalb von 24 Stunden um Informationen zu über 17,5 Millionen Nutzer-Accounts erweitert, die erst kürzlich geleakt wurden. Ein Teil der Daten, so schreibt HIBP auf Twitter, sei allerdings schon im Zuge früherer Leaks in der Prüfdienst-Datenbank erfasst worden.

Details zu den Datenlecks nennen der "Who's been pwned"-Bereich bei HIBP sowie Twitter-Beiträge des Prüfdienstes. Demnach wurden die Daten von Nutzern des Video-Makers "Promo" und der Banking-App "Dave" im Juni (dave.com) beziehungsweise Juli (promo.com) dieses Jahres kompromittiert.

Im Falle von Promo umfasste das Datenleck demnach Informationen zu 14.610.585 Nutzer-Accounts – E-Mail- und IP-Adressen, Namen, Adressen, Geschlecht sowie Passwort-Hashes (SHA-256 mit Salt). Die Daten seien "ausgiebig" in einem Hacking-Forum verbreitet worden. Einer FAQ zum Promo-Breach zufolge wurde das zugrundeliegende, durch einen Drittanbieter-Service verursachte Problem behoben. Betroffene Nutzer seien informiert und sicherheitshalber zur Passwortänderung aufgefordert worden. Logins über den Umweg von Social-Media-Accounts seien nicht betroffen.

Lesen Sie auch

Auch die Daten aus der Banking-App Dave, die 2.964.182 Nutzern zuzuordnen sind, tauchten in einem Hacking-Forum auf und waren dort als öffentlicher Download verfügbar. Laut HIBP handelte es sich hier um E-Mail-Adressen, Namen, Geburtsdaten, "verschlüsselte" Sozialversicherungsnummern (wobei das konkrete Verfahren nicht genannt wird) sowie (als bcrypt-Hashes gespeicherte) Passwörter.

Auch das Dave-Team hat ein Statement veröffentlicht, nennt dort ebenfalls einen Drittanbieter als Ursache für das Leak und kündigt verpflichtende Passwortänderungen an. Ob über den Drittanbieter einen Zusammenhang zwischen den beiden Leaks besteht, ist den Unternehmens-Statements nicht zu entnehmen.

Update 28.07.20, 13:10:

Im Statement des Dave-Teams wurde als verantwortlicher Drittanbieter das Unternehmen Waydev genannt. Die Waydev-Plattform beziehungsweise -App dient der Codebase-Analyse von GitHub- und GitLab-Projekten. Der Waydev-Zugriff auf die entsprechenden Repositories erfolgt mittels OAuth-Authentifizierungsverfahren. Das Unternehmen speichert dazu so genannte Personal Access Tokens seiner Kunden in einer Datenbank.

Gegenüber ZDNet räumte Waydev nun einen Sicherheitsvorfall ein: Unbekannte Angreifer hätten sich Zugriff auf die Waydev-Datenbank und darin gespeicherte GitHub- und GitLab-OAuth-Tokens verschafft. Betroffen sei allerdings nur ein kleiner Teil der Kunden-Codebases gewesen.

Neben dave.com veröffentlichte auch die ebenfalls betroffene Software-Testing-Plattform flood.io ein Statement zum Vorfall, gibt jedoch an, dass es keine Hinweise auf eine tatsächliche Datenexfiltration von Daten gegeben habe. Allerdings wolle man Drittanbietern künftig grundsätzlichen keinen Zugriff mehr auf den Plattform-eigenen Code gewähren.

Zusätzliche Brisanz gewinnt der Vorfall dadurch, dass Waydev die Zugriffe nach eigenen Angaben erst am 3. Juli bemerkte und unterband – die Angriffe auf dave.com und flood.io sollen aber schon am 20. beziehungsweise 28. Juni erfolgt sein. (ovw)