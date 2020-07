Der Passwort-Prüfdienst "Have I Been Pwned" (HIBP) hat seine Datenbank innerhalb von 24 Stunden um Informationen zu über 17,5 Millionen Nutzer-Accounts erweitert, die erst kürzlich geleakt wurden. Ein Teil der Daten, so schreibt HIBP auf Twitter, sei allerdings schon im Zuge früherer Leaks in der Prüfdienst-Datenbank erfasst worden.

Details zu den Datenlecks nennen der "Who's been pwned"-Bereich bei HIBP sowie Twitter-Beiträge des Prüfdienstes. Demnach wurden die Daten von Nutzern des Video-Makers "Promo" und der Banking-App "Dave" im Juni (dave.com) beziehungsweise Juli (promo.com) dieses Jahres kompromittiert.

Im Falle von Promo umfasste das Datenleck demnach Informationen zu 14.610.585 Nutzer-Accounts – E-Mail- und IP-Adressen, Namen, Adressen, Geschlecht sowie Passwort-Hashes (SHA-256 mit Salt). Die Daten seien "ausgiebig" in einem Hacking-Forum verbreitet worden. Einer FAQ zum Promo-Breach zufolge wurde das zugrundeliegende Problem in Gestalt eines Drittanbieter-Services behoben, betroffene Nutzer informiert und sicherheitshalber zur Passwortänderung aufgefordert worden. Logins über den Umweg von Social-Media-Accounts seien nicht betroffen.

Auch die Daten aus der Banking-App Dave, die 2.964.182 Nutzern zuzuordnen sind, tauchten in einem Hacking-Forum auf und waren dort als öffentlicher Download verfügbar. Laut HIBP handelte es sich hier um E-Mail-Adressen, Namen, Geburtsdaten, "verschlüsselte" Sozialversicherungsnummern (wobei das konkrete Verfahren nicht genannt wird) sowie (als bcrypt-Hashes gespeicherte) Passwörter.

Auch das Dave-Team hat ein Statement veröffentlicht, nennt dort ebenfalls einen Drittanbieter als Ursache für das Leak und kündigt verpflichtende Passwortänderungen an. Ob über den Drittanbieter einen Zusammenhang zwischen den beiden Leaks besteht, ist den Unternehmens-Statements nicht zu entnehmen.

