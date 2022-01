Rap- und Hip-Hop-Fans können beim Mixtape-Anbieter DatPiff kostenlos Musik herunterladen oder streamen. Zwar geht das auch ohne Anmeldung, um jedoch an der zugehörigen Community teilzunehmen, müssen Interessierte ein Konto anlegen. Das "Have I Been Pwned"-Projekt (HIBP) hat jetzt rund 7,5 Millionen Datensätze aus E-Mail-Adresse und Klartext-Passwort-Paaren der eigenen Datenbank hinzugefügt. Sie stammen aus einem Datendiebstahl bei DatPiff, der vermutlich im August 2021 stattfand.

In digitalen Untergrundforen wurden HIBP zufolge die Datensätze aus E-Mail-Adressen, Passwörtern, Sicherheitsfragen und zugehörigen Antworten sowie Nutzernamen zum Kauf angeboten. Dabei hätten bis auf die Mail-Adresse die Informationen als MD5-Hash mit statischem Salt vorgelegen.

Das Verfahren gilt bereits seit Langem als nicht mehr sicher. Die Daten liegen nun geknackt im Klartext vor, als E-Mail-Adresse mit Passwort, schreibt Have I Been Pwned in der Meldung des Lecks.

Gegenmaßnahmen

Medienberichten zufolge liegen die Daten aus dem Einbruch inzwischen auch kostenlos in Untergrundforen vor. DatPiff-Nutzer sollten daher ihr Passwort bei dem Dienst umgehend ändern. Wenn sie es bei mehreren Diensten nutzen, ist selbstverständlich auch dort ein neues Passwort zu vergeben. In dem Fall sollten aber gleich alle Dienste ein eigenes Passwort erhalten. Hinweise und Tipps dazu liefert der Praxis-Artikel "Gute Passwörter erzeugen und sicher verwenden".

Ob die eigene E-Mail-Adresse in Datenlecks aufgetaucht ist, lässt sich schnell und einfach auf der Startseite von Have I Been Pwned überprüfen. Eine deutsche Alternative liefert das Potsdamer Hasso-Plattner-Institut, bei dem man ebenfalls seine Mail-Adresse überprüfen kann.

Lesen Sie auch Themenspecial Passwortmanager auf heise Download

(dmk)