Bei Lady Gagas App Little Monsters scheinen Nutzerdaten abhanden gekommen zu sein. Im Netz kursiert eine Datenbank mit privaten Daten von knapp einer Million Nutzer.

In einschlägigen Kreisen kursiert ein Datensatz mit gut einer Million Einträgen. Er stammt anscheinend von Little Monsters, der offiziellen Fan-App der Sängerin Lady Gaga. Unklar ist, welche Schritte der App-Anbieter jetzt unternehmen will. Die gute Nachricht: Die Passwörter sind mit Bcrypt gehasht und damit relativ aufwändig zu knacken.

1 Million Datensätze im Umlauf

Dem Betreiber der bekannten Webseite Have I been Pwnd?, Troy Hunt, wurde ein Datensatz mit rund 996.000 Einträgen zugespielt. Inhalt: Nutzernamen, Geburtsdaten, Passwort-Hashes und E-Mail-Adressen von Nutzern der Lady-Gaga-Fan-App Little Monsters. Ob es sich bei der Sammlung um alle Nutzer von Little Monsters handelt, ist derzeit noch offen.



E-Mail zum Little-Monsters-Passwort-Reset im Mailinator-Konto

Hunt stellte heise Security einen der Einträge zur Verfügung, um die Echtheit der Daten zu bestätigen: In der Tat geht eine Passwort-Reset-Nachricht von Little Monsters in dem Mailinator-Postfach aus dem Datensatz ein. Mailinator-Postfächer sind für jedermann zugänglich, der die E-Mail-Adresse kennt. Hunt selbst testete noch weitere Konten auf die gleiche Art und mit dem gleichen Ergebnis. Der Datensatz dürfte also echt sein.

Keine Reaktion der Betreiber

Der Betreiber der App, ein Unternehmen namens Honeycommb, reagierte bislang nicht auf Anfragen von heise Security. Es ist daher unklar, ob das Datenleck dort bekannt ist und ob es bereits gestopft wurde. Der Datensatz selbst kursiert jedenfalls schon eine Weile. Der anonyme Einsender des Datensatzes versuchte laut Troy Hunt in der Vergangenheit ebenfalls vergeblich, mit dem Unternehmen in Kontakt zu treten. Er versorgte Hunt schon in der Vergangenheit mit Datensätzen, deren Veröffentlichung jeweils für weltweite Schlagzeilen sorgte.

Immerhin haben die Macher des Dienstes beim Ablegen der Passwörter auf Datensicherheit geachtet: Die Kennwörter sind mit dem Bcrypt-Algorithmus gehasht. Dieser ist nur mit viel Zeitaufwand zu knacken. Errechnet die Passwort-Knack-Software hashcat mit einer modernen Grafikkarte wie der Nvidia GeForce 1080 FE über 25 Milliarden MD5-Hashes pro Sekunde, sind es bei Bcrypt nur knapp 16.000 Hashwerte. Dennoch sollten Nutzer von Little Monsters ihre Kennwörter umgehend ändern. Haben Anwender das gleiche Passwort auch bei anderen Onlinediensten verwendet, ist es dort ebenfalls zu ändern. (fab)