Die Accountdaten, die im September 2018 im Zuge eines Hackerangriffs von einem Server der Chat-Plattform Knuddels.de kopiert wurden, sind nun Teil der Datenbank des Prüfdiensts Have I Been Pwned (HIBP). Einem neu angelegten Eintrag auf der Webseite des Prüfdienstes zu Knuddels.de ist zu entnehmen, dass die dort hinterlegte Datensammlung insgesamt 808.330 kompromittierte Accounts umfasst. Das entspricht den Angaben, die Knuddels.de-Betreiber Holger Kujath im vergangenen Jahr nach dem Hack machte. In einem Forenbeitrag führte er damals aus, dass die Datensätze jeweils den Nutzernamen ("Nick") und das Passwort enthielten. Bei 57 Prozent der Einträgen gehörten demnach auch noch die E-Mail-Adresse zum Datenleck, in 30 Prozent der Fälle die angegebene Stadt und bei 41 Prozent der betroffenen Accounts der echte Name. Sämtliche Daten – inklusive Passwörtern – waren im Klartext gespeichert. 37 Prozent der via knuddels.de geleakten E-Mail-Adressen seien bereits zuvor in der Datenbank des Prüfdienstes enthalten gewesen, ließ HIBP-Betreiber Troy Hunt via Twitter verlauten. (Bild: haveibeenpwned.com) E-Mail-Adressen und Passwörter checken Mit der Aufnahme der geleakten Daten bei Have I Been Pwned können Betroffene jetzt überprüfen, ob sich unter den im vergangenen Jahr von Knuddels.de abgegriffenen Daten auch ihre eigenen befinden. HIBP erlaubt wahlweise die Eingabe von E-Mail-Adressen auf der Startseite des Dienstes sowie das Überprüfen von Passwörtern im "Pwned Passwords"-Bereich. Nun ist es eigentlich eine schlechte Idee, einem Webdienst geheime Passwörter zu verraten, um deren Sicherheit zu überprüfen. Troy Hunt hat sich aber einen Mechanismus einfallen lassen, um dieses Problem zu entschärfen: Pwned Passwords hasht das eingetippte Passwort lokal im Browser des Nutzers mit SHA-1 und sendet nur die ersten fünf Stellen des Hashes an den Server. Laut Privacy Policy speichert HIBP grundsätzlich nur SHA-1-Hashes von Passwörtern und verzichtet zudem auf die Speicherung von Daten, die Rückschlüsse auf die Zuordnung von Passwörtern zu Accounts geben. Dementsprechend geben die Ergebnisse einer Suchanfrage immer nur Aufschluss darüber, ob und wie häufig ein Passwort oder eine E-Mail-Adresse in sämtlichen bei HIBP erfassten Datensätzen vorkommt. Eine explizite Zuordnung zu einem bestimmten Leak liefert der Dienst nicht. Dennoch sollte ein Treffer in jedem Fall Anlass genug zum Ändern der eigenen Login-Daten beziehungsweise der Wahl eines neuen, möglichst sicheren Passworts sein. Mehr zum Thema: (ovw) Zur Startseite Kopierte Knuddels.de-Accountdaten jetzt bei Have I Been Pwned verfügbar
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Die Accountdaten, die im September 2018 im Zuge eines Hackerangriffs von einem Server der Chat-Plattform Knuddels.de kopiert wurden, sind nun Teil der Datenbank des Prüfdiensts Have I Been Pwned (HIBP). Einem neu angelegten Eintrag auf der Webseite des Prüfdienstes zu Knuddels.de ist zu entnehmen, dass die dort hinterlegte Datensammlung insgesamt 808.330 kompromittierte Accounts umfasst. Das entspricht den Angaben, die Knuddels.de-Betreiber Holger Kujath im vergangenen Jahr nach dem Hack machte. In einem Forenbeitrag führte er damals aus, dass die Datensätze jeweils den Nutzernamen ("Nick") und das Passwort enthielten. Bei 57 Prozent der Einträgen gehörten demnach auch noch die E-Mail-Adresse zum Datenleck, in 30 Prozent der Fälle die angegebene Stadt und bei 41 Prozent der betroffenen Accounts der echte Name. Sämtliche Daten – inklusive Passwörtern – waren im Klartext gespeichert. 37 Prozent der via knuddels.de geleakten E-Mail-Adressen seien bereits zuvor in der Datenbank des Prüfdienstes enthalten gewesen, ließ HIBP-Betreiber Troy Hunt via Twitter verlauten. (Bild: haveibeenpwned.com) E-Mail-Adressen und Passwörter checken Mit der Aufnahme der geleakten Daten bei Have I Been Pwned können Betroffene jetzt überprüfen, ob sich unter den im vergangenen Jahr von Knuddels.de abgegriffenen Daten auch ihre eigenen befinden. HIBP erlaubt wahlweise die Eingabe von E-Mail-Adressen auf der Startseite des Dienstes sowie das Überprüfen von Passwörtern im "Pwned Passwords"-Bereich. Nun ist es eigentlich eine schlechte Idee, einem Webdienst geheime Passwörter zu verraten, um deren Sicherheit zu überprüfen. Troy Hunt hat sich aber einen Mechanismus einfallen lassen, um dieses Problem zu entschärfen: Pwned Passwords hasht das eingetippte Passwort lokal im Browser des Nutzers mit SHA-1 und sendet nur die ersten fünf Stellen des Hashes an den Server. Laut Privacy Policy speichert HIBP grundsätzlich nur SHA-1-Hashes von Passwörtern und verzichtet zudem auf die Speicherung von Daten, die Rückschlüsse auf die Zuordnung von Passwörtern zu Accounts geben. Dementsprechend geben die Ergebnisse einer Suchanfrage immer nur Aufschluss darüber, ob und wie häufig ein Passwort oder eine E-Mail-Adresse in sämtlichen bei HIBP erfassten Datensätzen vorkommt. Eine explizite Zuordnung zu einem bestimmten Leak liefert der Dienst nicht. Dennoch sollte ein Treffer in jedem Fall Anlass genug zum Ändern der eigenen Login-Daten beziehungsweise der Wahl eines neuen, möglichst sicheren Passworts sein. Mehr zum Thema: (ovw) Zur Startseite - Zugriffe: 256