Neue Leaks: "Have I Been Pwned" um 17,5 Millionen Nutzerdatensätze erweitert Update
"Promo" und "Dave" kamen kürzlich teils sensible Nutzerdaten abhanden.
(Bild: Screenshot / Collage)
Teils sehr sensible Daten von Nutzern des hierzulande eher unbekannten Video-Makers "Promo" und der Banking-App "Dave" wurden kürzlich kompromittiert.
Der Passwort-Prüfdienst "Have I Been Pwned" (HIBP) hat seine Datenbank innerhalb von 24 Stunden um Informationen zu über 17,5 Millionen Nutzer-Accounts erweitert, die erst kürzlich geleakt wurden. Ein Teil der Daten, so schreibt HIBP auf Twitter, sei allerdings schon im Zuge früherer Leaks in der Prüfdienst-Datenbank erfasst worden.
Details zu den Datenlecks nennen der "Who's been pwned"-Bereich bei HIBP [1] sowie Twitter-Beiträge des Prüfdienstes. Demnach wurden die Daten von Nutzern des Video-Makers "Promo" und der Banking-App "Dave" im Juni (dave.com) beziehungsweise Juli (promo.com) dieses Jahres kompromittiert.
Daten von Promo und Dave
Im Falle von Promo umfasste das Datenleck demnach Informationen zu 14.610.585 Nutzer-Accounts – E-Mail- und IP-Adressen, Namen, Adressen, Geschlecht sowie Passwort-Hashes (SHA-256 mit Salt). Die Daten seien "ausgiebig" in einem Hacking-Forum verbreitet worden. Einer FAQ zum Promo-Breach [2] zufolge wurde das zugrundeliegende, durch einen Drittanbieter-Service verursachte Problem behoben. Betroffene Nutzer seien informiert und sicherheitshalber zur Passwortänderung aufgefordert worden. Logins über den Umweg von Social-Media-Accounts seien nicht betroffen.
Auch die Daten aus der Banking-App Dave, die 2.964.182 Nutzern zuzuordnen sind, tauchten in einem Hacking-Forum auf und waren dort als öffentlicher Download verfügbar. Laut HIBP handelte es sich hier um E-Mail-Adressen, Namen, Geburtsdaten, "verschlüsselte" Sozialversicherungsnummern (wobei das konkrete Verfahren nicht genannt wird) sowie (als bcrypt-Hashes gespeicherte) Passwörter.
Auch das Dave-Team hat ein Statement veröffentlicht, [3] nennt dort ebenfalls einen Drittanbieter als Ursache für das Leak und kündigt verpflichtende Passwortänderungen an. Ob über den Drittanbieter einen Zusammenhang zwischen den beiden Leaks besteht, ist den Unternehmens-Statements nicht zu entnehmen.
Update 28.07.20, 13:10:
Drittanbieter Waydev wohl verantwortlich für Dave-Datenleck
Im Statement des Dave-Teams wurde als verantwortlicher Drittanbieter das Unternehmen Waydev genannt. Die Waydev-Plattform beziehungsweise -App dient der Codebase-Analyse von GitHub- und GitLab-Projekten. Der Waydev-Zugriff auf die entsprechenden Repositories erfolgt mittels OAuth-Authentifizierungsverfahren. Das Unternehmen speichert dazu so genannte Personal Access Tokens seiner Kunden in einer Datenbank.
Gegenüber ZDNet räumte Waydev nun einen Sicherheitsvorfall ein [4]: Unbekannte Angreifer hätten sich Zugriff auf die Waydev-Datenbank und darin gespeicherte GitHub- und GitLab-OAuth-Tokens verschafft. Betroffen sei allerdings nur ein kleiner Teil der Kunden-Codebases gewesen.
Neben dave.com veröffentlichte auch die ebenfalls betroffene Software-Testing-Plattform flood.io ein Statement zum Vorfall [5], gibt jedoch an, dass es keine Hinweise auf eine tatsächliche Datenexfiltration von Daten gegeben habe. Allerdings wolle man Drittanbietern künftig grundsätzlichen keinen Zugriff mehr auf den Plattform-eigenen Code gewähren.
Zusätzliche Brisanz gewinnt der Vorfall dadurch, dass Waydev die Zugriffe nach eigenen Angaben erst am 3. Juli bemerkte und unterband – die Angriffe auf dave.com und flood.io sollen aber schon am 20. beziehungsweise 28. Juni erfolgt sein. (ovw [6])
URL dieses Artikels:
https://www.heise.de/-4855485
Links in diesem Artikel:
[1] https://haveibeenpwned.com/PwnedWebsites
[2] https://support.promo.com/en/articles/4276475-promo-data-breach-faq
[3] https://dave.com/blog/post/
[4] https://www.zdnet.com/article/hackers-stole-github-and-gitlab-oauth-tokens-from-git-analytics-firm-waydev/
[5] https://status.flood.io/incidents/943v1f94lrq3
[6] mailto:o.v.westernhagen@outlook.de
Copyright © 2020 Heise Medien