Potenzielles Sicherheitsleck bei GommeHD: Möglicherweise Datenleck

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Auf der Minecraft-Plattform "GommeHD.net" gibt es womöglich eine Sicherheitslücke. Dadurch lassen sich anscheinend Nutzerdaten abgreifen. Ein Beispieldatensatz liegt offen im Netz, die angeblich vollständigen Nutzerdaten stehen auf Telegram zum Verkauf.

Die Beispieldaten umfassen E-Mail-Adresse, Klartext-Passwort (natürlich ist auch "123456" dabei) und einen Usernamen. Woher diese Daten stammen, ist dabei unklar. Es könnte sich um Zugangsdaten für den Minecraft-Server oder das daran angeschlossene Forum handeln. Die Kriminellen schreiben, dass sie die Daten an Have I Been Pwned durchreichen wollen.

Im Forum auf GommeHD beklagen sich seit Sonntag auch schon Nutzerinnen und Nutzer darüber, dass Daten offengelegt wurden. Am Donnerstag der vergangenen Woche hat ein Administrator das Thema jedoch bereits für erledigt erklärt. Man habe versucht, ein Update einzuspielen, was jedoch zu Problemen mit dem Design geführt habe; diese hätte das Team in den Griff bekommen. Ein Entwickler schreibt dazu, dass die Daten wohl woanders herstammen – jeder der Accounts tauche schon auf Have I Been Pwned auf.

Unklare Lage

Zudem nutze GommeHD xenforo; "Xenforo speichert das Passwort nicht als Klartext, wie es im Dox der Fall ist, sondern als Hash". Die Klartext-Daten könnten auch von Infostealern stammen. Die Lage ist unübersichtlich und unklar. Inzwischen hat GommeHD auf unsere Anfrage reagiert. "Nach sorgfältiger Prüfung können wir aktuell kein Datenleck bei GommeHD.net bestätigen", erklärt das Unternehmen. "Die auf Doxbin veröffentlichten Zugangsdaten lassen sich bisher ausnahmslos mit bekannten, externen Datenlecks wie dem 'Alien Breach' (AlienTXT) und anderen historischen Quellen abgleichen. Wir konnten sämtliche Zugangsdaten über einschlägige Breach-Quellen und Telegram-Bots verifizieren", was dafür spreche, dass sie nicht aus Angriffen auf die GommeHD-Systeme stammen. Da einige der Zugangsdaten offenbar von "Stealern" stammen, handele es sich in diesen Fällen um sicherheitsgefährdete Endgeräte einzelner Nutzer.

Passwörter speichert GommeHD nicht im Klartext, sondern den gängigen Sicherheitsstandards zufolge etwa mit Verwendung starker Hashing-Verfahren. GommeHD werde zudem proaktiv tätig und durchsucht regelmäßig gängige Leak-Datenbanken und -Foren. Bei gefährdeten Zugangsdaten erzwingt das Unternehmen einen Passwort-Reset. Nach derzeitigem Kenntnisstand liege weder eine Einbruch, noch eine gezielte Kompromittierung der IT-Infrastruktur vor.

Troy Hunt, Betreiber des Have-I-Been-Pwned-Projekts, kommt auf Anfrage von heise online zu der Einschätzung, dass die Daten sehr nach Infostealern aussehen: "Eine zufällige Auswahl von Adressen taucht in den 'Alien Stealer Logs' auf", was auf diese Herkunft deute.

Alle User von GommeHD sollten ihre Passwörter zügig ändern. GommeHD scheint bei der Anmeldung nun jedoch ohnehin nach einer Passwort-Änderung zu fragen – es lässt sich derzeit nicht sagen, ob das für alle User gilt oder lediglich für die Konten, die in dem veröffentlichten Beispieldatensatz auftauchen. Nach Möglichkeit sollten Nutzerinnen und Nutzer auch Mehr-Faktor-Authentifizierung (MFA) aktivieren, sodass geleakte Passwörter nicht zu einer Kompromittierung des eigenen Kontos führen können.

Datenlecks sind leider ein häufiges Problem. Einer der jüngsten Fälle betrifft etwa McDonalds. Das Unternehmen hat für Einstellungsgespräche einen KI-Chatbot eingesetzt. Die dabei gesammelten Daten waren schlecht geschützt: MFA war nicht aktiv, und das Passwort lautete schlicht "123456". Dadurch konnten IT-Forscher Zugriff auf Daten von etwa 64 Millionen Bewerbern erlangen.

(dmk)