Hacker erbeuten 43 Millionen Daten von Nutzern des Web-Baukastens Weebly
Die Betreiber von Weebly haben bestätigt, dass Angreifer Millionen Kunden-Daten abgezogen haben. Neben E-Mail-Adressen umfasse die Beute auch Passwörter. Davon soll aber ein Großteil effektiv geschützt sein.
Der Werbespruch auf der Startseite von Weebly ist nicht ironisch gemeint.
Bereits im Februar dieses Jahres sind unbekannte Hacker in die Server des Web-Baukastens Weebly eingedrungen und haben Nutzer-Daten von mehr als 43 Millionen Kunden kopiert. Das teilt das Unternehmen in einem Statement mit.
Offensichtlich ist Weebly nur auf den Hack aufmerksam geworden, weil die Betreiber der auf Leaks spezialisierten Suchmaschine LeakedSource sie kontaktiert haben. LeakedSource wurden die Daten eigenen Angaben zufolge von anonymer Seite zugespielt.
Mittlerweile hat Weebly die Echtheit der Daten bestätigt, betroffene Nutzer informiert und einige Passwörter zurückgesetzt. Sie gehen davon aus, dass ausschließlich Kunden betroffen sind, die ihren Account vor dem 1. März 2016 eröffnet haben. Laut eigenen Angaben haben sie ihre Systeme gehärtet und fordern nun komplexere Passwörter von Kunden ein. Zudem stellt Weebly eine Log-in-History bereit.
Wie der Hack vonstatten ging, ist derzeit nicht bekannt. Aktuell gibt Weebly an, mit Sicherheits-Firmen den Fall aufzuarbeiten.
Viele Passwörter effektiv geschützt
Neben E-Mail-Adressen, IP-Adressen und Nutzernamen finden sich in dem Datensatz auch Passwörter. Ein Sprecher von Weebly versichert, dass alle nach dem 1 Juni 2011 gesetzten Passwörter durch das als sicher geltende Hash-Verfahren bcrypt (salted) geschützt sind. Demzufolge ist es unwahrscheinlich, dass Hacker diese Passwörter knacken können.
Alle zuvor vergebenen Passwörter sollen mit einer "älteren" Hash-Funktion geschützt sein und wurden vorsorglich zurückgesetzt. Dem Statement zufolge handelt es sich dabei um das schon länger nicht mehr als sicher geltende Hash-Verfahren MD5.
Bank- und Kreditkarten sollen bei dem Übergriff nicht in der Hände der Hacker gefallen sein. Auch von Kunden über den Dienst erstellte Webseiten sollen nicht betroffen sein.
Vorsicht vor Phishing-Mails
Weebly warnt Kunden davor, nach Phishing-Mails Ausschau zu halten, die unter dem Deckmantel des Web-Baukastens ein Zurücksetzen des Passworts einfordern. Sie versichern, keine E-Mails mit Links zum Zurücksetzen von Passwörtern zu verschicken. Kunden sollen dies direkt über die Webseite anstoßen. Zudem raten sie dazu, bei anderen Web-Diensten identische Passwörter zu ändern.
(des)
