Kopierte Knuddels.de-Accountdaten jetzt bei Have I Been Pwned verfügbar
Mögliche Opfer des letztjährigen Datenlecks beim Chatdienst Knuddels können jetzt beim Prüfdienst Have I Been Pwned testen, ob ihre Daten kopiert wurden.
Die Accountdaten, die im September 2018 im Zuge eines Hackerangriffs von einem Server der Chat-Plattform Knuddels.de kopiert wurden, sind nun Teil der Datenbank des Prüfdiensts Have I Been Pwned (HIBP).
Einem neu angelegten Eintrag auf der Webseite des Prüfdienstes zu Knuddels.de ist zu entnehmen, dass die dort hinterlegte Datensammlung insgesamt 808.330 kompromittierte Accounts umfasst.
Das entspricht den Angaben, die Knuddels.de-Betreiber Holger Kujath im vergangenen Jahr nach dem Hack machte. In einem Forenbeitrag führte er damals aus, dass die Datensätze jeweils den Nutzernamen ("Nick") und das Passwort enthielten. Bei 57 Prozent der Einträgen gehörten demnach auch noch die E-Mail-Adresse zum Datenleck, in 30 Prozent der Fälle die angegebene Stadt und bei 41 Prozent der betroffenen Accounts der echte Name. Sämtliche Daten – inklusive Passwörtern – waren im Klartext gespeichert.
(Bild: haveibeenpwned.com)
E-Mail-Adressen und Passwörter checken
Mit der Aufnahme der geleakten Daten bei Have I Been Pwned können Betroffene jetzt überprüfen, ob sich unter den im vergangenen Jahr von Knuddels.de abgegriffenen Daten auch ihre eigenen befinden. HIBP erlaubt wahlweise die Eingabe von E-Mail-Adressen auf der Startseite des Dienstes sowie das Überprüfen von Passwörtern im "Pwned Passwords"-Bereich.
Laut Privacy Policy speichert HIBP grundsätzlich nur SHA-1-Hashes von Passwörtern und verzichtet zudem auf die Speicherung von Daten, die Rückschlüsse auf die Zuordnung von Passwörtern zu Accounts geben. Dementsprechend geben die Ergebnisse einer Suchanfrage immer nur Aufschluss darüber, ob und wie häufig ein Passwort oder eine E-Mail-Adresse in sämtlichen bei HIBP erfassten Datensätzen vorkommt. Eine explizite Zuordnung zu einem bestimmten Leak liefert der Dienst nicht.
Dennoch sollte ein Treffer in jedem Fall Anlass genug zum Ändern der eigenen Login-Daten beziehungsweise der Wahl eines neuen, möglichst sicheren Passworts sein. Wichtig ist in diesem Zusammenhang, die Zugangsdaten nicht nur bei Knuddels.de zu ändern, was viele Nutzer ohnehin schon unmittelbar nach Bekanntwerden des Datenlecks getan haben dürften. Vielmehr gilt es zu überlegen, ob kompromittierte Passwörter (möglicherweise nebst identischem Benutzernamen) auch für andere Accounts verwendet wurden.
Update 09.04.2019, 18:40: Inhaltliche Ergänzungen zur Passwortänderung im letzten Absatz.
- Knuddels.de: Millionen Nutzerdaten mit Passwörtern geleakt
- Passwörter im Klartext: 20.000 Euro Bußgeld nach DSGVO gegen Knuddels.de
- Gute Passwörter erzeugen und sicher verwenden
(ovw)
