Play-Store-Alternative Aptoide leakt Daten zu über 20 Millionen Nutzeraccounts

Wer einen Aptoide-Account hat, sollte das Passwort ändern: Hacker haben Daten kopiert und veröffentlicht. Passwörter im Klartext wurden nicht geleakt.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Play-Store-Alternative Aptoide leakt Daten zu über 20 Millionen Nutzeraccounts

(Bild: Screenshot / HIBP via Twitter)

Lesezeit: 2 Min.

Im Zuge eines Datenlecks beim alternativen Android-App-Store Aptoide vergangene Woche haben Angreifer Daten von über 20 Millionen Store-Nutzern kopiert und wohl auch in einem einschlägigen (Hacker-) Forum veröffentlicht. Das geht aus einer Mitteilung von Aptoide an seine Kunden sowie aus Informationen auf der Website des Passwort-Prüfdienstes Have I Been Pwned (HIBP) hervor. Die geleakten Daten sind bereits Teil der HIBP-Datenbank, so dass Nutzer dort überprüfen können, ob sie betroffen sind.

Laut Aptoides erstem Blogeintrag zum Datenleck wurden die jeweils für die Anwendung verwendeten E-Mail-Adressen sowie "verschlüsselte" Passwörter kopiert. HIBP schreibt in einer Kurzinfo zum Leak, dass außerdem noch Details zum verwendeten Webbrowser/User Agent, "Namen" (nicht näher spezifiziert) sowie IP-Adressen kopiert worden seien. Die Passwörter hätten als SHA-1-Hashes ohne Salt vorgelegen.

Vom Datenleck betroffen sind "nur" Nutzer, die bei Aptoide einen Account eingerichtet haben. Dies ist zur Nutzung des Stores allerdings gar nicht nötig: Wie Aptoide in einem zweiten Blogeintrag zum Leak betont, legen nur etwa drei Prozent aller Nutzer überhaupt einen Account an – etwa um Kommentare oder Erfahrungsberichte zu Apps zu schreiben.

Passwort-Hashes waren laut Aptoide nur dann Teil des Datenlecks, wenn sie extra für die Plattform angelegt wurden. Sofern Nutzer sich via Google oder Facebook angemeldet hätten, sei im entsprechenden Datenbankfeld lediglich eine zufällige Zeichenfolge gespeichert worden. Nutzer mit eigens angelegtem Passwort sollten dieses umgehend ändern – natürlich auch im Kontext weiterer Dienste, für die es gegebenenfalls "recycelt" wurde.

Der Versuch, sich bei Aptoide neu zu registrieren, liefert derzeit eine Fehlermeldung zurück.

(Bild: Screenshot)

Eine Neuanmeldung bei Aptoide wird laut den Blogeinträgen erst wieder möglich sein, bis das Datenleck vollständig untersucht wurde und weitere Informationen vorliegen.

Mehr Infos

sdfdssfs

(ovw)