Rund 7,5 Millionen Passwörter von DatPiff-Nutzern im Netz
Beim Musikdienst DatPiff wurde eine Datenbank mit Nutzerdatensätzen erbeutet. Mehr als 7 Millionen E-Mail- und Passwort-Paare tauchten jetzt frei im Netz auf.
Rap- und Hip-Hop-Fans können beim Mixtape-Anbieter DatPiff kostenlos Musik herunterladen oder streamen. Zwar geht das auch ohne Anmeldung, um jedoch an der zugehörigen Community teilzunehmen, müssen Interessierte ein Konto anlegen. Das "Have I Been Pwned"-Projekt (HIBP) hat jetzt rund 7,5 Millionen Datensätze aus E-Mail-Adresse und Klartext-Passwort-Paaren der eigenen Datenbank hinzugefügt. Sie stammen aus einem Datendiebstahl bei DatPiff, der vermutlich im August 2021 stattfand.
In digitalen Untergrundforen wurden HIBP zufolge die Datensätze aus E-Mail-Adressen, Passwörtern, Sicherheitsfragen und zugehörigen Antworten sowie Nutzernamen zum Kauf angeboten. Dabei hätten bis auf die Mail-Adresse die Informationen als MD5-Hash mit statischem Salt vorgelegen.
Das Verfahren gilt bereits seit Langem als nicht mehr sicher. Die Daten liegen nun geknackt im Klartext vor, als E-Mail-Adresse mit Passwort, schreibt Have I Been Pwned in der Meldung des Lecks.
GegenmaĂźnahmen
Medienberichten zufolge liegen die Daten aus dem Einbruch inzwischen auch kostenlos in Untergrundforen vor. DatPiff-Nutzer sollten daher ihr Passwort bei dem Dienst umgehend ändern. Wenn sie es bei mehreren Diensten nutzen, ist selbstverständlich auch dort ein neues Passwort zu vergeben. In dem Fall sollten aber gleich alle Dienste ein eigenes Passwort erhalten. Hinweise und Tipps dazu liefert der Praxis-Artikel "Gute Passwörter erzeugen und sicher verwenden".
Ob die eigene E-Mail-Adresse in Datenlecks aufgetaucht ist, lässt sich schnell und einfach auf der Startseite von Have I Been Pwned überprüfen. Eine deutsche Alternative liefert das Potsdamer Hasso-Plattner-Institut, bei dem man ebenfalls seine Mail-Adresse überprüfen kann.
Themenspecial Passwortmanager auf heise Download
(dmk)