617 Millionen Nutzerdatensätze für weniger als 20.000 Bitcoins (umgerechnet 67 Millionen Euro) – dieses Angebot machten Unbekannte vergangene Woche im Darknet. Die Account-Informationen stammen laut einem Bericht von The Register von 16 Apps und Webdiensten. Darunter auch zwei Berliner Startups, die Foto-Community Eyeem und die Fitness-App 8fit, sowie die Viral-App Dubsmash der deutschen Gründer Jonas Drüppel, Daniel Taschik und Roland Grenke.
In dem elf Gigabyte großen Datensatz befinden sich laut The Register vor allem Namen, E-Mail-Adressen und Passwörter von Nutzern. Letztere seien jedoch größtenteils verschlüsselt, müssten also noch entschlüsselt werden, bevor ein potenzieller Käufer sie verwenden kann. Zahlungsinformationen seien jedoch nicht enthalten.
Betroffene Dienste und Zahl der kopierten Datensätze:
- 8fit (20 Millionen)
- 500px (15 Millionen)
- Animoto (25 Millionen)
- Armor Games (11 Millionen)
- Artsy (1 Million)
- Bookmate (8 Millionen)
- Coffeemeetsbagel (6 Millionen)
- Datacamp (700.000)
- Dubsmash (162 Millionen)
- Eyeem (22 Millionen)
- Fotolog (16 Millionen)
- Hautelook (28 Millionen)
- Myfitnesspal (151 Millionen)
- Myheritage (92 Millionen)
- Sharethis (41 Millionen)
- Whitepages (18 Millionen)
Dubsmash und 8fit wurden nach eigenen Angaben am 8. Februar über den Vorfall informiert. „Der Sicherheitsverstoß erfolgte im Juli 2018“, schreibt 8fit in einer E-Mail an seine Nutzer vom Wochenende. Dubsmash weiß laut einem Blogpost derzeit nicht, wann die Daten entwendet wurden. Beide Unternehmen betonen, dass ihnen keine Zahlungsinformationen und lediglich verschlüsselte Passwörter abhanden gekommen seien. Die Betroffenenzahlen von The Register bestätigten beide nicht.
Sowohl Dubsmash als auch 8fit schreiben, dass sie die Ermittlungsbehörden informiert hätten und mit Sicherheitsunternehmen in Verbindung stehen würden, um die Ursache für den Datendiebstahl zu finden. Nutzer sollten vorsichtshalber ihre Passwörter ändern. Zu den Hintergründen schreibt 8fit-CTO Pedro Solá auf Anfrage von Gründerszene lediglich: „Wir können bestätigen, dass es eine Datensicherheitslücke als Resultat eines Cyberangriffs gab.“ Weitere Details nennt er nicht.
Dubsmash und Eyeem antworteten bis zum Montagnachmittag nicht auf Anfragen. Eyeem teilte seinen Usern lediglich per E-Mail mit, dass es „einen potenziellen Datenleak gegeben hat, der einige unserer Daten beinhaltet“. Deswegen seien die Passwörter aller Nutzer vorsorglich zurückgesetzt worden.
Der oder die mutmaßlichen Verkäufer der Datensätze sagten gegenüber The Register, dass sie sowohl Geld verdienen und Hackern „das Leben leichter machen“ als auch Internetnutzer darauf hinweisen wollten, dass sie Sicherheitsfragen ernst nehmen sollten. Seit 2012 hätten sie rund eine Milliarde Datensätze erbeutet, würden jedoch nicht alle davon zum Verkauf anbieten.
