Jetzt hat es also Soundcloud-Konkurrenten Mixcloud erwischt und es sind ca. 20 Millionen Nutzerdaten im Darknet zum Verkauf angeboten worden.
Hack oder Leak?
Anfang November schaffte es ein Krimineller, Zugriff auf die Daten zu erlangt. Ob er die Daten durch einen Hack oder einer Sicherheitslücke ergattern konnte, dies ist bisher nicht klar.
Neben dem Benutzernamen sind auch die E-Mail-Adressen und Passwörter der Nutzer enthalten. Diese liegen allerdings nicht Klartext vor. Die Passwörter wurden vor dem Hashen mit SHA2-Verfahren mit einem Salt verlängert. Somit wäre ein Zurückrechnen nur mit enormem Aufwand und natürlich dem technischen Knowhow möglich. Ein Teil der Daten enthalten allerdings auch die IP-Adresse des einzelnen Nutzers, sowie Links auf dessen Profilbilder und dem Datum, an dem sich dieser registriert und zuletzt angemeldet hat.
4000 Dollar für 20 Millionen Datensätze
Das Onlinemagazins Techcrunch berichtet darüber, das der kriminelle Händler die Daten für 4.000 US-Dollar oder 0,5 Bitcoin im Darknet anbietet. Techcrunch konnte die Daten verifizieren und geht daher von über 20 Millionen Betroffenen aus.
„Die Mehrheit der Mixcloud-Benutzer hat sich über die Facebook-Authentifizierung angemeldet, in diesem Fall speichern wir keine Passwörter“, schrieb Mixcloud in einem Blogbeitrag zum Vorfall. „Obwohl wir keinen Grund zu der Annahme haben, dass irgendwelche Passwörter kompromittiert wurden, können Sie Ihr Passwort ändern, insbesondere wenn Sie das gleiche über mehrere Dienste hinweg verwendet haben.“ Mixcloud will den Vorfall weiter untersucht.
Bin ich betroffen?
Solche Leaks von Userdaten gab es in den letzten Monaten immer wieder und scheint in der Anzahl zu steigen. Diese Daten werden, wenn sie in die Hände von Kriminellen kommen, meist über das Darknet verkauft und für weiter kriminelle Dinge wie Spam-, Scam- oder Phishing-Mails genutzt. Ist eine geleakte E-Mail-Adresse einmal in der Rotation bei Cyberkriminellen, wird mit Sicherheit immer wieder für solche dubiosen Dinge verwendet. Wer mehr zu dem Thema wissen möchte und wie man überprüfen kann, ob seine Daten im Internet zirkulieren, dem empfehle ich mein Video auf Youtube anzuschauen, in welchen ich einiges zum Thema erkläre.
In jedem Fall sollte man zu absoluten Sicherheit das Passwort bei Mixcloud ändern und allen anderen Diensten, bei denen man die gleiche Email/Passwort Kombination benutzt.
via golem.de, netzwelt.de
YouTube-Direktlink: GEHACKT ??? #03 – Das eigene Password zugeschickt bekommen