calendar
« Aug123456789101112131415161718192021222324252627282930 Okt »

Jugendgefährdend: Millionen Passwörter von Knuddels.de standen offen im Netz

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
screenshot der Knuddels.de-Startseite. Nutzer wird aufgefordert, sein Passwort festzulegen.Sich bei Knuddels.de anzumelden ist kinderleicht. Jetzt landeten fast 1,9 Millionen Passwörter der meist jugendlichen Nutzer*innen im Klartext im Netz.

Der Chat-Dienst Knuddels.de sieht nicht nur aus wie aus den 1990er Jahren, er ist es auch. Seit 1999 steht die Seite im Netz, zuletzt hatte sie laut eigenen Angaben in Deutschland und Österreich etwa zwei Millionen registrierte Nutzer*innen. Am Freitag meldete Knuddels.de im eigenen Forum, dass es ein Datenleck gegeben habe: Mehr als 1,9 Millionen Passwörter waren unverschlüsselt im Netz aufgetaucht, begleitet von einem noch viel umfangreicheren Set an Daten, wie unter anderem Golem berichtete:

Nach Informationen von Golem.de umfasst die Datenbank 1.872.070 Datensätze, bestehend aus Nickname, Passwort, E-Mailadresse (falls vorhanden) und zum Teil Profilangaben wie den realen Namen und dem Wohnort. Der Link auf den kompletten Datensatz auf mega.nz funktionierte am Samstag nicht mehr, allerdings noch ein Link auf einen Auszug mit 8.000 Datensätzen auf der Onlinespeicherplattform Pastebin.

Besonders heikel: Auf Knuddels.de sind viele Jugendliche aktiv. In den 2000er-Jahren war die Plattform einer der wichtigsten Treffpunkte für Schüler*innen im deutschsprachigen Netz. Daran hat sich durch Konkurrenz von Facebook, WhatsApp und Instagram einiges geändert, die Nutzer*innen sind in den 19 Jahren seit der Gründung mit der Plattform gemeinsam gealtert. Trotzdem waren laut einer Studie der AGOF (Arbeitsgemeinschaft Online Forschung) im Jahr 2012 noch knapp ein Drittel der Angemeldeten jünger als 17 Jahre.

Entsprechend bemüht ist Knuddels.de, einen Ruf als sicheren Ort für Jugendliche im Netz zu kultivieren – oder eher zu verteidigen, denn immer wieder tauchen Berichte über Cybergrooming auf der Seite auf, also von Erwachsenen, die gezielt das Vertrauen von Kindern und Jugendlichen gewinnen, um sie sexuell zu missbrauchen. Spiegel-Online gegenüber sagte Knuddels-Geschäftsführer Holger Kujath dazu:

„Wir gehen seit Jahren gezielt gegen Cyber-Grooming vor.“ So gebe es zum Beispiel einen Jugendschutztest für minderjährige Nutzer, in dem diese lernen, keine persönlichen Daten herauszugeben. Zudem habe Knuddels ein Jugendschutzteam, das sich regelmäßig in den Chaträumen umsieht, um verdächtige Nutzer zu sperren. Und dann ist da ja noch James. Der Chatbot liest bei allen 14- bis 15-Jährigen sämtliche Gespräche mit und warnt die Jugendlichen, wenn er meint, dass diese vorsichtig sein müssten: zum Beispiel, wenn ein Nutzer dazu auffordert, einen Kamera-Chat zu starten. „Wenn spezielle Wörter oder Verhaltensweisen im Chat vorkommen, werden die Gespräche auch von uns nachträglich angeschaut“, sagt Kujath. „Wir haben eine Verantwortung gegenüber den jungen Nutzern.“ Die Gespräche älterer Nutzer würden aber nicht mitgelesen – und wer jünger als 14 ist, darf Knuddels eigentlich gar nicht benutzen.

Jetzt scheint es eine eben dieser Filter-Funktionen gewesen zu sein, die das Leck ermöglicht hat. Eine von Knuddels.de beauftragte Anwaltskanzlei teilte Golem mit:

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. „Im Jahr 2016 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden“, teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit.

Passwörter im Klartext und nicht als Hashwerte verschlüsselt zu speichern, gilt als Sicherheitsrisiko. Denn wenn Daten bei einem Hackerangriff geklaut werden, wie jetzt der Fall, sind die sensiblen Informationen für alle sichtbar. Inzwischen soll die Datenbank mit den Passwörtern im Klartext gelöscht worden sein.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Montag, 10. September 2018 um 13:54
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: