Sicherheitslücke beim Chat-Anbieter Knuddels: Daten von 1,8 Mio. Nutzern geleakt

Artikel ansehen

Kommentar von TrommelResolver:
…Kennt ihr das: Es gibt Tage im Leben, an denen ist Fusspilz wohl das Beste, was dieser gebracht hat !! Wenn ich so was von einem KF-Knuddelverein dann lesen muss an solchen Tagen, da platzt mir nur noch mein Aneurysma…

[Zitat Text oben / Knuddel-Blog]
„„Knuddels.de ist 19 Jahre nach ihrer Gründung erstmals Opfer eines erfolgreichen Hackerangriffs geworden. Dabei wurden in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (sog. Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht. Wichtig: Noch eine wichtige Information zur Emailadresse: 330.000 Emailadressen waren verifiziert, das sind die verschiedenen, eindeutigen Personen die betroffen sind.““ [Ende]

!!! Was meinen diese Knuddelviecher eigentlich, wer sie sind. So etwas kundzugeben an seine Kunden, in der unverschämten Art und Weise, den kleinen Kiddies rotzfrech ins Gesicht zu lügen, mit Aussagen, die jederzeit zu widerlegen sind…

I. Wer seine Serverlandschaften nicht anständig unter Kontrolle hat und dafür sorgt, dass die Büchsen auf dem aktuellsten Stand an Technik / Software (OS etc) sind in Zeiten von Verschlüsselungstrojanern, Meltdown, Spectre und schulschwänzenden Script-Kiddies, sollte Konsequenzen daraus ziehen UND die Behörden an dieser Stelle ERST RECHT ! Stecker ziehen, die Struktur soweit „busten“, dass nie wieder etwas „recovered“ werden kann – dann alle einsperren und die dort vergessen, wie sie ihren eigenen, verstaubten Server mit den DBs vergessen hatten °°
Desweiteren kann man als Betreiber nicht entrüstet die Frage stellen, wie das alles nur passieren konnte ?!?

*** Wer über 95% seiner persönlichen Kundendaten (Daten von KINDERN!) vor allem Passwörter, Klarnamen, Adressen, Emails etc. pp. in KLARTEXT speichert und sich wundert, warum das gefährlich ist – Der sollte von den Juristen dazu benutzt werden, als allererster PRÄZEDENZFALL der neuen DSGVO vorgeführt zu werden…kann man gleich noch das Strafmass mittesten ^^

II. Und wenn man schon einmal dabei ist, mal recherchieren und ermitteln, ob bei denen 19 Jahre lang das alles mit seinen minderjährigen, pubertierenden Klienten legal und vertretbar war ?!? Ich hege da mal riesige Zweifel, die wohl die meistten kennen und jetzt nicht näher ausgeführt werden müssen ;))

III. Kommen wir mal zum eigentlichen Thema:
a) Die ursprüngliche Verlinkung über mega.nz mit der kompl. Datenbank ist wohl entfernt worden !?
Wer sich ber mit der Suchfunktion bei Pastebin (not easy @ all) etwas auskennt findet zwar nicht den Vorab-Datensatz mit den 8000 Accounts so ohne weiteres, dafür aber mit mühseeliger Kleinarbeit und etwas Zeit sehr viele Pastes, welche über die magische Zeitgrenze September 2018 hinausgehen. August, aber auch die anderen Sommermonate sind dort auch vertreten inklusive Dokumente, wo einfach die Zeitlinie etwas „abgeändert“ wurde ^^
In jedem dieser relevanten Pastes sind nur reine Linklisten zumega.nz eingetragen…da ich leider nicht sovieeeel Zeit habe, braucht es jemanden, der alle Links zusammenstellt und ausführt (KEINE toten Links bisher gefunden!)…man wird dann am Ende auf die knapp 2 Millionen Datensätze kommen !!!
Mal nebenbei erfährt man über uralte Pastes, auch von uralten Leak-Seiten, wie z.B. Leakedin.com (down), wie oft 1x gehackt in 19 Jahren vorgekommen ist ^^ Und das ist nur die Eisbergspitze dort !!
Bei der Menge der verschiedenen geleakten Daten, alleine nur von den letzten 10 Jahren wird dir aber schwindelig ! Und diese Leaks sind bei Pastebin, Pastemon und wie die alle heissen einsehbar. Natürlich aber auch bei den vielen „„Leak-Sammelseiten““ im Netz ;))

b) Knuddels ist / war immer ein riesiger Anlaufpunkt für menschlichen Abschaum, für Hägger, Script-Kiddies im Besonderen und für Leutz die sich nen Spass daraus gemacht haben, Unruhe zu stiften !
Es wurden sogar massenweise Boards / Foren extra für den Zweck „Knuddels.de“ gegründet und teilweise noch heute gerne betrieben.
Mir fällt da unter anderem spontan diese Community ein ->

https://u-labs.de/forum/sourcecode-91/source-kframework-knuddels-controls-1351/

https://u-labs.de/forum/sourcecode-91/open-source-knuddels-live-client-v1-0-90aeh-30372/

Wenn man die Links mal gnadenlos verfolgt, kommt man aus dem Staunen UND Lachen nicht mehr raus !!
Hier noch am Rande eine ca. sieben Jahre alte Story aus dem Knuddelversum ->

http://ks-leak.blogspot.com/

Und alles, was den Knuddelvieh-Farmern dazu einfällt ist die hohle Phrase „1x gehackt“ ??
Vielleicht wollte man das alles auch einfach nur nicht sehen, damit es nicht zu hohen Wellen kommt, die auch anderen Interessierten aufgefallen wären…?
Dazu muss man sich nur mal auf den Blog-Seiten des Betfreibers umsehen, um festzustellen, wie professionell dort mit den Kiddies gearbeitet wurde, um sich selber aus der Verantwortung ziehen zu können ->

https://blog.knuddels.de/user-apps/changelog/

c) Fazit: Es gibt noch so unendlich viel mehr über den Verein zu sagen, aber ich möchte hiermit keine „Neverending Story“ schreiben, sondern nur meinen Blutdruck und mein Aneurysma beruhigen °° Ich habe fertig…

Kommentar von TrommelResolver:
Nachtrag (grad im Golem-Kommentarbereich gefunden) :

Na wenigstens haben sie Humor !!!
Autor: Tuxgamer12 08.09.18 - 19:11

„Der Schutz der Nutzerdaten hat für uns höchste Priorität“
„Knuddels.de hat seine bereits sehr hohen Sicherheitsstandards“
„Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen.“
(https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916081)

Das könnte fast im Postillon stehen:

„Unternehmen, dass es nicht schafft einfache Hash-Funktion zu nutzen, hat hohe Sicherheitsstandards“

Wird noch lustiger:

„Ein IT-Sicherheitsmitarbeiter, welcher ein ehemaliges Mitglied von Knuddels ist, bemerkt die Veröffentlichung und wendet sich per E-Mail an Knuddels.de.“

Du bemerkst also einen Hack daran, dass Kunden-Daten auf einmal auf Pastebin stehen.

Ähhmmm… Ja.

Da kann ich eigentlich nur sagen: Noch einmal Schwein gehabt, dass die Hacker „öffentlich“ gegangen sind, sonst hätten die wahrscheinlich ziemlich über die Daten freuen können ohne dass jemand etwas gemerkt hätte.

Dazu vielleicht noch:

„Knuddels.de ist 19 Jahre nach ihrer Gründung erstmals Opfer eines erfolgreichen Hackerangriffs geworden.“

Tja, wer weiß; vielleicht stellt nicht jeder Hacker Daten auf Pastebin?

Was hat man denn heute (3 Tage später) herausgefunden?

„bei unserer Untersuchung des Datenleaks haben wir eine erste mögliche Schwachstelle gefunden, die für das Leak verantwortlich sein könnte.
Es handelt sich um einen Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war.“

Keine weiteren Fragen.

[Quelle: golem.de - Benutzerkommentare]

Kommentar von Unter dem Radar: Der satirische Monatsrückblick (September/2018) - Tarnkappe.info:
[…] nach der Gründung von Knuddels, so aus, als hätten unsere Altvorderen womöglich recht gehabt: durch eine Sicherheitslücke wurden die Daten von 1,8 Millionen Benutzern geleakt. Wohl dem, der dort eben keine relevanten Daten hinterlegt hatte. Daraus allerdings zu schließen, […]