Mixcloud hat offenbar die Daten von mehr als 20 Millionen seiner Nutzer verloren. Die persönlichen Daten von Nutzern der britischen Streaming-Plattform wurden von Hackern entwendet. Das Unternehmen wurde erst durch einen Bericht von TechCrunch darauf aufmerksam.
Der Technikblog Techcrunch erhielt einen Teil dieser Daten von einem Verkäufer im Dark Web, um deren Echtheit zu überprüfen.
Nach Angaben des Verkäufers fand der eigentliche Einbruch in die Computersysteme von Mixcloud im gerade abgelaufenen Monat November statt – die Daten sind also recht aktuell. Die Echtheit der Daten konnte TechCrunch zumindest zum Teil bestätigen, denn Mixcloud prüft bei der Registrierung eines neuen Users die Echtheit der angegebenen E-Mail-Adresse nicht.
Über 20 Millionen Datensätze im Angebot
Aktuell werden im Darknet 20 Millionen Datensätze zum Kauf angeboten. Dazu gehören Nutzernamen, E-Mail-Adressen, per SHA-2 verschlüsselte Passwörter, das Datum der Registrierung und das Datum der letzten Anmeldung, das Herkunftsland des Benutzers, seine IP-Adresse und ein Link zu einem Profilfoto.
Nach einer Untersuchung des übermittelten Auszugs geht TechCrunch davon aus, dass sogar 22 Millionen oder mehr Nutzer betroffen sind. Die genaue Zahl der gestohlenen Daten ist nicht bekannt. Im Darknet würden die Daten für 0,5 Bitcoin (4.000 US-Dollar) zum Kauf angeboten.
Laut einem Blogeintrag von Mixcloud, soll nur ein kleiner Teil der Nutzer betroffen sein. Die meisten hätten sich über Facebook angemeldet – wobei dem Streamingdienst gar keine Passwörter vorlägen. „Obwohl wir keinen Grund zu der Annahme haben, dass Passwörter kompromittiert wurden, möchten Sie ihres vielleicht ändern, vor allem wenn sie dasselbe Kennwort für mehrere Dienste verwendet haben.“
Das könnte teuer werden…
Als britisches Unternehmen unterliegt auch der Streamingdienst Mixcloud der EU-Datenschutzgrundverordnung. Wenn der Vorfall einen Verstoß darstellt, könnte die EU dafür eine Geldstrafe in Höhe von 4 Prozent des Jahresumsatzes des Start-ups aussprechen.