Zum Teil recht sensible Daten von Benutzern des hier in Deutschland weniger bekannten Video-Makers “Promo” und der Banking-App “Dave” wurden vor kurzem kompromittiert.
Deshalb hat der Passwort-Prüfdienst “Have I Been Pwned” (HIBP) seine Datenbank innerhalb von 24 Stunden um Informationen zu mehr als 17,5 Millionen Nutzer-Accounts erweitert, die gerade erst geleakt wurden. Ein Teil dieserer Daten sei allerdings schon bei früheren Leaks in der Prüfdienst-Datenbank erfasst worden sein, schreibt HIBP auf Twitter.
Einzelheiten zu den neuen Datenlecks findet man im “Who’s been pwned”-Bereich bei HIBP und in Twitter-Beiträgen des Prüfdienstes. Den Angaben zufolge wurden die Daten von Nutzern des Video-Makers “Promo” und der Banking-App “Dave” im Juni (dave.com) und im Juli (promo.com) dieses Jahres kompromittiert.
Details der Daten von Promo und Dave
Bei dem Promo-Leak wurden Informationen zu 14.610.585 Nutzer-Accounts – E-Mail- und IP-Adressen, Namen, Adressen, Geschlecht sowie Passwort-Hashes (SHA-256 mit Salt) kompromittiert. Diese Daten seien auch “ausgiebig” in einem Hacking-Forum verbreitet worden.
Nach einer FAQ zum Promo-Breach wurde das zugrunde liegende, durch einen Drittanbieter-Dienst verursachte Problem inzwischen behoben. Betroffene Nutzer sollen informiert und sicherheitshalber zur Passwortänderung aufgefordert worden sein. Dabei seien Logins über den Umweg von Social-Media-Accounts nicht betroffen gewesen sein.
Die geleakten Daten aus der Banking-App Dave, die 2.964.182 Nutzern zuzuordnen sind, tauchten zunächst in einem Hacking-Forum auf und waren dort auch als öffentlicher Download verfügbar. Nach Angaben von HIBP handelte es sich dabei um E-Mail-Adressen, Namen, Geburtsdaten, “verschlüsselte” Sozialversicherungsnummern (das konkrete Verfahren wird nicht genannt) und Passwörter (als bcrypt-Hashes).
