Dailymotion: Hacker entwenden offenbar Millionen Nutzerdaten
Das zum französischen Medienkonzern Vivendi gehörende Videoportal hat den erfolgreichen Angriff inzwischen grundsätzlich bestätigt. Es beteuert zwar, dass keine persönlichen Daten gestohlen wurden, empfiehlt aber dennoch allen Nutzern ihre Passwörter zu ändern.
Hacker haben offenbar Kontodaten von über 87 Millionen Dailymotion-Nutzern sowie 18,3 Millionen Passwörter erbeutet. Das hat ZDNet USA berichtet. Der Site hatte zuvor LeakedSource einen Auszug aus den dort von einem Unbekannten hochgeladenen Daten bereitgestellt.
Die Daten wurden bei einem Angriff am 20. Oktober entwendet. Sie sind zwar mit der als recht sicher geltenden Hashfunktion Bcrypt verschlüsselt, Recherchen von ZDNet USA zufolge stammen sie jedoch tatsächlich von Dailymotion: In mindestens einem Fall war es nämlich möglich, mithilfe eines frei verfügbaren Tools ein Passwort zu entschlüsseln und es mit der zugehörigen E-Mail-Adresse eindeutig Dailymotion zuzuordnen.
Nachdem ein Sprecher des Unternehmens den Bericht von LeakedSource gegenüber ZDNet.com zunächst nicht kommentieren wollte, liegt inzwischen eine offizielle Stellungnahme von Dailymotion vor. Demnach habe man erfahren, dass “durch ein potenzielles, externes Sicherheitsrisiko Passworte einer gewissen Anzahl an Nutzerkonten kompromittiert sein könnten. Der Hack scheint begrenzt zu sein und keinerlei persönliche Daten wurden kompromittiert”, so das Unternehmen.
Um “auf der sicheren Seite zu sein” empfiehlt Dailymotion Nutzern dennoch nachdrücklich allen Partnern und Nutzern ihr Passwort zurückzusetzen. Bei der Wahl eines neuen Passworts solle man darauf achten, das es acht oder mehr Zeichen enthält, nicht leicht zu erraten ist (also keine Zeichenfolgen wie password1234) und nicht ein Passwort ist, dass bereits für andere Sites verwendet wird. Das sind die grundlegenden, von Experten immer wieder ausgesprochenen, Empfehlungen für sichere Passwörter.
Mit fast 88 Millionen Betroffenen gehört die Dailymotion-Datenbank nicht zu den gravierendsten Datenverlusten des Jahres 2016. Im November war bekannt geworden, dass der Kontaktbörse Adult Friend Finder Daten von über 400 Millionen Nutzern gestohlen wurden. LeakedSource war es nach eigenen Angaben zudem gelungen, bei den ihm vorliegenden Daten fast alle Passwörter zu entschlüsseln. Eine nicht näher spezifizierte Anzahl an Kundendaten der Telekom war im Sommer im Darknet aufgetaucht. Eine Stichprobe hatte ergeben, dass die Daten zumindest teilweise echt und aktuell sind. Als Ursache vermutete der Konzern Phishing. Von einem Einbruch in Telekom-Systeme ging er nicht aus. Dennoch sollten Kunden ihre Passwörter “vorsichtshalber” ändern.
EU-Datenschutzgrundverordnung (DSGVO)
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Anfang September war zudem bekannt geworden, dass bei Dropbox rund 68 Millionen Passwörter entwendet wurden. Gefährdet waren allerdings “nur” Nutzerkonten, deren Passwort zuletzt Mitte 2012 geändert wurde. Dropbox fordert seitdem Nutzer mit Zugangsdaten, die älter sind, beim Log-in zu einer Aktualisierung auf. Es weist außerdem auf seine Zwei-Faktor-Authentifizierung hin. Dazu unterstützt es seit August 2015 auch USB-Sicherheits-Keys, die nach dem Standard Universal 2nd Factor, kurz U2F arbeiten. Der auf dem USB-Key gespeicherte Schlüssel lässt sich weder abfangen noch kopieren und im Gegensatz zu SMS- und App-Codes ist auch keine Eingabe durch den Nutzer erforderlich.
In Kürze werden Firmen allerdings mit lapidaren Hinweisen darauf, dass “eine begrenzte Anzahl an Nutzerdaten” entwendet wurden und der Empfehlung, dass trotzdem alle Anwender ihr Passwort “sicherheitshalber” zurücksetzen sollen, nicht mehr davonkommen. Die bereits geltende aber aufgrund einer Umsetzungsfrist bis Mai 2018 noch nicht wirksame EU-Datenschutzgrundverordnung verschärft nämlich die Anforderungen an den Schutz personenbezogener Daten erheblich.
Eine Site wie Dailymotion, eigenen Angaben zufolge zweitweise die weltweit meistbesuchte europäische Site, betrifft das ganz besonders, aber auch US-Firmen, die in Europa Geschäfte machen wollen, müssen sich dann den strengen Regeln unterwerfen. Sofern sie nicht nachweisen können, vor einem Angriff alle nach dem Stand der Technik zumutbaren Maßnahmen ergriffen zu haben und falls sie nach einem Angriff nicht wissen, was ihnen nun eigentlich gestohlen wurde und wer betroffen ist, drohen dann ab 2018 für derartige Vorfälle Strafen in dreistelliger Millionenhöhe.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.