40 Millionen Wishbone App-Benutzerdatensätze werden online verkauft

Wie wir gestern erwähnt haben, versuchen Cyberkriminelle oft, mit Daten, die vor Jahren kompromittiert wurden, Geld zu verdienen. Als Catalin Cimpanu, einer der Sicherheitsreporter von ZDNet, in einem unterirdischen Forum eine Anzeige fand, in der die Informationen der Benutzer der Wishbone-App verkauft wurden, dachte er wahrscheinlich, dass genau dies geschieht.

Die beliebte Quizanwendung erlitt bereits 2016 einen Datenverstoß, als Hacker eine Datenbank mit den persönlichen Informationen von etwa 2,2 Millionen Benutzern durchsickerten. Zu der Zeit behaupteten die Cyberkriminellen, dass sie nur einen kleinen Teil der gestohlenen Informationen veröffentlichen, und es sah so aus, als ob die neue Anzeige den Rest der vor vier Jahren gestohlenen Details enthalten könnte. Nachdem Cimpanu ein Beispiel aus der neu beworbenen Datenbank überprüft hatte, stellte er fest, dass dies ein brandneuer Hack ist.

Ein Cyberkrimineller verkauft 40 Millionen Wishbone-Platten für 8.000 US-Dollar

Der Verkäufer wies darauf hin, dass die Datenbank im Jahr 2020 aufgenommen wurde, und der Reporter von ZDNet bestätigte dies, indem er die Zeitstempel überprüfte und die Beispieldaten mit einigen Diensten zur Meldung von Verstößen verglich, was zeigte, dass sie tatsächlich ziemlich neu sind. Die Anzahl der betroffenen Personen liegt bei rund 40 Millionen. Die Aufzeichnungen umfassen Namen, Benutzernamen, E-Mail-Adressen, Telefonnummern, geografische Standorte und Hash-Passwörter. Der Verkäufer verlangt 0,85 Bitcoins oder etwa 8 Tausend US-Dollar, was bedeutet, dass die Konten einen Preis von 0,0002 US-Dollar pro Stück haben.

Die Entwickler von Wishbone haben noch keine offizielle Erklärung abgegeben, aber ZDNet hat bestätigt, dass die Daten echt sind. Es ist relativ günstig und wird von einem erfahrenen Trader angeboten. Die Untersuchung von Catalin CImpanu ergab, dass derselbe Verkäufer Dutzende von Datenbanken anbietet, die von allen Arten von Dienstleistern gestohlen wurden. Insgesamt schätzte der Reporter, dass der Cyberkriminelle über satte 1,5 Milliarden gestohlene Aufzeichnungen verfügt.

Höchstwahrscheinlich wird der Verkäufer keine Probleme haben, die Wishbone-Datenbank zu verschieben, und während er die Gewinne zählt, müssen die Benutzer der App über die möglichen Folgen des Verstoßes nachdenken.

Wie kann sich die Datenverletzung von Wishbone auf Benutzer auswirken?

Obwohl keine Finanzdaten beteiligt sind, gibt es genügend personenbezogene Daten, um alle Arten von Betrug zu ermöglichen. Mit den Kontaktdaten können die Hacker leicht mit potenziellen Zielen in Kontakt treten, und der Rest der Daten kann ihnen helfen, eine Social-Engineering-Falle zu stellen, in die die Opfer wahrscheinlich geraten. Angesichts der Tatsache, dass die überwiegende Mehrheit der Wishbone-Nutzerbasis besteht Bei Mädchen im Teenageralter sind die Folgen der Datenverletzung erschreckend.

Sie könnten argumentieren, dass der Verstoß nicht hätte passieren dürfen, aber wie wir in der Vergangenheit gesagt haben, ist kein Unternehmen immun gegen Cyberangriffe. Tatsache ist jedoch, dass Wishbone zwar bereits einen Sicherheitsvorfall durchgemacht hat, seine Entwickler jedoch anscheinend nicht ihre Lektion gelernt haben.

In der Anzeige sagte der Verkäufer der Daten, dass die Passwörter mit SHA1 gehasht wurden. Dies ist ein Problem, da SHA1 nicht die robusteste Hash-Funktion ist und umgekehrt werden kann. Als Catalin Cimpanu sich ein Beispiel der durchgesickerten Anmeldeinformationen ansah, stellte er jedoch fest, dass die Passwörter tatsächlich mit MD5 gehasht wurden - einem Algorithmus, der mit frei zugänglichen Tools in Sekundenschnelle gebrochen werden kann.

Die Bedrohung für die Wishbone-Konten von Personen ist sehr real. Wenn betroffene Benutzer dieselben Kennwörter für mehrere Dienste wiederverwenden, können die Schäden sogar noch größer sein.