Die Anmeldeinformationen der Dave-Benutzer werden nach einem Verstoß eines Drittanbieters durchgesickert

Dave Third-Party Data Breach

Laut der Seite "Über uns" ist Dave eine Finanz-App, die erstellt wurde, nachdem sich einige Freunde zusammengetan hatten und beschlossen haben, das Online-Banking für US-Bürger angenehmer zu gestalten. Dieselbe Seite behauptet ziemlich kühn, dass Dave viele Finanzbereiche neu erfunden hat, und es sieht so aus, als ob mehr als 7 Millionen Benutzer dieser Aussage zustimmen. Leider wurden die persönlichen Daten dieser Benutzer aufgrund eines Datenverstoßes offengelegt.

Eine Datenbank voller Dave-Benutzerdaten wurde in einem Hacking-Forum veröffentlicht

Am 25. Juli teilte ein Benutzer ZDNet mit, dass ein Cyberkrimineller ein beliebtes Hacking-Forum verwendet, um die gestohlenen persönlichen Daten von Dave-Benutzern zu verbreiten. Die Datenbank enthielt etwas mehr als 7,5 Millionen Datensätze, und ZDNet erhielt von Dave eine Bestätigung, dass die darin enthaltenen Daten echt sind.

Die Entwickler der Finanz-App sagten jedoch, dass der Verstoß bei einem ehemaligen Partner aufgetreten sei. Der fragliche Partner heißt WayDev und hat Dave anscheinend Datenanalysedienste zur Verfügung gestellt. Dave veröffentlichte später eine offizielle Erklärung zu diesem Thema.

Es muss gesagt werden, dass WayDev den mutmaßlichen Datenverstoß noch nicht offiziell bestätigt oder bestritten hat. Wenn der Angriff tatsächlich bei WayDev stattgefunden hat, müssen einige Fragen beantwortet werden. Viele Menschen möchten beispielsweise wissen, ob andere Unternehmen von dem Angriff betroffen sind. Es ist auch interessant herauszufinden, warum WayDev nach Beendigung der Partnerschaft eine Kopie von Daves Kundendaten hatte.

Während die Leute über die möglichen Antworten auf diese Fragen nachdenken, müssen die Benutzer, deren Daten durchgesickert sind, wissen, worauf sie achten sollten.

Benutzernamen, gehashte Passwörter und persönliche Daten wurden offengelegt

Daves Aussage weist darauf hin, dass die durchgesickerte Datenbank keine Bankkontonummern, Kreditkartendaten oder Aufzeichnungen über Finanztransaktionen enthält. Es enthält Sozialversicherungsnummern, die jedoch verschlüsselt sind.

Viele persönliche Informationen wurden offengelegt, darunter Namen, E-Mail- und physische Adressen, Telefonnummern und Geburtsdaten. Die Anmeldeinformationen von Daves Benutzern waren ebenfalls enthalten, obwohl die Passwörter mit bcrypt gehasht sind und es den Hackern schwer fällt, die Klartext-Anmeldedaten abzurufen. Dies bedeutet jedoch nicht, dass sie es nicht versuchen werden.

Laut Daves Aussage behaupten Hacker, dass sie es geschafft haben, einige der Passwörter zu knacken. Die Entwickler der App arbeiten mit Strafverfolgungsbehörden zusammen und untersuchen diese Behauptungen. In der Zwischenzeit müssen Dave-Benutzer daran denken, dass jeder mit einer Internetverbindung seine persönlichen Daten herunterladen und missbrauchen kann.

Die Daten sind kostenlos verfügbar

Links zu den Daten wurden in einem Clearnet-Hacking-Forum veröffentlicht, was bedeutet, dass Sie nicht einmal einen Tor-Browser benötigen, um darauf zuzugreifen. Es wurde von einem Cyberkriminellen hochgeladen, der den Spitznamen Shiny Hunters trägt und den Ruf hat, große Mengen gestohlener Informationen preiszugeben.

Im Mai prahlten Shiny Hunters damit, 11 verschiedene Online-Dienste im Alleingang kompromittiert und 160 Millionen Datensätze gestohlen zu haben. Damals versuchte der Hacker, die gestohlenen Daten zu monetarisieren, und bot die Datenbanken zu Preisen zwischen 500 und 23.000 US-Dollar an. Diesmal fühlt sich Shiny Hunters jedoch großzügig und bietet Daves Kundendaten kostenlos an, wodurch die Gefahr für die Benutzer umso realer wird.

July 29, 2020

Antworten