Einen Monat nachdem Poshmark einen Datenverstoß bestätigt hat, werden private Benutzerinformationen online verkauft
Vor fast genau einem Monat gab der nordamerikanische Online-Bekleidungsmarktplatz Poshmark bekannt, dass er einen Datenverstoß erlitten habe. Aus Gründen, die noch unklar sind, hat die Website beschlossen, nicht preiszugeben, wie viele Menschen betroffen waren. Wie die Nachrichten zu dem Vorfall zu diesem Zeitpunkt zeigten, hat Poshmark zig Millionen Nutzer, sodass die potenziellen Auswirkungen von Anfang an beträchtlich waren . Leider blieb die tatsächliche Größe der gestohlenen Datenbank unbekannt. Bis gestern.
Letzte Woche hat eine Person, die über ihre E-Mail-Adresse - JimScott.Sec@protonmail.com - angesprochen werden möchte, die von Poshmark gestohlenen Daten in die Hände bekommen und hat beschlossen, sie an die Cybersecurity-Legende Troy Hunt weiterzugeben. Hunt verarbeitete die Informationen und lud sie in seinen HaveIBeenPwned-Dienst für Datenschutzverletzungen. Dank dessen wissen wir jetzt, dass etwas mehr als 36 Millionen Konten aufgedeckt wurden.
Viele Menschen sind betroffen. Aber wie besorgt sollten sie sein?
Was haben die Hacker gestohlen?
Von Anfang an war Poshmark daran interessiert, darauf hinzuweisen, dass die Cyberkriminellen keine finanziellen Daten oder Informationen im Zusammenhang mit den physischen Adressen der Kunden gestohlen haben. In dem Blog-Beitrag heißt es, dass die Cyberkriminellen nicht nur öffentlich zugängliche Informationen wie Namen und Benutzernamen verwenden, sondern auch eine interne Datenbank mit E-Mail- und Push-Benachrichtigungseinstellungen von Personen verwenden konnten.
Bisher so unauffällig, aber Poshmark gab zu, dass auch interne Kontodaten offengelegt wurden. Dies umfasst die E-Mail-Adressen, Benutzer-IDs, Größeneinstellungen und vor allem "Einweg-verschlüsselte Kennwörter, die für jeden Benutzer eindeutig gesalzen sind". Der Einzelhändler erklärte dann, dass er bcrypt verwendet habe - einen der wenigen Hashing-Algorithmen , die als sicher genug angesehen werden, um Passwörter zu speichern . Trotzdem riet Poshmark seinen Nutzern, ihre Passwörter für alle Fälle zu ändern.
Obwohl die 36 Millionen Poshmark-Kunden nach Spam und Phishing-E-Mails Ausschau halten sollten, gibt es nicht viel zu befürchten. Am Montag sind jedoch neue Informationen aufgetaucht, die etwas beunruhigend klingen.
Hacker verkaufen angeblich geknackte Poshmark-Passwörter
Nachdem Troy Hunt bekannt gegeben hatte, dass die Poshmark-Daten in HaveIBeenPwned geladen wurden, wandte sich Bleeping Computer an JimScott.Sec@protonmail.com (der übrigens über Erfahrung im Umgang mit solchen Vorfällen verfügt) und stellte einige Fragen zu Information. Das mysteriöse Individuum teilte der Sicherheitsnachrichten-Website mit, dass es die gesamte Datenbank mit allen 36 Millionen Konten gesehen habe und für nur 750 US-Dollar den Besitzer im dunklen Internet gewechselt habe. Er bemerkte jedoch auch, dass er gesehen hatte, wie ungefähr 1 Million geknackte Poshmark-Konten zu einem viel höheren Preis angeboten wurden. Wenn dies zutrifft, verkaufen die Hacker komplette Anmeldeinformationen, was bedeutet, dass sie es irgendwie geschafft haben, die Klartext-Passwörter der Leute abzurufen.
Das ist eine interessante Wendung, denn wenn Poshmarks erste Offenlegung wahrheitsgemäß ist, sollten die Passwörter nicht abrufbar sein. Experten sagen, dass bcrypt aus einem sehr guten Grund ein geeigneter Algorithmus zum Hashing von Passwörtern ist. Obwohl es theoretisch möglich sein könnte, es zu knacken, ist es trotz der heutigen leistungsfähigen Hardware nicht praktikabel. Dies deutet darauf hin, dass entweder die Implementierung des Kleidungshändlers nicht korrekt war oder die Hacker einfach die 1 Million Poshmark-Passwörter erraten haben, die sie verkaufen.
Wie auch immer, die bloße Tatsache, dass diese Anmeldeinformationen auf den Untergrundmärkten gehandelt werden, zeigt einmal mehr, wie wichtig es ist, alle Ihre Konten mit sicheren, eindeutigen Passwörtern zu schützen.