Nachdem die Daten Hunderttausender Mitglieder im Netz gelandet sind, bemühen sich die Betreiber der deutschen Chat-Plattform Knuddels um Schadensbegrenzung. "Wir bitten euch nach einer Hacker-Attacke um Entschuldigung", schreibt der Gründer und Geschäftsführer von Knuddels.de, Holger Kujath, im Webforum des Dienstes .

Kujath zufolge sind vergangene Woche 1,87 Millionen Nicknames und 808.000 E-Mail-Adressen von Knuddels-Nutzern auf einer Filesharing-Website ins Netz gestellt worden, ebenso dazugehörige unverschlüsselte Passwörter. Von den E-Mail-Adressen seien 330.000 verifiziert gewesen, heißt es - die restlichen könnten also zumindest zum Teil nur für die Anmeldung ausgedachte Adressen sein. Die Nutzer mit verifizierten Adressen sind Knuddels zufolge per E-Mail über den Vorfall informiert worden.

Wie es zu dem Datenleck kam und wer dafür verantwortlich ist, ist im Detail nach wie vor unklar. Als mögliche Schwachstelle wurde einem Post von "Plex" aus dem Knuddels-Team zufolge  ein Back-up-Server ausgemacht, "auf dem nicht die neueste Betriebssystemversion installiert war". Der Server sei als Sofortmaßnahme abgeschaltet worden, heißt es.

Möglichst bald das Passwort ändern

Wer bei Knuddels aktiv ist oder war, sollte wegen des Datenlecks möglichst schnell sein Passwort ändern: Das gilt erst recht, wenn man dasselbe Kennwort oder eine ähnliche Variation auch noch auf anderen Websites nutzt. Auch diese Accounts dürften nun, da das Knuddels-Passwort für Dritte einsehbar war, nicht mehr ausreichend geschützt sein. Knuddels zufolge waren die ins Netz gestellten Daten auf dem Stand vom 20. Juli 2018.

Auf die Frage eines Facebook-Nutzers, ob auch verwaiste Accounts von dem Problem betroffen seien oder ob diese irgendwann gelöscht wurden, antwortete der Facebook-Account von Knuddels am Freitagabend, man könnte dies nicht pauschal sagen. Wie lange Accounts gespeichert werden, hänge "ganz davon ab, welchen Status sie hatten, wie lange sie registriert waren, ob sie ein ehrenamtliches Amt ausgeübt haben oder nicht".

Dass Daten des Dienstes im Netz standen, hatte das Unternehmen Knuddels-Chef Kujath zufolge von einem IT-Sicherheitsmitarbeiter erfahren, der früher Mitglied des Dienstes war. Ein Teil der Daten war Kujaths Darstellung nach bereits am Mittwoch im Netz aufgetaucht.

Darum waren die Passwörter unverschlüsselt

Nach Bekanntwerden des Datenlecks fragten sich manche Nutzer, warum Knuddels Passwörter überhaupt im Klartext gespeichert hat. Hierzu liefert "Golem" ein Antwort . Von einer von Knuddels beauftragten Anwaltskanzlei erfuhr das Technikmagazin Folgendes: "Im Jahr 2012 [in einem früherem Statement war hier noch von 2016 die Rede ; Anmerkung der Redaktion] wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden."

Knuddels wollte die Nutzer also offenbar vor sich selbst schützen - mit dem Ergebnis, dass ihre Passwörter so zwar nicht aus Versehen im Chat landeten, aber nun eben im Klartext in den Händen unbefugter Dritter.

Mittlerweile sei die Klartextvariante der gespeicherten Passwörter übrigens gelöscht worden, schreibt "Golem" mit Bezug auf die Kanzlei. Ihrer Auskunft nach wurde auf Knuddels außerdem die Passwort-Filterfunktion deaktiviert.