Jugendgefährdend: Millionen Passwörter von Knuddels.de standen offen im Netz

Knuddels.de meldet einen der größten Datendiebstähle in Deutschland, betroffen sind vor allem Jugendliche. Der Chat-Anbieter bemüht sich um Jugendschutz und hatte doch Passwörter von Nutzer*innen unverschlüsselt gespeichert.

screenshot der Knuddels.de-Startseite. Nutzer wird aufgefordert, sein Passwort festzulegen.
Sich bei Knuddels.de anzumelden ist kinderleicht. Jetzt landeten fast 1,9 Millionen Passwörter der meist jugendlichen Nutzer*innen im Klartext im Netz.

Der Chat-Dienst Knuddels.de sieht nicht nur aus wie aus den 1990er Jahren, er ist es auch. Seit 1999 steht die Seite im Netz, zuletzt hatte sie laut eigenen Angaben in Deutschland und Österreich etwa zwei Millionen registrierte Nutzer*innen. Am Freitag meldete Knuddels.de im eigenen Forum, dass es ein Datenleck gegeben habe: Mehr als 1,9 Millionen Passwörter waren unverschlüsselt im Netz aufgetaucht, begleitet von einem noch viel umfangreicheren Set an Daten, wie unter anderem Golem berichtete:

Nach Informationen von Golem.de umfasst die Datenbank 1.872.070 Datensätze, bestehend aus Nickname, Passwort, E-Mailadresse (falls vorhanden) und zum Teil Profilangaben wie den realen Namen und dem Wohnort. Der Link auf den kompletten Datensatz auf mega.nz funktionierte am Samstag nicht mehr, allerdings noch ein Link auf einen Auszug mit 8.000 Datensätzen auf der Onlinespeicherplattform Pastebin.

Besonders heikel: Auf Knuddels.de sind viele Jugendliche aktiv. In den 2000er-Jahren war die Plattform einer der wichtigsten Treffpunkte für Schüler*innen im deutschsprachigen Netz. Daran hat sich durch Konkurrenz von Facebook, WhatsApp und Instagram einiges geändert, die Nutzer*innen sind in den 19 Jahren seit der Gründung mit der Plattform gemeinsam gealtert. Trotzdem waren laut einer Studie der AGOF (Arbeitsgemeinschaft Online Forschung) im Jahr 2012 noch knapp ein Drittel der Angemeldeten jünger als 17 Jahre. (Update: Laut Auskunft von Knuddels.de sind heute nur noch 17 Prozent der Nutzer*innen minderjährig.)

Entsprechend bemüht ist Knuddels.de, einen Ruf als sicheren Ort für Jugendliche im Netz zu kultivieren – oder eher zu verteidigen, denn immer wieder tauchen Berichte über Cybergrooming auf der Seite auf, also von Erwachsenen, die gezielt das Vertrauen von Kindern und Jugendlichen gewinnen, um sie sexuell zu missbrauchen. Spiegel-Online gegenüber sagte Knuddels-Geschäftsführer Holger Kujath dazu:

„Wir gehen seit Jahren gezielt gegen Cyber-Grooming vor.“ So gebe es zum Beispiel einen Jugendschutztest für minderjährige Nutzer, in dem diese lernen, keine persönlichen Daten herauszugeben. Zudem habe Knuddels ein Jugendschutzteam, das sich regelmäßig in den Chaträumen umsieht, um verdächtige Nutzer zu sperren. Und dann ist da ja noch James. Der Chatbot liest bei allen 14- bis 15-Jährigen sämtliche Gespräche mit und warnt die Jugendlichen, wenn er meint, dass diese vorsichtig sein müssten: zum Beispiel, wenn ein Nutzer dazu auffordert, einen Kamera-Chat zu starten. „Wenn spezielle Wörter oder Verhaltensweisen im Chat vorkommen, werden die Gespräche auch von uns nachträglich angeschaut“, sagt Kujath. „Wir haben eine Verantwortung gegenüber den jungen Nutzern.“ Die Gespräche älterer Nutzer würden aber nicht mitgelesen – und wer jünger als 14 ist, darf Knuddels eigentlich gar nicht benutzen.

Jetzt scheint es eine eben dieser Filter-Funktionen gewesen zu sein, die das Leck ermöglicht hat. Eine von Knuddels.de beauftragte Anwaltskanzlei teilte Golem mit:

Der Chatanbieter Knuddels hat die Zugangsdaten seiner Mitglieder wegen einer Sicherheitsfunktion im Klartext gespeichert. „Im Jahr 2016 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings erhalten, mit der Nutzer am Versenden ihres eigenen Passworts über unsere Plattform durch einen Filter gehindert wurden“, teilte eine von Knuddels beauftragte Anwaltskanzlei auf Anfrage von Golem.de am 10. September 2018 mit.

Passwörter im Klartext und nicht als Hashwerte zu speichern, gilt als Sicherheitsrisiko. Denn wenn Daten bei einem Hackerangriff geklaut werden, wie jetzt der Fall, sind die sensiblen Informationen für alle sichtbar. Inzwischen soll die Datenbank mit den Passwörtern im Klartext gelöscht worden sein.

Update 11.09.: Auf die Frage, warum Knuddels.de so großen Wert auf Jugendschutz legt, wenn inzwischen ein Großteil der Angemeldeten laut eigener Aussage 18 oder älter ist, antwortet Geschäftsführer Holger Kujath: „Wegen vielen jungen Nutzern in den 2000er-Jahren hatte der Jugendschutz besondere Priorität für Knuddels. Und auch jetzt entwickeln wir die Filter regelmäßig weiter, selbst wenn nur noch 17 Prozent der Nutzer eben Jugendliche (im Alter von 14 bis 17 Jahren) sind. Der Passwort-Filter war dabei für alle Nutzer aktiv, nicht nur für Jugendliche.“

Der zuständige baden-württembergische Datenschutzbeauftragte prüft inzwischen Sanktionen gegen die Firma mit Sitz in Karlsruhe. Laut der seit Ende Mai geltenden neuen Datenschutzregeln für Europa (DSGVO) können Unternehmen mit wesentlich höheren Bußgeldern belegt werden als zuvor, wenn sie gegen ihre Pflichten verstoßen. Bei schweren Vertößen sind das bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes. Artikel 32 der DSGVO sieht die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“ vor.

5 Ergänzungen

  1. Na da könnt ihr aber mal von ausgehen, dass dies komplette Liste längst bei den Kinderschänden im Darknetz ist…

  2. Mit etwas Glück könnte ich so ja an meine alte E-Mail-Adresse und das zugehörige Passwort aus den sehr frühen 2000ern kommen.

  3. Wäre inetressant, wenn knuddels mit der (offensichtlich falschen(*)) Aussage, Klartextpasswörter wären für diese Sicherheitsfunktion notwendig, durchkommt oder nicht.

    (*) Wenn man prüfen kann, ob ein Klartextwort als Hash vorliegt, kann man die gleiche Methode auch für alle (Teil-)Wörter im Chat benutzen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.