Die persönlichen Daten von mehr als 800.000 registrierten Chess.com-Benutzerinnen und -Benutzern sind jetzt in einem Hacker-Forum aufgetaucht. Das berichtet das Online-Magazin Hackread. Chess.com hat laut Hackread die Echtheit der Daten bestätigt und betont, es handele sich nicht um ein Datenleck, sondern eine Sammlung öffentlich verfügbarer Daten. Passwörter seien sicher, die chess.com-Infrastruktur auch.
Ein Forist mit dem Pseudonym „DrOne“ hat den Datensatz am 8. November in den Breach Forums online gestellt. Hackread hat sie unter die Lupe genommen. Demnach gehören zu den 828.327 Datensätzen die Benutzernamen, die URL des jeweiligen Profils, die zugehörige E-Mail, das Herkunftsland, Profilbild und Anmeldedaten. Solche Daten können Cyberkriminellen dienen, für Phishing oder Identitätsdiebstahl etwa – oder als Basis für noch umfassendere Datensätze.
Nach Darstellung von chess.com hat die Angreiferin oder der Angreifer die Freunde-Finden-Funktion auf der Website benutzt, um diverse aus einer anderen Quelle stammende E-Mail-Adressen daraufhin zu überprüfen, ob damit ein chess.com-Account verknüpft ist. Im Fall der gut 800.000 Treffer seien die zu dieser E-Mail gehörenden Daten von der Website extrahiert worden. “Data Scraping” nennt sich dieser automatisierte Prozess.
Betroffen ist gut ein halbes Prozent der nach chess.com-Angaben etwa 150 Millionen registrierten Nutzer. Chess.com sei sich des Problems bewusst, teilte das Unternehmen mit. “Böswillige Akteure” hätten öffentlich verfügbare Mitgliederdaten gesammelt.
Auf Anfrage dieser Seite sagte ein chess.com-Sprecher, die “Freunde Finden”-Funktion werde derzeit überprüft. Bei nächster Gelegenheit werde chess.com sie, zumindest in der derzeitigen Form, abschalten.
Wenn ich die Anmeldedaten (hier = Benutzername oder E-Mail Adresse) habe, dann habe ich 50% der Informationen, die ich für einen Login benötige. Der Benutzername ist bei chess.com eh aufgrund des Designs verfügbar. Die E-Mail Adresse nicht unbedingt. hab es gerade noch einmal am eigenen und anderen Profilen überprüft. Von daher spielen die Admins von chess.com das herunter. Klassische Strategie nach einem Hack.
Ein Grund mehr, dort endlich 2FA einzuführen. Die beitragsfreie Open Source Alternative Lichess hat es schon länger.