Chess.com: Daten von mehr als 800.000 Benutzern abgesogen

Die persönlichen Daten von mehr als 800.000 registrierten Chess.com-Benutzerinnen und -Benutzern sind jetzt in einem Hacker-Forum aufgetaucht. Das berichtet das Online-Magazin Hackread. Chess.com hat laut Hackread die Echtheit der Daten bestätigt und betont, es handele sich nicht um ein Datenleck, sondern eine Sammlung öffentlich verfügbarer Daten. Passwörter seien sicher, die chess.com-Infrastruktur auch.

Ein Forist mit dem Pseudonym „DrOne“ hat den Datensatz am 8. November in den Breach Forums online gestellt. Hackread hat sie unter die Lupe genommen. Demnach gehören zu den 828.327 Datensätzen die Benutzernamen, die URL des jeweiligen Profils, die zugehörige E-Mail, das Herkunftsland, Profilbild und Anmeldedaten. Solche Daten können Cyberkriminellen dienen, für Phishing oder Identitätsdiebstahl etwa – oder als Basis für noch umfassendere Datensätze.

“DrOne” präsentiert, was er bei chess.com gefunden hat. | via hackreads

Nach Darstellung von chess.com hat die Angreiferin oder der Angreifer die Freunde-Finden-Funktion auf der Website benutzt, um diverse aus einer anderen Quelle stammende E-Mail-Adressen daraufhin zu überprüfen, ob damit ein chess.com-Account verknüpft ist. Im Fall der gut 800.000 Treffer seien die zu dieser E-Mail gehörenden Daten von der Website extrahiert worden. “Data Scraping” nennt sich dieser automatisierte Prozess.

Werbung
“Wusstest du, dass deine E-Mail öffentlich zugänglich ist, als du dich bei chess.com registriert hast?”

Betroffen ist gut ein halbes Prozent der nach chess.com-Angaben etwa 150 Millionen registrierten Nutzer. Chess.com sei sich des Problems bewusst, teilte das Unternehmen mit. “Böswillige Akteure” hätten öffentlich verfügbare Mitgliederdaten gesammelt.

Öffentlich verfügbar: Wer die E-Mail eines Bekannten eingibt, die von The Big Greek etwa, kann über die “Freunde-Finden”-Funktion feststellen, ob mit dieser E-Mail ein chess.com-Benutzerkonto verknüpft ist. Wer den Prozess automatisiert, kann selbiges für Millionen E-Mail-Adressen feststellen und die Daten auslesen.

Auf Anfrage dieser Seite sagte ein chess.com-Sprecher, die “Freunde Finden”-Funktion werde derzeit überprüft. Bei nächster Gelegenheit werde chess.com sie, zumindest in der derzeitigen Form, abschalten.

2.7 7 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest

2 Comments
Most Voted
Newest Oldest
Inline Feedbacks
View all comments
acepoint
acepoint
10 Monate zuvor

Wenn ich die Anmeldedaten (hier = Benutzername oder E-Mail Adresse) habe, dann habe ich 50% der Informationen, die ich für einen Login benötige. Der Benutzername ist bei chess.com eh aufgrund des Designs verfügbar. Die E-Mail Adresse nicht unbedingt. hab es gerade noch einmal am eigenen und anderen Profilen überprüft. Von daher spielen die Admins von chess.com das herunter. Klassische Strategie nach einem Hack.

Ein Grund mehr, dort endlich 2FA einzuführen. Die beitragsfreie Open Source Alternative Lichess hat es schon länger.