Hacker stehlen Daten von 50 Millionen LivingSocial-Nutzern

Das Schnäppchen-Portal LivingSocial, an dem Amazon beteiligt ist, hat einen Hackerangriff bestätigt. Unbekannte drangen demnach in das Computersystem des Unternehmens ein und kompromittierten persönliche Daten von mehr als 50 Millionen Nutzern. Einer internen E-Mail zufolge, die All Things Digital vorliegt, erbeuteten sie Namen, E-Mail-Adressen, Geburtsdaten und verschlüsselte Passwörter.

Das in der US-Hauptstadt Washington ansässige Unternehmen hat weltweit nach eigenen Angaben rund 70 Millionen Kunden. Die Niederlassungen in Südkorea, Indonesien, Thailand und auf den Philippinen waren nicht betroffen, da ihre Daten auf anderen Servern gehostet werden.

„Wir haben kürzlich einen Cyberangriff auf unsere Computersysteme registriert, der zu einem nicht genehmigten Zugriff auf einige Kundendaten auf unseren Servern führte. Wir arbeiten mit den Strafverfolgungsbehörden zusammen, um diesen Vorfall zu untersuchen“, schreibt LivingSocial-CEO Tim O’Shaughnessy in der E-Mail.

Auf seiner Website fordert das Unternehmen seine Nutzer auf, ihre Passwörter zu ändern. Die entwendeten Kennwörter seien zwar verschlüsselt (technisch ausgedrückt: hashed und salted), „wir wollten aber alle Vorsichtsmaßnahmen ergreifen, um die Sicherheit Ihres Kontos zu gewährleisten“. Unklar ist, ob LivingSocial die Passwörter aller Konten oder nur die der betroffenen Nutzer zurückgesetzt hat.

Zudem nennt das Unternehmen keinerlei Details zur Art des Angriffs. Auch zu dem Zeitpunkt oder der Dauer der Attacke äußerte sich O’Shaughnessy in seiner E-Mail nicht. Auf seiner Website versichert LivingSocial jedoch, dass die Hacker keinen Zugriff auf die Datenbank hatten, die Kreditkarteninformationen der Kunden enthält.

Robert Hansen, Technical Evangelist bei WhiteHat Security, weist auf das Ausmaß des Angriffs hin. „Wenn es etwa eine Milliarde Menschen im Internet gibt, dann betrifft dieser Hack alleine rund ein halbes Prozent aller Internetnutzer“, sagte er im Gespräch mit News.com. Da viele Nutzer ihre Passwörter für mehrere Websites verwendeten, seien die Folgen des Einbruchs unter Umständen „katastrophal“. „Sie sollten ihre Passwörter sofort ändern“.

Chris Wysopal, Experte für Datensicherheit bei Veracode, lobte die Tatsache, dass die Kreditkartendaten in einer separaten Datenbank gespeichert seien. Er vermutet, dass die Angreifer eine Webanwendung missbrauchten, um sich Zugang zu den SQL-Datenbanken der Website zu verschaffen. „Wenn es eine Webanwendung war, hätten die Tests besser sein müssen“, ergänzte Wysopal.

In den vergangenen Monaten waren mehrere große Internetfirmen Opfer von Hackerangriffen. Außer LivingSocial mussten auch Evernote, Zappos und LinkedIn den Verlust von Kundendaten einräumen.

[mit Material von Seth Rosenblatt, News.com]