Nutzerkonten gehackt: DailyMotion meldet Credential-Stuffing-Angriff

Der französische Videodienst und Youtube-Konkurrent DailyMotion hat einen Credential-Stuffing-Angriff bestätigt. Hacker haben in den vergangenen Tagen versucht, mit von anderen Websites oder Diensten durchgesickerten Nutzernamen und Passwörtern Konten von DailyMotion-Nutzern zu übernehmen – was in einigen Fällen sogar gelungen sein soll.

Laut einer an Kunden verschickten E-Mail, die ZDNet USA vorliegt, begann der Angriff bereits am vorletzten Wochenende. Seitdem erhielten die unbekannten Cyberkriminellen Zugriff auf eine begrenzte Anzahl von Konten. Das Unternehmen betonte, dass alle notwendigen Maßnahmen eingeleitet wurden, um den Angriff abzuwehren. Unter anderem würden seit 19. Januar alle möglicherweise betroffenen Nutzer automatisch abgemeldet und zur Änderung ihres Passworts aufgefordert.

Die E-Mail enthält außerdem einen Link, über den Nutzer die Kontrolle über ihr Konto zurückerhalten können. Die zuständige französische Datenschutzbehörde CNIL ist ebenfalls involviert. Sie musste DailyMotion gemäß der neuen Datenschutzgrundverordnung über den Vorfall informieren.

Credential-Stuffing-Angriffe sind keine Seltenheit. In den vergangenen Monaten wurden untere anderem der Anbieter von Werbeblockern AdGuard, die Großbank HSBC und die Restaurantkette Dunkin‘ Donuts zu Opfern. Erst vor zwei Wochen traf es Reddit.

DailyMotion selbst meldete Ende 2016 einen massiven Datenverlust, nachdem Hackern 85,2 Millionen E-Mailadressen und Nutzernamen sowie 18,3 Millionen Passwörter in die Hände gefallen waren. Laut Alexa-Traffic-Ranking liegt DailyMotion auf der Liste der meistbesuchten Websites derzeit auf Platz 134.

Ausgangsmaterial für Credential Stuffing sollte derzeit ausreichend zur Verfügung stehen. In den vergangenen Tagen wurden unter den Bezeichnungen Collection #1 bis #5 mehrere umfangreiche Datensammlungen im Internet veröffentlicht. Sie enthielten zusammen mehr als zwei Milliarden Datensätze. Nutzer, die herausfinden wollen, ob ihre E-Mail-Adressen irgendwann bei einem Hackerangriff kompromittiert wurden beziehungsweise in einer dieser Datensammlungen enthalten sind, können dies auf einer Website des Hasso-Plattner-Instituts herausfinden. Der sogenannte Identity Leak Checker basiert auf derzeit 810 Leaks, die mehr als 8,1 Milliarden Nutzerkonten betreffen.

Der HPI Identity Leak Checker informiert über Datenlecks, durch die die eigene E-Mail-Adresse möglicherweise kompromittiert wurde (Screenshot: ZDNet.de).Einen ähnlichen Service bietet auch der bekannte Sicherheitsexperte Troy Hunt unter dem Namen Have I been Pwned an. Seine Datenbank soll mehr als 6,4 Milliarden Konten von 340 gehackten Websites umfassen, inklusive der fast 773 Millionen Daten aus der Collection #1.