Banking-App Dave verliert Daten von 7,5 Millionen Nutzern

Dave.com, Anbieter der Banking-App Dave, hat einen Hackerangriff eingeräumt. Zuvor waren Daten von mehr als 7,5 Millionen Nutzern der App in einem öffentlichen Forum aufgetaucht. Ausgangspunkt für den Einbruch war nach Angaben des Unternehmens das Netzwerk des ehemaligen Partners Waydev, einer von Entwicklern genutzten Analytics-Plattform.

Inzwischen sei der Zugang des Hackers geschlossen worden, so der Sprecher weiter. Derzeit sei man dabei, die betroffenen Nutzer zu informieren. Zudem würden die App-Passwörter zurückgesetzt.

„Sobald Dave von diesem Vorfall erfuhr, leitete das Unternehmen sofort eine Untersuchung ein, die noch andauert, und stimmte sich mit den Strafverfolgungsbehörden ab, auch mit dem FBI“, teilte Dave mit. Außerdem würden Behauptungen geprüft, wonach Hacker einige der gestohlenen Passwörter geknackt hätten und nun versuchten, Daten von Dave-Nutzern zu verkaufen.

ZDNet USA wurde am Samstag auf den Vorfall aufmerksam. Ein Leser wies darauf hin, dass Daten von App-Nutzern in einem Hackerforum namens RAID veröffentlicht wurden. Der dort als ShinyHunters registrierte Hacker sei zudem einschlägig bekannt. Er soll auch Daten von Unternehmen wie Mathway, Tokopedia und Wishbone verkauft haben.

Derzeit sind die Dave-Daten als kostenloser Download erhältlich. Allerdings müssen Mitglieder des Forums den Zugang mit zuvor gekauften Forum-Credits freischalten. Danach erhalten Interessenten Zugriff auf Namen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Anschriften von Nutzern der Banking-App. Bestimmte Daten wie Sozialversicherungsnummern sollen ebenfalls erhältlich sein – jedoch nur in verschlüsselter Form. Gleiches gilt auch für Passwörter, die per bcrypt gehasht wurden.

Dem Unternehmen liegen derzeit keine Hinweise dafür vor, dass die Hacker auch auf Nutzerkonten zugriffen haben. Es seien auch keine nicht autorisierten Transaktionen durchgeführt worden.