MangaToon: Hacker erbeutet Daten von 23 Millionen Nutzern

MangaToon: Hacker kopierte Daten von 23 Millionen Nutzern

Vor kurzem hat der Hacker pompompurin die persönlichen Informationen von 23 Millionen Nutzern der Comic-Leseplattform MangaToon kopiert. Wie der Blog der tschechischen IT-Sicherheitsfirma CyberSecurity Help berichtet, konnte der Cyberkriminelle vor einigen Wochen die Datenbank von MangaToon herunterladen. MangaToon ist vor allem als App für Android und iOS bekannt und wird genutzt, um auf Comics, Mangas und andere Lektüren zuzugreifen. Fans müssen sich anmelden und Coins erwerben, um die Werke lesen zu können. Diese Anmeldung hinterlässt naturgemäß viele persönliche Daten.



Das Passwort für die Datenbank lautete "password"


Berichten zufolge konnte der Hacker pompompurin im Mai die Elasticsearch-Datenbank von MangaToon kopieren, die nur mit einem äußerst schwachen Passwort geschützt war: "password". Nachdem der Hacker die Betreibergesellschaft kontaktiert hatte, wurde das Passwort des Servers geändert. Allerdings wurden die Nutzer nicht gewarnt.



Letzte Woche wurden 23 Millionen MangaToon-Konten mit Namen, E-Mail-Adressen, Geschlechtern, Identitäten von Social-Media-Konten, Authentifizierungstoken von Social-Logins und MD5-Password-Hashes zu der Plattform Have I Been Pwned (HIBP) hinzugefügt. 27% dieser Daten waren bereits in der HIBP-Datenbank enthalten.



Vergebliche Versuche, MangaToon zu kontaktieren


Bevor die geleakten Informationen verwendet wurden, versuchte der Eigentümer des Benachrichtigungsdienstes Have I Been Pwned, Try Hunt, MangaToon zu kontaktieren, allerdings ohne Erfolg. Er versuchte es per E-Mail und über Twitter, aber es kam keine Reaktion. Auch das News-Portal Bleeping Computer konnte keine Stellungnahme von MangaToon bekommen.



Der Hacker wird die illegal kopierte Datenbank vielleicht in Zukunft veröffentlichen oder versuchen, sie zu verkaufen. Im November 2021 zog pompompurin bereits die Aufmerksamkeit von Cybersicherheitsexperten und Strafverfolgungsbehörden auf sich, als er sich erfolgreich in den E-Mail-Server des FBI hackte.



Das Passwort der Elasticsearch-Datenbank lautete "password"


Der Hacker war lange Zeit ein regelmäßiger Supporter des RaidForums. Als die Strafverfolgungsbehörden im April die Server des Forums beschlagnahmten, soll pompompurin an der Gründung des Nachfolgers breached.to beteiligt gewesen sein. Der MangaToon-Datensatz ist jedoch unseren Recherchen zufolge noch nicht aufgetaucht. Es scheint, dass der Verkäufer nicht besonders eilig damit ist, die Daten anzubieten.



Wie pompompurin gegenüber Bleeping Computer bestätigt, war das Passwort für die Elasticsearch-Datenbank tatsächlich "password". Diese Art von Schutz stellt keinen Hindernis für unerlaubte Zugriffe dar und könnte erklären, warum das Unternehmen keine öffentliche Stellungnahme zu diesem Fall abgibt. Zumindest hätte MangaToon jedoch seine Nutzer warnen müssen.








Kommentare


Anzeige