Hey ihr,
Wie ihr vielleicht mitbekommen habt, gab es eine Sicherheitspanne bezüglich Wattpad. Die meisten denken sich jetzt wahrscheinlich, ist ja nichts Neues. Ja, da habt ihr recht, technische Probleme ziehen sich öfters durch diese App und das bringt den ein oder anderen schon mal zu verzweifeln... Kapitel verschwinden, die Reihenfolge verändert sich, Kommentare werden nicht mehr angezeigt, die Nachrichten werden nicht in der App dargestellt, ach, wer kennt es nicht?
Was ist also vorgefallen?
Nein, dieses Mal geht es um die Tatsache, dass persönliche Daten von gewissen Servern geleakt worden sind. Wattpad wurde also tatsächlich gehackt.
Die Leute, die sich am Freitag einloggen wollten, haben es vielleicht gemerkt. Ohne das Passwort zurückzusetzen, konnten sie sich nicht am Pc anmelden.
Das genaue Datum ist mir leider nicht bekannt. Erst heute hat Wattpads Support Center Informationen bereitgestellt. Den Link dazu findet ihr am Ende des Eintrags, damit ihr euch selbst ein Bild machen könnt.
Was ich persönlich schlimm finde, ist das Wattpad anscheinend selbst nicht weiß, welche Profile genau betroffen sind. Eine Liste zum Nachschauen gibt es jedenfalls nicht. Korrigiert mich, wenn ich mich irre.
Klar, es hilft einem natürlich nicht besonders, da die Daten ja trotzdem gestohlen worden sind. Jedoch ist es schon irgendwie nett, wenn man zumindest weiß, ob man betroffen ist. Finde ich persönlich.
Was für Daten sind betroffen?
Laut Wattpads Support sind eMail Adresse, Geburtsdatum und Geschlecht, sowie die IP Adresse, der Profilname, sowie Accountname und salted + gehaschtes Passwort.
Dazu kommen noch Wattpad Umfragen von 2015 oder früher und die Liste der Paid Stories sowie Kapitel, die der User gekauft hat. Beides betrifft mich persönlich nicht. Zahlungsmittel oder Drittaccounts wie Google oder Facebook sind angeblich nicht betroffen, da Wattpad diese Informationen nicht abspeichern.
Was heißt das für mich?
Ich fange einmal mit der IP Adresse an:
Vielen ist diese Bezeichnung ein Begriff, aber wissen nicht was das genau bedeutet.
Also für Dummies erklärt, verbindet die IP Adresse dein Gerät, was auch immer es ist, mit dem Internet. Jedes Gerät bekommt eine eigene eindeutige IP zugewiesen mit der man dieses Gerät identifizieren kann.
Na, wird es schon klarer? Man kann sich das also funktional wie eine Telefonnummer vorstellen, sehr vereinfacht gesagt.
Dann gibt es noch dynamische oder statische IP Adressen. Statische werden nur einmal vergeben und bleiben gleich, also statisch. Dynamische wechseln meist da der Provider(1und1, T-Online, Magenta, etc) je nach Verfügbarkeit diese vergibt.
Das heißt jetzt, diese Person oder diese Gruppe weiß, was für eine Adresse du hast. Über diese kann man beispielsweise Geotargeting, also den ungefähren Wohnort feststellen. Falls man keine dynamische Adresse verwendet, kann man Seitenaufrufe herausfinden usw.
Gar nicht gut, nicht wahr? Ja, das ist wirklich doof... weswegen ich ja gemeint habe, es wäre gut zu wissen...
Dann die Sache mit dem Passwort, hierbei kann ich euch beruhigen, Wattpad sagt, dass sie Passwörter nicht als Text abspeichern. Deshalb weiß die Person auch nur den Salt + hash des Passworts.
Passwörter werden in der IT nicht als Text abgespeichert, eben genau aus diesem Grund. Vielmehr werden sie durch eine Funktion umgewandelt, diese wird Hashfunktion genannt. Sie ist mathematisch so aufgebaut, dass man leicht Passwörter in diesen Hashsalat umwandeln kann, aber nicht von diesem wieder auf das Passwort schließt.
Also es geht nur in eine Richtung.
Dementsprechend werden Passwörter immer zuerst umgewandelt und diese dann mit dem gespeicherten Hash verglichen. Stimmt dieser mit dem aus der Datenbank überein, tada, bist du angemeldet.
Ein Salt ist dazu da, um das Ergebnis der Hashfunktion noch diverser zu gestalten. Es wird quasi einen Prise Salz hinzugefügt, um eben zu verhindern, dass es identische Ergebnisse gibt. Dieser Salt wird meist vor dem Hash hinzugefügt. Manchmal auch danach.
Sooo zusammengefasst, wissen sie also nicht den Text eures Passworts, sondern den Hash und Salt. Ich würde euch trotzdem empfehlen, dass ihr eure ähnlichen Passwörter auf anderen Seiten ändert. Bitte, tut es für mich.
Das Problem ist nämlich, sie könnten versuchen diesen Hash zwischenzuspeißen und sich so Zugriff auf andere Seiten zu verschaffen. Immerhin vergleichen die ja den Hash + Salt in der Anwendung. :)
Dies ist ein gutes Beispiel, warum ein Salt genutzt wird. Jede Website verwendet einen anderen Salt, zumindest in der Theorie. Daher, selbst wenn der Hash, also dein Passwort dasselbe ist, bringt das der Person nicht viel.
Ich hoffe, ich habe euch nicht komplett verwirrt xD
Bezüglich der persönlichen Daten, wie Geburtsdatum & Co, ja diese Daten haben sie leider. Es sollten aber keine privaten Nachrichten betroffen sein, das ist zumindest etwas, yay.
Ende gut, alles gut?
Na ja, wie man es nimmt. Bitte ändert eure Passwörter, falls es ähnliche auf anderen Seiten gibt und macht euch vielleicht mal Gedanken über einen VPN. Dadurch verbindet ihr euch mit einer anderen IP Adresse und es kann euch ziemlich egal sein, wenn euer Account gehackt wird... wobei das auch mit Vorsicht zu genießen ist. Man kann jedenfalls keinen Standort genau lokalisieren und ihr seid dadurch besser geschützt.
Habt ihr noch weitere Fragen? Heute war es ja ziemlich Techie 👩💻
Das war's jedenfalls heute von mir, habt einen schönen Dienstag.
Lg Alice
Quellen:
#Wattpad Support: Statement regarding recent security issues. https://support.wattpad.com/hc/en-us/articles/360046241911-Statement-Regarding-Recent-Security-Issue-
#Definition IP-Adresse. https://www.onlinemarketing-praxis.de/glossar/ip-adresse
#virtual private network. https://de.wikipedia.org/wiki/Virtual_Private_Network
DU LIEST GERADE
Let's talk about ...
RandomEin Blog über allerlei Dinge wie Animes, Mangas, Bücher, Wattpad, Filme, etc. Hier werde ich meine Meinung vertreten und euch schmackhaft machen. Die Prise Humor darf natürlich nicht fehlen. Vielleicht wollt ihr aber auch nur prokrastinieren, dann l...
