Daten von 24,3 Millionen Lumin PDF-Nutzern in Untergrundforum gehandelt

Das neueste Datenleck betrifft Nutzer der Anwendung Lumin PDF. Momentan werden die Daten von 24,3 Millionen Nutzern in einem Untergrundforum gehandelt.

Lumin PDF von Nitrolabs Limited ist als iOS-App für das iPhone oder das iPad verfügbar. Das kostenlose Tool gibt es aber auch für Windows 10. Der Entwickler propagiert Lumin PDF als Tool zum öffnen, kommentieren und bearbeiten Sie PDF-Dateien. Einfach, schnell und einfach zu bedienen, ist Lumin ist ein kostenloser Datei-Editor, der auf der Cloud basiert. Lumin PDF bietet auf dem Windows-Desktop oder Tablet Funktionen wie anzeigen von Dateien ohne Herunterladen – Zoomen, Drehen und Drucken – Google Drive-Integration – Teilen von Dateien per E-Mail – Kommentieren und Signieren von Dokumenten.

Ein Datenleck: Benutzerdatenbank im Internet

Der nachfolgende Tweet von Catalin Cimpanu legt nun nahe, dass die Cloud-Anbindung dem Entwickler zum Verhängnis geworden ist. Zur Nutzung der Funktionen ist eine Nutzeranmeldung erforderlich. Oder die Nutzer registrieren ein Add-In for Google Drive.

Exclusive: Data of 24.3 million Lumin PDF users shared on hacking forum

-Google/Drive access tokens included for most users
-hacker leaked data after Lumin PDF failed to respond
-data originates from leaky MongoDB server
-breach date: Apr 2019https://t.co/PFevO1TvgB pic.twitter.com/jikeGEp94T

— Catalin Cimpanu (@campuscodi) September 16, 2019

Offenbar ist es einem Hacker gelungen, auf einen MongoDB-Server mit den Nutzerdaten zuzugreifen und diese zu kopieren.

ZDnet berichtet nun in diesem Artikel, dass der Hacker den Administrator des Servers in den letzten Monaten mehrfach kontaktiert habe, aber keine Antworten erhielt. Nun hat er einen Download-Link zum abgezogenen Datenbank-Abbild in einem Hacker-Forum gepostet. ZDNet konnte Zugriff auf die 4,06 GB CSV-Datei mit der gesamten Kundendatenbasis des Unternehmens erhalten. Die Daten scheinen, nach Prüfung von Stichproben, echt zu sein.

Komplette Nutzerdatenbank

Für die überwiegende Mehrheit der Benutzerdatensätze enthält die CSV-Datei die vollständigen Namen, E-Mail-Adressen, Geschlecht, (Sprach-)Gebietsschema-Einstellungen und eine Hash-Passwort Zeichenkette oder ein Google-Zugriffstoken.

Für die meisten Benutzereingaben aus dem Datenleck ist ein Google-Zugriffstoken enthalten. Das bestätigt, dass die meisten Lumin PDFs den Dienst als Add-In für die Google Drive-App verwenden.

Für 118.746 Benutzer enthielten die Lumin-PDF-Daten Passwort-Zeichenketten, die scheinbar mit dem Bcrypt-Algorithmus gehasht wurden. Das deutet darauf hin, dass es sich um Benutzer handelt, die ein Konto auf der Lumin-PDF-Website registriert haben.

Merkwürdige Umstände

Im Forum behauptete der Hacker, die Daten aus einer MongoDB-Datenbank von Lumin PDF abgezogen zu haben. Diese sei bereits im April 2019 ohne Passwort online zugänglich gewesen. "Die ungeschützte Datenbank wurde vor etwa 5 Monaten gefunden", schrieb der Hacker. "Der Betreiber wurde mehrmals kontaktiert, ignorierte aber alle Anfragen." Und dann wird es mysteriös, denn der Hacker schreibt: "Die Daten wurden später durch Ransomware zerstört und der Server kurz darauf heruntergefahren."

Solche zerstörerischen Angriffe auf ungesicherte MongoDB-Datenbanken sind seit 2016 bekannt. Die Angreifer hoffen wohl, dass die Opfer ein Lösegeld zahlen, um die Daten zurück zu bekommen (was meist nicht der Fall ist). Unklar bleibt im aktuellen Fall die Motivation des Hackers, die Daten in einem Untergrundforum zu teilen, obwohl der Lumin PDF-Server und die Daten nicht mehr verfügbar waren. Es könnte eine Rache als Antrieb sein.