Umfangreiche Informationen von registrierten Anwendern der Nitro-PDF-Produkte wurden veröffentlicht – darunter auch Passwörter.
In einem Hacker-Forum ist die Datenbank mit persönlichen Daten von mehr als 77 Millionen Nitro-PDF-Accounts aufgetaucht. Diese wird zum Preis von drei US-Dollar angeboten.
Mit den Anwendungen von des Herstellers Nitro kann man PDF-Dateien erstellen und bearbeiten. Die Anwendungen werden sowohl von Privatpersonen als auch von Firmen wie Apple und Microsoft genutzt.
Die geleakte Datenbank hat eine Größe von ca. 14 Gigabyte. Enthalten sind unter anderem E-Mail-Adressen, Firmennamen, IP-Adressen und Passwörter. Laut Stichproben von Sicherheitsforschern sind die Daten echt.
Passwörter nicht im Klartext veröffentlicht
Die Kennwörter sind lt. der Webseite have i been pwned? mit dem bcrypt-Verfahren geschützt. Dieses gilt aktuell als sicher. Die Angreifer können die Passwörter also nicht im Klartext einsehen.
Auf dieser Webseite kann man überprüfen, ob beispielsweise die eigene E-Mail-Adresse im Fundus der dort gesammelten Daten-Leaks auftaucht. Troy Hunt, der Seitenbetreiber & Sicherheitsforscher hat mittlerweile Einträge von knapp 10,6 Milliarden Accounts in seiner Datenbank.
Allen Nutzern, die einen Nitro-PDF-Account besitzen, wird dringend empfohlen das Kennwort aus Sicherheitsgründen zu ändern. Wenn das gleiche Kennwort auch bei anderen Online-Diensten zum Einsatz kam, sollte dies auch dort passieren.
Passwortsicherheit
Das gleiche Kennwort sollte im besten Fall niemals für verschiedenen Accounts benutzt werden. Besondere Aufmerksamkeit gilt jedoch dem Zugang zum E-Mail-Konto, da dieses als eine Art Generalschlüssel für weitere Zugängen fungiert. Außerdem sollte man überall, wo es möglich ist, die Zwei-Faktor-Authentifizierung nutzen (wie z. B. beim Bankkonto).
Vorsicht vor Phishing-Angriffen
Auch in diesem Fall ist es sehr wahrscheinlich, dass Betrüger die Informationen nun für Phishing-Mails nutzen, um diese gefälschten E-Mails glaubwürdiger aussehen zu lassen. Nitro-PDF-Nutzer sollten ihr E-Mail-Postfach zur Zeit besonders kritisch beobachten.
Vgl. zum Thema Daten-Leck: Massives Datenleck betrifft Millionen Hotelgäste
Quellen:
https://www.bleepingcomputer.com/news/security/hacker-leaks-full-database-of-77-million-nitro-pdf-user-records/
https://www.heise.de/news/Nitro-PDF-Datenbank-mit-77-Millionen-Nutzereintraegen-geleakt-5033946.html
