Datenpanne bei Z2U: Nutzer betreiben Schwarzhandel; über eine halbe Million Datensätze legen Profilbilder, Pässe und Finanzdaten offen

Die Sicherheitsforscher von vpnMentor sind auf eine ungesicherte Datenbank mit über 600.000 sensiblen Datensätzen gestoßen, darunter auch Bilder von Nutzern, die ihre Kreditkarten und Ausweisdokumente in die Kamera halten.

Ihrem am 4. April veröffentlichten Bericht zufolge gehört die ohne Passwort zugängliche Datenbank Z2U, einem beliebten Online-Marktplatz für Spiele, auf dem Nutzer In-Game-Items, Spielwährung und Spielkonten tauschen und verkaufen können.

Nach der Veröffentlichung dauerte es keine Woche, bis die Datenbank nicht mehr erreichbar war.

Sicherheitsexperte mit überraschenden Funden

Laut dem erfahrenen Sicherheitsexperten Jeremiah Fowler deuten die von ihm analysierten Dokumente darauf hin, dass die Kunden auf der Plattform weit mehr als nur spielbezogene Konten und Dienste verkaufen.

Bei der Untersuchung der Datenbank fand Fowler Verkaufsanzeigen für Social-Media-Konten, Streaming-Dienste, Betriebssystem- und Antivirensoftware-Lizenzen und sogar Verkaufsbelege für Schadsoftware

Fowler vermutet in Z2U einen Vermittler zwischen Einzelpersonen, die von alten Facebook- und Instagram-Konten über Zugänge zu HBO, Netflix und Disney+ bis hin zu Windows-Lizenzschlüsseln so ziemlich alles kaufen und verkaufen und das zum Bruchteil des Originalpreises. „Noch alarmierender war, dass Verkäufer auch Viren, Malware oder andere Schadprogramme im Angebot hatten.“

Der Sicherheitsforscher legte zudem eine vollständige Aufstellung der Datenbankinhalte vor, die seinen Angaben zufolge ebenso so sensibel wie vielfältig waren. Unter den offengelegten Daten fand er:

• Bilder von Kreditkarten, Kunden und amtlichen Dokumenten, so z. B. Reisepässen
• Bankdaten, einschließlich Aufzeichnungen über Banktransaktionen mit vollständigen IBAN-Nummern
• Zugangsdaten mit den E-Mail-Adressen und Passwörtern der Benutzer sowie Auftragsbestätigungen mit Namen, E-Mail-Adressen und Kaufbelegen
• Software-Lizenzschlüssel für Microsoft, Antivirenprogramme und Adobe Photoshop
• Screenshots von Dashboards des Kundensupports, Kundenkommunikation, Kaufverlauf, Kontoguthaben und Rückerstattungsanfragen
• Aufzeichnungen über den Verkauf von Benutzerkonten für Streaming-Dienste wie HBO MAX, Netflix und Disney+
• Aufzeichnungen über den Verkauf von Social-Media-Benutzerkonten wie Facebook, Twitter und Instagram
• Zugangsdaten für Spieleplattformen
• Verkäufe von Amazon Prime-Konten sowie Amazon-Käufer- und Verkäufer-Konten

Quelle: vpnMentor

Haben Nutzer gehackte oder eigene Zugänge zu Streaming- und Spielekonten auf der Plattform verkauft?

Jeremiah Fowler berichtet, dass Z2U-Benutzer weltweit potenziell kompromittierte Konten verkaufen. Benutzerkonten für Streaming-Dienste wie HBO MAX und Netflix Premium waren für nur einen Dollar und ein Dreimonatsabonnements für Disney+ für nur 5 Dollar zu haben.

„Obwohl Z2U versichert, keine gestohlenen, gehackten oder gecrackten Konten zu verkaufen, ist unklar, wie der Verifizierungsprozess abläuft, abgesehen davon, dass die Käufer eine Rückerstattung beantragen, wenn das Konto eingeschränkt oder gesperrt ist oder nicht mehr funktioniert“, so Fowler.

Dabei habe er zahlreiche solcher Anfragen nach Rückerstattungen gefunden. Ausgehend von den in der Datenbank enthaltenen Ausweisdokumenten stammten diese von Kunden in aller Welt.

Fowler bemerkte zudem, dass Zugangsdaten für einige längst nicht mehr aktuelle Call of Duty-, War Spear-, Minecraft-, League of Legends- und Fortnite-Spielkonten für mehr als 600 US-Dollar verkauft wurden.

„Ich habe gesehen, dass Zugangsschlüssel für Online-Streaming-Plattformen verkauft wurden, die Nutzern Zugang zu einer großen Auswahl an Spielen verschaffen würden“, fügte er hinzu. „Es ist erwähnenswert, dass viele dieser Angebote mit einem VPN (Virtual Private Network) kombiniert wurden oder den Käufern angeboten wurde, das VPN separat zu erwerben.“

Privatsphäre und finanzielle Sicherheit bleiben auf der Strecke

Der Bericht wirft Z2U zwar keine zweifelhaften Praktiken vor, doch gehen mit der frei zugänglichen Datenbank erhebliche Sicherheitsprobleme für alle Kunden einher, die dem Unternehmen ihre sensible Daten anvertraut haben, darunter Fotos mit klar erkennbaren Ausweisen und anderen Dokumenten und Bankdaten.

Quelle: vpnMentor

Auch wenn es derzeit keine Belege dafür gibt, dass Cyberkriminelle Zugang zu den Datensätzen hatten, können diese virtuellen Verfehlungen sehr reale Konsequenzen für die betroffenen Nutzer haben. Nur eine der vielen Möglichkeiten wäre ein Missbrauch der Fotos, um unter falscher Identität Konten zu eröffnen oder Produkte zu erwerben.

In einem kleinen Auszug der Datensätze habe Fowler die klar erkennbaren Gesichter sehr vieler Menschen gesehen, die ihre Ausweispapiere und Kreditkarten in die Kamera hielten. „Diese Bilder sind Bestandteil des Verifizierungsprozesses von Z2U und hätten niemals öffentlich gemacht werden dürfen. Diese Informationen könnten die Nutzer einem erheblichen Risiko des Identitätsdiebstahls und betrügerischer Abbuchungen aussetzen.“

In unserer digitalen Welt kann schon ein einfacher Einkauf im Netz ein Risiko für unsere Identität sein.

Bitdefenders Lösungen für den Schutz Ihrer digitalen Identität helfen Ihnen dabei, diese Risiken zu erkennen und zu beseitigen. Sie werden rechtzeitig vor Gefährdungen Ihrer persönlichen Daten gewarnt und können so negativen Auswirkungen auf Ihre Privatsphäre und finanzielle Sicherheit zuvorkommen.

Von der Überwachung auf Datenpannen und Datenlecks bis hin zu kompletten Wiederherstellungsdiensten bei Identitätsdiebstahl (nur in den USA verfügbar) können unsere Lösungen Ihnen helfen, niemals den Überblick zu verlieren und sofort zu reagieren, wenn Ihre persönlichen Daten gestohlen oder missbraucht werden.

Weitere Informationen zu Bitdefenders Digital Identity Protection finden Sie hier.