Mehr als 1,5 Millionen Datensätze aus einem Datenleck beim Kryptowährungs- und NFT-Steuerdienstleister CoinTracker sind im Untergrund aufgetaucht. Jetzt konnte das Have-I-been-pwned-Projekt die Daten zum eigenen Fundus hinzufügen. Dort lässt sich überprüfen, ob man selbst betroffen ist. CoinTracker bietet als Dienstleistung an, auf verbundene Kryptowährungs-Wallets zu achten und die Umsätze und Anlagen für die Steuer fachgerecht aufzubereiten. Das Unternehmen erklärte in einer Meldung zu einem Datenabfluss Anfang Dezember, dass es lediglich lesenden Zugriff auf die Kryptobörsen-Konten und öffentlichen Blockchain-Adressen habe. Das Datenleck sei Teil einer größeren Datenkompromittierung bei einem der Dienstleister von CoinTracker gewesen, erklärte das Unternehmen. Die eigene Datenbank sei zu keiner Zeit unterwandert worden. Vorrangig konnten E-Mail-Adressen der CoinTracker-Konten erbeutet werden. Have-I-been-pwned ergänzt, dass in dem Fundus Teile der Telefonnummern zu finden seien. Insgesamt von 1.557.153 Nutzerinnen und Nutzern sind diese Daten jetzt im Umlauf. Ob die eigenen Adressen von diesem Datenleck betroffen sind, können Interessierte einfach auf der Homepage von Have-I-been-pwned herausfinden. Mit den erbeuteten Daten lässt sich auf den ersten Blick nicht viel anfangen. Allerdings sind diese Daten bereits mit Informationen verknüpft: Die E-Mail-Adressen gehören zu Menschen, die mit Kryptowährungen und NFTs umgehen. Sie haben daher naheliegenderweise Wallets. Das erleichtert Phishing-Angriffe sehr stark. CoinTracker warnt daher selbst davor, etwa in vermeintlichen Mails vom Anbieter die Links auf Plausibilität zu prüfen, bevor dort Aktionen jeglicher Art ausgeführt werden. Auch sollten Empfänger niemals das Passwort oder geheime Wallet-Seeds teilen beziehungsweise bestätigen. Außerdem sollten sie keine Wallet-Transaktionen direkt aus einer E-Mail heraus signieren. Schließlich empfiehlt CoinTracker das Aktivieren von Zwei-Faktor-Authentifizierung (2FA), was den Zugriff auf freigegebene Geräte beschränkt. Solche Datenabflüsse gehören inzwischen zum Alltag. So hat das Have-I-been-pwned-Projekt erst in diesem Sommer etwa mehr als 5 Millionen Datensätze zu Twitter-Nutzern hinzugefügt. Ein Sprecher von CoinTracker hat uns informiert, dass eine Stichprobe mit Freiwilligen gezeigt hat, dass die vermeintlichen Telefonnummern nicht echt oder korrekt seien. Das Unternehmen frage keine Telefonnummern von Nutzenden an.
