International

Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetaucht

Es gilt als das bisher größte Datenleck der Geschichte. Etwa 773 Millionen E-Mail-Adressen und 21 Millionen persönliche Passwörter zirkulieren seit geraumer Zeit im Netz. Dort wurden die Daten als "Collection #1" gehandelt.
Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetauchtQuelle: Reuters

Troy Hunt, seines Zeichens australischer Datensicherheitsexperte und Betreiber der Webseite "Have I Been Pwned", machte den Diebstahl öffentlich.

Der gigantische Datensatz wurde als "Collection #1" gehandelt und enthält Rohdaten von E-Mail-Adressen und Passwörtern in einer Gesamtzahl von 2,7 Milliarden Zeilen aus potenziell Tausenden verschiedenen Quellen, so Hunt. Insgesamt gibt es gut eine Milliarde mögliche Kombinationen von E-Mail-Adressen und Passwörtern. Die Sammlung an Zugangsdaten ist demnach in über 12.000 separaten Dateien enthalten, was einer Datenmenge von 87 GB entspricht.

Letzte Woche haben mich mehrere Personen kontaktiert und mich zu einer großen Sammlung von Dateien über den beliebten Cloud-Service MEGA weitergeleitet (die Daten wurden inzwischen aus dem Service entfernt). Die Sammlung umfasste über 12.000 separate Dateien und mehr als 87 GB Daten. Einer meiner Kontakte wies mich auf ein beliebtes Hacker-Forum hin, in dem die Daten veröffentlicht wurden", erläutert Hunt den Datenfund.

Das Tech-Magazin Wired bezeichnete den Vorgang als "Monster-Breach", also als monströsen Sicherheitsverstoß.

Es sieht einfach aus wie eine völlig zufällige Sammlung von Websites, nur um die Anzahl der Anmeldeinformationen zu maximieren, die Hackern zur Verfügung stehen", sagte Hunt zu Wired. "Es gibt keine offensichtlichen Muster, nur maximale Offenlegung."

Ob die eigenen Zugangsdaten betroffen sind, lässt sich anhand der Webseite "Have I Been Pwned" herausfinden.

Der Verstoß enthält zuvor verschlüsselte Passwörter, die "gelöscht" oder geknackt und wieder in reinen Text umgewandelt wurden, und beinhaltet angeblich Dateien, die bis ins Jahr 2008 zurückreichen. Die Informationen standen nicht einmal zum Verkauf, sondern wurden lediglich auf MEGA und später in einem beliebten Hacking-Forum abgelegt, kostenlos für jeden mit Scroll- und Klickfähigkeiten einsehbar.

Infolgedessen besteht ein stark erhöhtes Risiko von sogenannten Credential Stuffing-Angriffen, bei denen Hacker Spam-Websites mit verschiedenen Kombinationen von E-Mails und Passwörtern ausspähen, einschließlich – aber nicht beschränkt auf – Dienste wie Netflix, Facebook oder andere Social-Media-Accounts und Online-Dienste. Die Sicherheitslücke scheint keine Sozialversicherungs- oder Kreditkartendaten zu enthalten.

Mehr zum Thema - Ausgerechnet Kaspersky half der NSA auf die Spur zum Megadatenklau

Hunt empfiehlt, die eigenen E-Mail-Adressen auf dem kostenlosen Service von "Have I Been Pwned" zu überprüfen. Sollte ein Verstoß vorliegen, was demnach sehr wahrscheinlich sei, empfiehlt er, einen Passwortmanager zu verwenden oder gar auf Stift und Papier zurückzugreifen, um Ihre Passwörter offline zu speichern.

Es könnte im Widerspruch zu traditionellem Denken stehen, aber unverwechselbare Passwörter in ein Buch zu schreiben und sie in Ihrem physisch verschlossenen Haus zu behalten, ist ein eindeutig besser, als dasselbe (Passwort) überall im Internet wiederzuverwenden", schrieb Hunt in seinem Blogbeitrag über das Datenleck.

Sehr geehrte RT DE-Leser,

wir sind auf einen neuen Dienst für die Kommentarfunktion umgestiegen.

Da wir die Privatsphäre unserer Leser respektieren und Ihre Daten nicht an eine Drittplattform übermitteln werden, müssen Sie sich erneut registrieren. Wir entschuldigen uns für die Unannehmlichkeit und hoffen, dass sie sich weiterhin mittels der Kommentarfunktion über aktuelle Themen austauschen und informieren können.

Mit freundlichen Grüßen

Ihre RT DE-Redaktion