Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Insgesamt finden sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter.Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem. In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen "Collection #1" gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.
Der riesige Fundus aus Passwörtern wurde in Untergrund-Foren angeboten und stand zeitweise frei zum Download im Netz.
Ursprung der Daten
Laut Hunt haben die Anbieter der Sammlung die Daten so strukturiert, dass sie vor allem für "Credential Stuffing" zu gebrauchen sind. Bei dieser Art Angriff auf eine Webseite versucht der Angreifer nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste. Die Listen, die in dem Datenleck enthalten sind, stellen fast 2,7 Milliarden solcher Kombinationen zur Verfügung. Angreifer könnten sie nutzen, um massenweise Konten bei Webdiensten zu übernehmen. Das hat oft Erfolg, da sehr viele Nutzer dieselben Kombinationen von Mailadressen und Passwörtern bei vielen Diensten wiederverwenden.
Hunt hält es für plausibel, dass die Angaben der Verkäufer in dem Untergrund-Forum stimmen und die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden. Aus der Verzeichnisstruktur des Datensatzes lassen sich Schlüsse über Webseiten ziehen, aus denen die Daten stammen könnten – bei allen diesen Diensten Nachforschungen anzustellen, ob und wann sie gehackt wurden, scheint aber eine fast unlösbare Aufgabe zu sein. Vor allem weil man dafür auf die Kooperation jedes einzelnen Dienstes angewiesen wäre.
Mehr dazu finden Sie hier: https://www.heise.de/security/meldung/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht-4279375.html
Anmerkung BVfK-IT:
Ob Ihre Daten auch dabei sind können Sie überprüfen. Wie erfahren Sie wenn sie dem obigen Link folgen. Eines ist jedoch sicher, dass die Methoden immer raffinierter werden, wie Kriminelle sich die Daten ahnungsloser Mitmenschen besorgen. Teilweise lassen sich die Täter mehr als ein Jahr Zeit und spähen aus, ob sich das Ziel des Angriffs oder Datendiebstahls auch wirklich lohnt.
Was Sie tun können um sich zu schützen?
Egal ob man Ihre Daten klaut um sich damit illegal Geld oder Waren zu beschaffen oder ob man Trojaner in Ihre Systeme einschleust um Bitcoins zu erpressen. Es sind die bekannten Maßnahmen, die jedoch aus Bequemlichkeit oder Unterschätzung der Bedrohung, oftmals in Vergessenheit geraten. Hier ein paar Tipps, wie Sie es den Cyber-Kriminellen zumindest nicht leicht machen:
• Verwenden Sie wenn möglich nie die selben Passwörter für unterschiedliche Online-Konten
• Tippen Sie die URL sensibler Seiten, wie Online-Banking, lieber direkt in Ihre Browserleiste ein und vermeiden Sie die Aufrufe über Suchmaschinenauflistungen.
• Schützen SIe sich vor Spam-Mails und Spoofing und reagieren Sie immer mit Skepsis auf E-Mails mit der Aufforderung, die enthaltenen Links oder Dateianhänge zu öffnen, um so weitere Informationen zu erhalten. Mailabsender-Adressen können täuschend echt gefälscht sein.
• Sichern Sie Ihre Daten regelmäßig auf externen Datenträgern um im Notfall eine Wiederherstellung Ihrer Daten vornehmen zu können
• Nutzen Sie stets aktuelle Antiviren- und Anti-Maleware-Programme, um Ihre Systeme abzusichern.
