Mega-Datendiebstahl

Russische Hacker klauen 1,2 Milliarden Profildaten

(Bild: thinkstockphotos.de, krone.at-Grafik)

Es könnte der bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Login-Daten für Internetprofile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die amerikanische Sicherheitsfirma Hold Security der "New York Times". Über 500 Millionen E-Mail-Adressen seien betroffen.

Hold Security habe die Daten in Untergrundkanälen im Internet entdeckt und auch mit der Hackergruppe aus Zentralrussland kommuniziert, berichtete die Zeitung am späten Dienstag.

Die Login-Daten stammen demnach von rund 420.000 Websites, darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Die Sicherheitsfirma machte keine Angaben dazu, welche Websites betroffen sind. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die "New York Times".

Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein.

Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internetnutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen.

Erschütternde Dimension
Auf jeden Fall wäre es eine erschütternde Dimension für einen Datendiebstahl: Das Internet hat nach Schätzungen insgesamt zwischen zwei und 2,5 Milliarden Nutzer. Zuletzt war es zwar keine Seltenheit mehr, dass Dutzende oder einige hundert Millionen Login-Datensätze gestohlen wurden. Aber eine so große Beute wie jetzt wurde bisher noch nicht bekannt.

Hacker ziehen Verkauf der Daten in Betracht
Die meisten der betroffenen Websites seien immer noch angreifbar, sagte Hold-Chef Alex Holden der Zeitung. Sein Team habe damit angefangen, die Website-Betreiber zu benachrichtigen, habe aber nicht alle erreichen können. Die Angreifer hätten die erbeuteten Informationen bisher für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schadprogrammen benutzt. Sie erwägten aber auch, sie zu verkaufen, hieß es.

Holden erklärte, er wolle keine Namen nennen, um Ermittlungen nicht zu gefährden. Das Geschäftsmodell seiner Firma ist es, Websites auf Einbrüche von Datendieben zu prüfen. Hold hatte in der Vergangenheit bereits den Diebstahl einige hundert Millionen Login-Datensätze aufgedeckt.

Technisch sei ein so breit angelegter Angriff dank eines sogenanntes Botnetzes mit vielen infizierten Computern möglich. Wenn ein nichtsahnender Nutzer mit einem solchen Rechner eine Website ansteuere, prüfe das Botnetz, ob diese angreifbar sei.

Hacker im Süden Zentralrusslands beheimatet
Man wisse, dass die Gruppe im Süden Zentralrusslands beheimatet sei, erklärte Hold Security. Sie bestehe aus weniger als einem Dutzend Männer im Alter unter 30 Jahren, die sich persönlich kennen, hieß es. Die Server befänden sich in Russland. In der Gang gebe es eine klare Arbeitsteilung: "Die einen schreiben die Programme, die anderen stehlen die Daten."

Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet, erklärte Hold Security. Nach Abzug von Doppelungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben.

Sicherheitsanbieter will aus Datenleck Profit schlagen
Für Kritik sorgt unterdessen, dass Hold Security nicht damit rausrücken möchte, woher die Passwörter stammen. Stattdessen kündigte Firmenchef Alex Holden gegenüber "Forbes" an, Seitenbetreiber gegen Gebühr darüber informieren zu wollen, ob sie von dem Datendiebstahl betroffen sind. Sie sollen demnach zum "symbolischen Preis" von 120 Dollar erfahren, ob ihre Nutzer von dem Hack betroffen sind. Privaten Nutzern will die Firma zudem in den kommenden 60 Tagen einen "Identity Protection Service" anbieten - die Voranmeldung sei "kostenlos", hieß es in einem Blogeintrag. Beobachter erwarten jedoch, das Nutzer für das finale Angebot zur Kasse gebeten werden.