Sa, 25. Mai 2019
17.01.2019 16:53

Auch aus Österreich

Hacker-Datenbank mit Millionen Passwörtern im Netz

Im Internet ist ein gewaltiger Datensatz mit gestohlenen Log-in-Informationen aufgetaucht. Darin enthalten sind knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen im Klartext lesbare unterschiedliche Passwörter. Insgesamt umfasst die Sammlung mit dem Namen „Collection #1“ mehr als eine Milliarde Kombinationen aus beiden.

Der 87 Gigabyte große Datensatz bündele Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“, schrieb der australische IT-Sicherheitsexperte Troy Hunt in einem Blogeintrag.

Auch österreichische E-Mail-Adressen betroffen
Betroffen sind Internetnutzer weltweit. In der „Collection #1“ sind auch österreichische E-Mail-Adressen mit .at-Endung enthalten. Hunt nennt die Sammlung „Collection #1“, weil so der Stammordner heißt, auf den er vergangene Woche beim Datenspeicherdienst „Mega“ gestoßen ist. Der in der Szene sehr geschätzte Security-Experte erklärte weiter, es handle sich um den größten einzelnen Datensatz dieser Art, mit dem er bisher zu tun gehabt habe.

Zahlenmäßig etwas größer wären theoretisch die beiden 2016 bekannt gewordenen Yahoo-Leaks, von denen eine beziehungsweise drei Milliarden Datensätze betroffen waren, wie die „Süddeutsche Zeitung“ berichtete. Doch diese beiden heiklen Datensätze sind bisher im öffentlich einsehbaren Teil des Netzes nicht aufgetaucht.

Echtheit der Daten bisher nicht bestätigt
Die „Collection #1“ stuft Hunt als „unverifiziert“ ein, weil eine zweifelsfreie Überprüfung der Legitimität nicht möglich sei. In der Vergangenheit waren auch immer wieder Fake-Datensätze aufgetaucht. Schon 2016 kursierten Millionen von Nutzerdaten aus alten Angriffen auf Netzwerke wie MySpace, Tumblr und LinkedIn. Wie „frisch“ die Log-In-Informationen der „Collection #1“ sind, ist ebenfalls schwer zu sagen. Die Daten basieren auf Diebstählen in einem Zeitraum von mehreren Jahren. „Es gibt es auch eine Datei, die auf 2008 hinweist“, so Hunt.

Der Microsoft-Mitarbeiter betreibt die Webseite haveibeenpwned.com - was übersetzt so viel wie „Bin ich gehackt worden?“ heißt. In Hunts Datenbank können Internetnutzer überprüfen, ob ihre E-Mail-Adressen oder Passwörter von Datendiebstählen betroffen sind. In der Datenbank wird die Adresse mit Abermillionen Informationen aus Datenlecks abgeglichen. Er habe auch die jüngsten Daten dort eingepflegt, erklärte Hunt.

2019 startet mit alarmierenden Nachrichten
Spätestens wenn die eigene Mail dort auftaucht, solle man über ein neues Passwort und wenn möglich über eine Zwei-Faktor-Authentifizierung nachdenken, sagte Linus Neumann vom deutschen Chaos Computer Club. „Das Jahr ist gerade mal zwei Wochen alt und es ist bereits das zweite Mal, dass wir alarmierende Nachrichten haben“, sagte er auch mit Blick auf den massiven Online-Angriff in Deutschland auf knapp 1000 Politiker und Prominente, der Anfang Jänner publik geworden war.

„Es gibt keine Ausreden mehr. Jeder der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein.“ Neumann rät, bei allen Diensten ein jeweils anderes und zufälliges Passwort mit maximaler Länge zu nutzen. Dieses solle dann über einen Passwort-Manager verwaltet werden. Bei der von Neumann empfohlenen Zwei-Faktor-Authentifizierung entriegeln Nutzer den Zugang zu ihrem Onlinekonto oder Social-Media-Profil zusätzlich zum Passwort durch eine weitere Abfrage auf einem anderen Weg. Das kann beispielsweise eine SMS oder eine Code-Abfrage sein.

Login-Daten werden automatisiert ausprobiert
Laut Hunt können die Datensätze besonders für das sogenannte „Credential Stuffing“ missbraucht werden. Bei dieser Methode nutzen die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten - beispielsweise bei Soziale Netzwerken oder Shopping-Plattformen einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab.

In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren - teils auch bei österreichischen Firmen, wie ein Verzeichnis nahelegt, das ebenfalls aufgetaucht ist und insgesamt mehr als 2000 angebliche Datendiebstähle auflistet, aus denen sich die „Collection #1“ zusammensetzen soll. Die Passwörter waren dabei aber größtenteils verschlüsselt.

 krone.at
krone.at

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
Serie „Welt der Tiere“
Wien ist eine Stadt mit Herz für Hunde
Tierecke
ÖFB-Star im Interview
Alaba vor Pokal-Finale: „Sabi? Ein Super-Typ!“
Fußball International
Dünen und Canyons
Kasachstan: Land der Kontraste und Wunder
Reisen & Urlaub
Wichtiges Helferlein
Tischplatten sind wahre Alleskönner
Bauen & Wohnen
Vergleich lohnt sich!
Bis zu 1000 Euro Unterschied bei Konsumkrediten
Wirtschaft
Hitze mindert Leistung
Arbeitswelt im (Klima-)Wandel
Gesund & Fit
Spezieller „Truthahn“
Sheen brachte Prostituierte zu Thanksgiving mit
Adabei
Totaler Absturz
SC Wr. Neustadt: Mit Anlauf unters Fallbeil!
Fußball National

Newsletter