17. Januar 2019 | pArtikel drucken | kKommentieren

Riesige illegale Datensammlung im Netz aufgetaucht

Troy Hunt, der Betreiber der Passwort-Sicherheits-Website „Have I Been Pwned“ (HIBP), hat eine gewaltige Sammlung an gestohlenen Log-in-Informationen gefunden. Das hat der IT-Sicherheitsexperte in einem Blogbeitrag publik gemacht. Millionen Nutzer sind betroffen.

Unter den gestohlenen Log-in-Informationen befinden sich knapp 773 Millionen unterschiedliche E-Mail Adressen und 21 Millionen unterschiedliche Passwörter. Diese standen zwischenzeitlich frei zum Download im Netz. Troy Hunt fand den Datensatz unter dem Namen „Collection #1“ in einem Untergrund-Forum.

Wie der IT-Sicherheitsexperte in seinem Blogbeitrag beschreibt, besteht der Datensatz aus vielen einzelnen Datendiebstählen aus buchstäblich Tausenden von verschiedenen Quellen.

Illegale Datensammlung als Steilvorlage für „Credential Stuffing“

Laut Hunt ist der Datensatz so strukturiert, dass sie besonders für „Credential Stuffing“ zu gebrauchen sind. Wie Heise Online berichtet, wird bei dieser Art des Hackerangriffs nicht versucht, einzelne Accounts zu knacken. Vielmehr wird der Login-Mechanismus von Webdiensten automatisch mit zahlreichen E-Mail und Passwort-Kombinationen bombardiert, um so massenweise Konten bei Webdiensten zu übernehmen. Laut Bericht führt diese Methode häufig zum Erfolg. Denn sehr viele Nutzer würden die gleichen E-Mail-Adressen und Passwörter bei vielen Webdiensten wiederverwenden.

Die benötigte, große Anzahl an E-Mail und Passwort-Kombinationen für die Durchführung von „Credential Stuffing“ liefert genau die entdeckte, illegale Datensammlung. Denn diese enthält fast 2,7 Milliarden solcher Kombinationen, wie es im Bericht von Heise Online weiter heißt.

Wer wissen möchte, ob seine E-Mail-Adressen mit dazugehörigem Passwort in der Datensammlung auftauchen, kann dies mit dem Dienst HIBP von Troy Hunt herausfinden. In seinem Blogbeitrag betont der IT-Sicherheitsexperte, dass sein Dienst dabei zu keinem Zeitpunkt Passwörter neben E-Mail Adressen abspeichert.

Update vom 28.01.2019:

Der Datensatz „Collection #1“ war erst der Anfang: So hat das Potsdamer Hasso-Plattner-Institut (HPI) kürzlich weitere Datensätze unter dem Namen „Collection #2 – #5“ entdeckt. Das berichten unter anderem die Süddeutsche Zeitung und Heise Online. Zusammen mit den Daten aus „Collection #1“ ergibt das über 2,2 Milliarden E-Mail Adressen – inklusive dazugehörige Passwörter. Mit dem „Identity Leak Checker“ des HPI können Nutzer herausfinden, ob die eigenen E-Mail Adressen betroffen sind.

Wie Sie sich schützen können

Experte Marcel Reifenberger, der bei CANCOM als Chief Security Officer und Chief Information Security Officer tätig ist, nennt fünf Regeln, um sich zu schützen.

„Accounts und die zugehörigen Passwörter sind noch immer ein beliebtes Ziel von Cyberkriminellen. Durch das Befolgen fünf einfacher Regeln kann sich jeder schützen. Erstens: Benutzen Sie Passphrases. Zweitens: Verwenden Sie Multifaktor-Authentifizierung. Drittens: Verwenden Sie unterschiedliche Accounts. Viertens: Löschen Sie alle Daten, die Sie nicht mehr brauchen. Fünftens: Kümmern Sie sich um Ihre digitalen Hinterlassenschaften.“

Wie Sie in Ihrem Unternehmen sichere Passwörter entwickeln können, lesen Sie hier.

Quelle Titelbild: © TheDigitalArtist/pixabay.com

Hier schreibt Christian Schinko für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info