Hacker verkauft Millionen Nutzerdaten im Darknet

Hacker verkauft 617 Millionen Nutzerdaten im Darknet – diese 16 Seiten sind betroffen

Im Darknet bietet ein Hacker knapp 617 Millionen Accounts zum Verkauf. Sie stammen von verschiedenen Webseiten. Von einigen war bisher nicht bekannt, dass sie gehackt worden waren.

Bild: comments://952499751/1401056

Ein Artikel von

Ein Unbekannter verkauft im Darknet Konto-Informationen von 16 gehackten Webseiten. In der Datenbank finden sich etwa 617 Millionen Nutzer-Accounts. Die Datenbank selbst ist mehrere Gigabyte gross. Das berichtet «The Register».

Laut der Seite werden die Daten auf der Schwarzmarkt-Seite «Dream Market» verkauft. Diese ist nur über das Tor-Netzwerk erreichbar. Der Unbekannte verlangt für die Datenbank knapp 20'000 US-Dollar in Bitcoin .

Von diesen Seiten kommen die Daten

Laut «The Register» stammen die Daten von folgenden Seiten. Die Zahl in der Klammer steht für die Zahl an Nutzer-Accounts, die betroffen sind:

• Dubsmash (162 Millionen)
• MyFitnessPal (151 Millionen)
• MyHeritage (92 Millionen)
• ShareThis (41 Millionen)
• HauteLook (28 Millionen)
• Animoto (25 Millionen)
• EyeEm (22 Millionen)
• 8fit (20 Millionen)
• Whitepages (18 Millionen)
• Fotolog (16 Millionen)
• 500px (15 Millionen)
• Armor Games (11 Millionen)
• BookMate (8 Millionen)
• CoffeeMeetsBagel (6 Millionen)
• Artsy (1 Millionen)
• DataCamp (700'000)

Laut «heise Online» war der Hack von einigen Seiten in der Liste bisher unbekannt – beispielsweise die der Foto-Community «500px».

«The Register» hat die Daten per Stichprobe auf Echtheit überprüft. Die Daten bestehen hauptsächlich aus Log-in-Name, Passwort und einer E-Mail-Adresse. Manche enthalten aber auch Informationen wie den Standort oder persönliche Details.

Kennwörter (schlecht) gesichert

Die Passwörter sollen verschlüsselt sein, also nicht im Klartext vorliegen. Allerdings nutzten manche Seiten dafür die unsichere MD5-Methode. Hacker können das Passwort also entschlüsseln und versuchen, sich damit in das dazugehörige E-Mail-Konto einzuloggen. Das wäre ein realistisches Szenario, da viele Nutzer dasselbe Passwort auf verschiedene Seiten verwenden. Im Mail-Konto hätten Hacker Zugang zu weiteren Informationen des betroffenen Nutzers.

Der Verkäufer der Daten sagte zu «The Register», dass es sein Ziel sei, «das Leben für Hacker zu erleichtern». Zudem wolle er Geld verdienen und Internetznutzer darauf aufmerksam machen, ihre Daten besser zu schützen. Seinen Angaben zufolge soll er noch über 20 Datenbanken mit knapp eine Milliarden Accounts besitzen. Laut dem Hacker habe bereits mindestens eine Person die Daten zur Seite Dubsmash gekauft.

Hier prüfen Sie, ob Ihre Daten Opfer eines Hacks geworden sind

Internetnutzer sollten regelmässig prüfen, ob Ihre Daten Opfer eines Lecks geworden sind. Dafür gibt es verschiedene Webseiten. Bekannt ist vor allem die Seite «Have I been Pwned?» des IT-Experten Troy Hunt. Hier lässt sich auch checken, ob das eigene Passwort noch sicher ist. Klicken Sie hier, um zur Webseite zu gelangen.

Daneben gibt es noch andere Seiten und Add-ons für Browser, die darüber informieren, ob eigene Daten in Gefahr sind. Hier finden Sie eine Übersicht an nützlichen Links . Auch Chrome-Nutzer können seit kurzem ein entsprechendes Add-on für ihren Browser installieren .

Sicheres Passwort verwenden

Auch ist es wichtig, ein sicheres Passwort zu nutzen. Wie das am besten aussehen sollte, lesen Sie hier

Achten Sie zudem darauf, für jeden Account ein individuelles Passwort zu verwenden. Wer sich so viele Kennwörter nicht merken kann, kann sie in einem Passwort-Manager ablegen. Auf diese Weise müssen Sie sich nur das Kennwort für den Passwort-Manager merken. Eine Übersicht der besten Passwortmanager und wie man sie nutzt, finden Sie hier .

Im Netz tauchen immer wieder Datensätze mit Log-in-Informationen auf. Erst im Januar 2018 machte der IT-Experte Troy Hunt eine Datenbank mit 21 Millionen Passwörter publik .

(avr/t-online.de)

Hacker finden Schwachstelle im E-Voting-System

Video: srf

32

Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!

Die beliebtesten Leser-Kommentare

• FloW96 12.02.2019 19:23

  Highlight Ich stehle auch öfters Portmonnaies, um den Leuten zu zeigen, dass sie ihr Geld besser schützen sollen.

  66 1 Melden
• roger_dodger 12.02.2019 17:04

  Highlight MD5 ist keine Verschlüsselung sondern ein Hash Verfahren bei dem aus einem Passwort ein eindeutiger Hash erzeugt wird. MD5 sollte zwar nicht mehr verwendet werden aber eine Kindergartenübung das Passwort oder eine Kollision zu finden ist es auch nicht wenn die MD5 Hashes mit einem Salt (zufällige Zeichenfolge die zum Passwort hinzugefügt wird damit dasselbe Passwort immer einen unterschiedlichen Hash ergibt) erzeugt wurden.

  53 0 Melden
• badbart 12.02.2019 17:38

  Highlight Die Hacker soll der Blitz beim sche.... Treffen.. Und Betreiber die die passwörter nicht richtig speichern auch gleich..!

  54 3 Melden

32Alle Kommentare anzeigen

Alle Leser-Kommentare

Neuste zuerst
Neuste zuerst Älteste zuerst Beliebteste zuerst Kontroverseste zuerst
• Simsalabum 13.02.2019 09:42

  Highlight Ich habe meine Mailadressen über diesen Link geprüft. Heraus kam, dass meine Spamadresse betroffen ist. Was muss ich nun machen? Nur das PW ändern oder die Adresse löschen (ist fast überall mein Login)? Das PW habe ich an keinem anderen Ort verwendet.

  0 0 Melden
• Der Teufel auf der Bettkante 13.02.2019 00:07

  Highlight Über 10 Jahre Passwort Manager und glücklich.

  0 1 Melden

  • keplan 13.02.2019 08:19

    Highlight kannst du empfehlungen abgeben.
    
    Habe heute aus obenstehenden Gründen, den Ändere-Alle-Deine-Passwörter-Tag.
    
    

    1 0 Melden
  • Der Teufel auf der Bettkante 13.02.2019 20:47

    Highlight ich nutze seit jeher roboform. Weil ich damit sehr zufrieden bin, habe ich mich nie nach anderen umgesehen. Verwalte damit über 200 Logins.

    0 0 Melden
• Cédric Wermutstropfen 12.02.2019 22:13

  Highlight „Der Verkäufer der Daten sagte zu «The Register», dass es sein Ziel sei, «das Leben für Hacker zu erleichtern». Zudem wolle er Geld verdienen und Internetznutzer darauf aufmerksam machen, ihre Daten besser zu schützen. “
  
  Die letzte Aussage ist dermassen lächerlich, man kann es fast nicht glauben. Sollen die betroffenen User ihm jetzt auch noch dankbar sein? Dieser Typ gehört aus der Gesellschaft entfernt und zwar endgültig.

  13 9 Melden
• tolgito 12.02.2019 21:06

  Highlight Ich kenne keine der vermeintlich gehackten Seiten 🤔

  17 4 Melden
• FloW96 12.02.2019 19:23

  Highlight Ich stehle auch öfters Portmonnaies, um den Leuten zu zeigen, dass sie ihr Geld besser schützen sollen.

  66 1 Melden
• badbart 12.02.2019 17:38

  Highlight Die Hacker soll der Blitz beim sche.... Treffen.. Und Betreiber die die passwörter nicht richtig speichern auch gleich..!

  54 3 Melden
• Bombardemente 12.02.2019 17:22

  Highlight Wurden auch Passwörter von verknüpften Google-Konten veröffentlicht!?

  10 3 Melden

  • peterpan42 12.02.2019 17:34

    Highlight Um die Passwörter von verknüpften Google-Konten zu erhalten, müssten die Hacker nicht "nur" die Datenbank abgreifen können, sondern auch Malware in die Seite einbinden.
    Dies ist deutlich aufwändiger, wenn auch nicht unmöglich - im Zweifelsfall besser das Passwort des Google-Kontos auch ändern.

    10 6 Melden
  • Wäscheklammer 12.02.2019 17:35

    Highlight Wenn man sich mit Google oder Facebook bei einer Seite einloggt bleibt das Passwort bei Google. Die Verknüpfte Seite erhält nur einen Verknüpfungs-Key, kein Passwort

    25 1 Melden
  • bossac 12.02.2019 17:47

    Highlight Wenn du dich auf einer Seite via Google (oder Alternative) anmeldest, hat die Seite auf der du dich anmeldest, zu keinem Zeitpunkt Zugriff auf dein Passwort. Beim Verknüpfungsvorgang stimmst du jedoch zu, dass der Betreiber auf bestimmte Informationen deines Google-Accounts zugreifen darf (z.B Mail, Adresse, Profilbild, etc). Diese Informationen sind nun allenfalls kompromittiert.

    37 1 Melden
  • bossac 12.02.2019 19:24

    Highlight Nein, gemäss dem Standard (OAuth2) wird auch kein Hash-Passwort übermittelt, sondern eben nur ein sogenanntes Token (Passwort-Unabhängig generierter Zugangs-Schlüssel).
    
    Die Verknüpfung zur betroffenen Plattform kann man im Übrigen über die Google-Account-Einstellungen jederzeit löschen.
    
    Das Passwort sollte man dann ändern, wenn das kompromittierte Passwort das Selbe wie beim Google-Account ist (auch wenn 2-Faktor-Authentifizierung hier schützen würde)
    

    8 0 Melden

  Weitere Antworten anzeigen
• David Steger 12.02.2019 17:11

  Highlight Wenn der Betreiber der Seite gehackt wird, nützt das stärkste Passwort nichts...

  18 12 Melden

  • peterpan42 12.02.2019 17:24

    Highlight Doch - wenn der Seitenbetreiber nur die Passworthash gespeichert hat (wie es eigentlich Standard sein sollte), macht ein sicheres Passwort die Entschlüsselung aufwändiger.
    Ubd wenn du jedes Passwort nur einmal verwendest, stört es dich nicht, wenn das Passwort bekannt ist, da det Hacker nur Zugang zu der ohnehin geknackten Seite erhält.

    35 0 Melden
  • aglio e olio 12.02.2019 17:26

    Highlight ...was aber kein Grund ist, ein schwaches Passwort zu benutzen.

    15 0 Melden
  • David Steger 12.02.2019 17:38

    Highlight @petetpan42 Das stimmt natürlich. War in diesem Fall offenbar nicht so...

    1 4 Melden
• roger_dodger 12.02.2019 17:04

  Highlight MD5 ist keine Verschlüsselung sondern ein Hash Verfahren bei dem aus einem Passwort ein eindeutiger Hash erzeugt wird. MD5 sollte zwar nicht mehr verwendet werden aber eine Kindergartenübung das Passwort oder eine Kollision zu finden ist es auch nicht wenn die MD5 Hashes mit einem Salt (zufällige Zeichenfolge die zum Passwort hinzugefügt wird damit dasselbe Passwort immer einen unterschiedlichen Hash ergibt) erzeugt wurden.

  53 0 Melden

  • Gubbe 12.02.2019 22:56

    Highlight So erklärt man das richtig. Leider habe ich's nicht verstanden als simpler Anwender.

    4 0 Melden
• Bunny Mcfly 12.02.2019 16:59

  Highlight Sensible Daten sollte man grundsätzlich immer mit Passwörtern sichern, die man sich nicht merken kann. Kein Wörter, Viele Sonderzeichen, Zahlen und lange. Ohne Passwortmanager schwierig bis unmöglich. Und selbst dann sollte man sie regelmässig ändern. Mühsam aber sicher.(-er)

  9 22 Melden

  • xlt 12.02.2019 18:23

    Highlight Sonderzeicheb und Zahlen bringen nichts, nur die Länge und der erlaubte Zeichenraum sind entscheidend.

    15 2 Melden
  • Firefly 12.02.2019 19:21

    Highlight Am sichersten ist eine kleine Geschichte als Passwort, die man sich gut merken kann, so dass man sie nicht aufschreiben muss. Jedoch steigt die eigene Fehlerquote beim eingeben je länger das Passwort ist ebenfalls.

    8 5 Melden
  • Bunny Mcfly 13.02.2019 09:32

    Highlight Sonderzeichen und Zahlen sind sehr wohl entscheidend. Sie erhöhen die Komplexität des Passworts. Mit Wörtern die im Duden stehen nimmt die Zeit, die benötigt wird das Passwort zu knacken, rapide ab. So ziemlich das erste, das ein Crack Programm abfragt ist der Duden in den verschiedenen Variationen.

    1 1 Melden
• Scaros_2 12.02.2019 16:05

  Highlight Mich verwundert nichts mehr. Die Daten wie PW werden (Gefühlt) gar nicht wirklich gesichert und liegen auf dem Servierteller rum.
  
  Kontinuierliches ändern von PW ist der Schlüssel. Alles andere ist zeitlich betrachtet eine Gefahr.

  13 20 Melden

  • Leider Geil 12.02.2019 16:32

    Highlight https://www.sueddeutsche.de/digital/it-sicherheit-warum-es-falsch-ist-passwoerter-regelmaessig-zu-aendern-1.3106648

    29 3 Melden
  • Alnothur 12.02.2019 16:34

    Highlight Die Firmen engagieren halt lieber irgendwelche dahergelaufene "Skriptkiddies" anstatt Entwickler, die wissen, was sie tun... Den Kunden ists ja egal.

    32 2 Melden
  • Karl Marx 12.02.2019 16:39

    Highlight Bei jedem Anbieter ein anderes Passwort ist wichtig.

    31 0 Melden
  • xHascox 12.02.2019 16:41

    Highlight Zwei-Faktor-Authentifizierung und auf jeder Webseite ein anderes Passwort verwenden ist sehr viel nützlicher, als das Passwort oft zu wechseln.

    25 0 Melden
  • Scaros_2 12.02.2019 16:43

    Highlight Leider Geil
    
    Come on - das PW von studenten analysieren? Halte ich nicht für ein gutes Subjekt für eine gross angelegte Analyse.

    4 4 Melden
  • David Steger 12.02.2019 17:09

    Highlight xHascox Wie mach ich das, wenn der Betreiber der Website keine Zwei-Faktor-Authentifizierung anbietet?

    3 1 Melden
  • xHascox 12.02.2019 18:26

    Highlight Entweder zu einer alternativen Seite wechseln, oder eine nette E-mail senden und sagen man soll doch bitte 2FA einbauen (zb. von Google). Leider habens noch nicht alle.

    5 0 Melden
  • Alnothur 12.02.2019 19:08

    Highlight Ich trauere ja immer noch Mozilla Persona nach.

    5 0 Melden

  Weitere Antworten anzeigen