Millionen unverschlüsselte Passwörter im Netz: Betroffen sind Internetnutzer weltweit. Bild: troyhunt
Im Netz ist ein gewaltiger Datensatz mit gestohlenen Benutzernamen und Passwörtern aufgetaucht, die bei zig Datenlecks und Hackerangriffen erbeutet wurden. Alle diese Passwörter gelten als unsicher – und sollten daher auf keinen Fall genutzt werden.
Im Internet ist ein gewaltiger Datensatz mit gestohlenen Anmelde-Informationen aufgetaucht. Darin enthalten sind knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen einmalige, im Klartext lesbare bzw. nicht verschlüsselte Passwörter. Diese können nun von Betrügern genutzt werden, um sich bei Nutzerkonten von Online-Shops oder sozialen Netzwerken anzumelden.
Dies berichtete der australische IT-Sicherheitsexperte Troy Hunt. Insgesamt umfasse die Sammlung mit dem Namen «Collection #1» mehr als eine Milliarde Kombinationen aus Benutzernamen und Passwörtern. Alle diese Login-Informationen gelten als unsicher und sollten daher auf keinen Fall weiter genutzt werden.
Der 87 Gigabyte grosse Datensatz bündele Informationen «aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen», schrieb Hunt in einem Blogeintrag. Der in der Szene sehr geschätzte Security-Experte erklärte weiter, es handle sich um den grössten einzelnen Datensatz dieser Art, mit dem er bislang zu tun gehabt habe. Betroffen sind Internetnutzer weltweit.
Wer überprüfen will, ob seine E-Mail-Adresse in der Sammlung auftaucht, kann Hunts Dienst haveibeenpwned.com nutzen. In der Datenbank wird die Adresse mit Abermillionen Informationen aus Datenlecks abgeglichen. Mit seinem Dienst lässt sich auch prüfen, ob das eigene Passwort in einem Datenleck aufgetaucht ist. Er habe auch die jüngsten Daten dort eingepflegt, erklärte der Microsoft-Mitarbeiter Hunt.
Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text «Oh nein».
Den Passwort-Manager LastPass gibt es für alle gängigen Betriebssysteme und Browser. Eine populäre Alternativen ist 1Password.
Laut IT-Experte Hunt können die Datensätze besonders für das sogenannte «Credential Stuffing» missbraucht werden. Bei dieser Methode nutzen die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten – beispielsweise bei sozialen Netzwerken oder Shopping-Plattformen – einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab.
Auch Online-Erpesser nutzen Informationen aus solchen Datenlecks. «Die Betrüger kontaktieren ihre Opfer per E-Mail und behaupten, ihr Passwort zu kennen und intimes Videomaterial zu besitzen, das mit der Webcam aufgenommen wurde und sie angeblich dabei zeigt, pornografische oder illegale Inhalte anzusehen», sagt Ladislav Zezula vom Antiviren-Hersteller Avast.
Datensätze wie Collection #1 werden tagtäglich im Darknet verkauft, wo Cyberkriminelle die Daten kaufen können, die oft E-Mail-Adressen, Passwörter und andere persönliche Informationen enthalten. bild: avast
In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren dabei aber grösstenteils kryptografisch verschlüsselt gewesen. Die nun im Netz verfügbaren Anmelde-Informationen können von Betrügern direkt für Angriffe missbraucht werden.
Linus Neumann, Chaos Computer Club
«Das Jahr ist gerade mal zwei Wochen alt und es ist bereits das zweite Mal, dass wir alarmierende Nachrichten haben», sagte Neumann auch mit Blick auf den massiven Online-Angriff auf knapp 1000 deutsche Politiker und Prominente, der Anfang Januar publik geworden war.
Collection #1 is the first of five large archives, for a total of 1Tb of data.
— D3LabIT (@D3LabIT) 17. Januar 2019
In the screenshot you see the cloud sharing platform! #dump #infosec #breach #collection1 #collection2 #collection3 #collection4 #collection5 pic.twitter.com/F0GBIdFIGx
Update: Der Titel wurde angepasst, da die Login-Sammlung über 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern enthält. 21 Millionen davon sind einmalige Passwörter.
(oli/jb/sda/awp/dpa)
Video: watson/Peter Blunschi, Emily Engkent
Betrügerische Anrufe von falschen Microsoft-Support-Mitarbeitern nehmen kein Ende. Ein Mitglied des Chaos Computer Clubs hatte die perfekte «Antwort».
Hinweis: Für Computer-Laien gibt es am Schluss des Beitrags eine Zusammenfassung.
Soll noch jemand behaupten, Telefonbetrüger hätten ein einfaches Leben. Bei Wildfremden anrufen, sich als Support-Mitarbeiter ausgeben, abkassieren, fertig.
Fertig? Ein aktueller Fall zeigt, dass auch das Leben als Fake-Microsoft-Angestellter gefährlich sein kann. Für die eigenen Nerven und für den Computer.
Ein Twitter-Thread des Hackers Rem0te alias @grauhut vom Chaos Computer Club (CCC) gehörte am Dienstag zu den …