International

Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetaucht

Es gilt als das bisher größte Datenleck der Geschichte. Etwa 773 Millionen E-Mail-Adressen und 21 Millionen persönliche Passwörter zirkulieren seit geraumer Zeit im Netz. Dort wurden die Daten als "Collection #1" gehandelt.
Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetauchtQuelle: Reuters

Troy Hunt, seines Zeichens australischer Datensicherheitsexperte und Betreiber der Webseite "Have I Been Pwned", machte den Diebstahl öffentlich.

Der gigantische Datensatz wurde als "Collection #1" gehandelt und enthält Rohdaten von E-Mail-Adressen und Passwörtern in einer Gesamtzahl von 2,7 Milliarden Zeilen aus potenziell Tausenden verschiedenen Quellen, so Hunt. Insgesamt gibt es gut eine Milliarde mögliche Kombinationen von E-Mail-Adressen und Passwörtern. Die Sammlung an Zugangsdaten ist demnach in über 12.000 separaten Dateien enthalten, was einer Datenmenge von 87 GB entspricht.

Letzte Woche haben mich mehrere Personen kontaktiert und mich zu einer großen Sammlung von Dateien über den beliebten Cloud-Service MEGA weitergeleitet (die Daten wurden inzwischen aus dem Service entfernt). Die Sammlung umfasste über 12.000 separate Dateien und mehr als 87 GB Daten. Einer meiner Kontakte wies mich auf ein beliebtes Hacker-Forum hin, in dem die Daten veröffentlicht wurden", erläutert Hunt den Datenfund.

Das Tech-Magazin Wired bezeichnete den Vorgang als "Monster-Breach", also als monströsen Sicherheitsverstoß.

Es sieht einfach aus wie eine völlig zufällige Sammlung von Webseites, nur um die Anzahl der Anmeldeinformationen zu maximieren, die Hackern zur Verfügung stehen", sagte Hunt zu Wired. "Es gibt keine offensichtlichen Muster, nur maximale Offenlegung."

Ob die eigenen Zugangsdaten betroffen sind, lässt sich anhand der Webseite "Have I Been Pwned" herausfinden.

Der Verstoß enthält zuvor verschlüsselte Passwörter, die "gelöscht" oder geknackt und wieder in reinen Text umgewandelt wurden, und beinhaltet angeblich Dateien, die bis ins Jahr 2008 zurückreichen. Die Informationen standen nicht einmal zum Verkauf, sondern wurden lediglich auf MEGA und später in einem beliebten Hacking-Forum abgelegt, kostenlos für jeden mit Scroll- und Klickfähigkeiten einsehbar.

Infolgedessen besteht ein stark erhöhtes Risiko von sogenannten Credential Stuffing-Angriffen, bei denen Hacker Spam-Webseites mit verschiedenen Kombinationen von E-Mails und Passwörtern ausspähen, einschließlich – aber nicht beschränkt auf – Dienste wie Netflix, Facebook oder andere Social-Media-Accounts und Online-Dienste. Die Sicherheitslücke scheint keine Sozialversicherungs- oder Kreditkartendaten zu enthalten.

Mehr zum Thema - Ausgerechnet Kaspersky half der NSA auf die Spur zum Megadatenklau

Hunt empfiehlt, die eigenen E-Mail-Adressen auf dem kostenlosen Service von "Have I Been Pwned" zu überprüfen. Sollte ein Verstoß vorliegen, was demnach sehr wahrscheinlich sei, empfiehlt er, einen Passwortmanager zu verwenden oder gar auf Stift und Papier zurückzugreifen, um Ihre Passwörter offline zu speichern.

Es könnte im Widerspruch zu traditionellem Denken stehen, aber unverwechselbare Passwörter in ein Buch zu schreiben und sie in Ihrem physisch verschlossenen Haus zu behalten, ist ein eindeutig besser, als dasselbe (Passwort) überall im Internet wiederzuverwenden", schrieb Hunt in seinem Blogbeitrag über das Datenleck.

Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.