Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Eine riesige Sammlung mit Zugangsdaten zu Online-Diensten zirkuliert in Untergrund-Foren. Die Passwörter von Millionen Nutzern sind betroffen.

Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Insgesamt finden sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem. In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen "Collection #1" gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.

Ursprung der Daten
Laut Hunt haben die Anbieter der Sammlung die Daten so strukturiert, dass sie vor allem für "Credential Stuffing" zu gebrauchen sind. Bei dieser Art Angriff auf eine Webseite versucht der Angreifer nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste. Die Listen, die in dem Datenleck enthalten sind, stellen fast 2,7 Milliarden solcher Kombinationen zur Verfügung. Angreifer könnten sie nutzen, um massenweise Konten bei Webdiensten zu übernehmen. Das hat oft Erfolg, da sehr viele Nutzer dieselben Kombinationen von Mailadressen und Passwörtern bei vielen Diensten wiederverwenden.

Hunt hält es für plausibel, dass die Angaben der Verkäufer in dem Untergrund-Forum stimmen und die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden. Aus der Verzeichnisstruktur des Datensatzes lassen sich Schlüsse über Webseiten ziehen, aus denen die Daten stammen könnten – bei allen diesen Diensten Nachforschungen anzustellen, ob und wann sie gehackt wurden, scheint aber eine fast unlösbare Aufgabe zu sein. Vor allem weil man dafür auf die Kooperation jedes einzelnen Dienstes angewiesen wäre.

Ist mein Passwort unsicher?
Wer wissen will, ob eine seiner Mailadressen mit dazugehörigem Passwort in der Datensammlung vorkommt, der kann Hunts Dienst HIBP verwenden. Der Sicherheitsforscher hatte die vergangenen Tage damit verbracht, die Daten dort einzupflegen. Allerdings sagt eine Anfrage dem Anwender nur, ob eine Mailadresse in dem Leak vorkommt. Hunt speichert aus rechtlichen und rein logistischen Gründen keine Passwörter in seinem Dienst, sondern nur Hashes von Mailadressen, die kompromittiert wurden. Ist die Adresse allerdings im Collection-#1-Datensatz, sollte man wohl das dazugehörige Passwort ändern, rät Hunt.

Einzelne Passwörter lassen sich mit der Funktion Pwned Passwords der Seite überprüfen. Die Webseite sagt dem Anfragenden dann, ob Hunt eben jenes Passwort schon mal in einem Datenleck gesehen hat. Auch hier speichert Hunt nur Hashes und keine Passwörter im Klartext und überträgt nur Teile der Hashes, damit er selbst und ein mithörender Angreifer nicht auf das eingegebene Passwort schließen können. Trotzdem sollten Sie abwägen, ob Sie dort ein Passwort eingeben wollen. Hunt gibt sich alle Mühe, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen. Trotzdem gilt eigentlich die Regel: Gib niemals ein Passwort irgendwo auf einer Webseite ein, außer es handelt sich um das Passwort-Feld der Seite, zu der es gehört.

Dauerhafter Schutz
Hunt empfiehlt Nutzern, einen Passwort-Manager zu benutzen und dafür zu sorgen, dass jede Webseite ihr eigenes Passwort hat. Das sollte beim Leak des Passworts bei einem Anwender verhindern, dass Hacker Passwortlisten verwenden können, um Konten bei anderen Diensten zu knacken. Er empfiehlt den Passwort-Manager 1Password, der seinen Dienst HIBP bereits integriert hat. Eine andere gute Alternative ist das quelloffene Community-Projekt KeePass. Die beste Verteidigung dagegen, Opfer einer Account-Übernahme in Folge eines solchen Datenlecks zu werden ist es auf jeden Fall, viele unterschiedliche starke Passwörter zu verwenden und ein Passwort-Manager ist dabei sehr hilfreich.

Quelle: Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht |
heise Security

Nach der Passwort-Sammlung Collection #1 kursieren nun auch die riesigen Collections #2-5 im Netz. So überprüfen Sie, ob Ihre Accounts betroffen sind.

Erneut ist eine riesige Menge gehackter Nutzeraccounts ins Netz gelangt: Nach der Passwort-Sammlung "Collection #1" kursieren nun auch die Collections #2 bis #5.
Diese sind deutlich umfangreicher als Teil 1, einer ersten Einschätzung von heise Security zufolge sind sie insgesamt über 600 GByte groß. Nach Angaben des Hasso-Plattner-Institus kursieren durch die Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter.

Die Daten sind offenbar nicht komplett neu, sondern stammen zu einem einem Großteil aus älteren Leaks. Dennoch dürfte durch die Zusammenstellung und erneute Veröffentlichung die Wahrscheinlichkeit steigern, dass die Zugansdaten von Cyber-Ganoven ausprobiert werden. Zunächst wurden die gigantischen Datenpakete in einem einschlägigen Online-Forum gehandelt, inzwischen sind sie auch über den Hoster Mega öffentlich zugänglich.

Identity Leak Checker verschafft Klarheit
Wer überprüfen möchte, ob sich die eigenen Mail-Adressen unter den Leaks befinden, kann den Identity Leak Checker des Hasso-Plattner-Institus nutzen. Dort wurden die neuen Collections bereits eingepflegt. Nach Eingabe der Mail-Adresse verschickt der Dienst an ebendiese Adresse eine Mail mit einer Auflistung der Leaks, von denen man betroffen ist. Man erfährt zudem detailliert, welche Datenarten betroffen sind – also, ob sich neben Mail-Adesse und Passwort auch persönliche Daten wie Vor- und Zuname, Geburtstdatum, Anschrift oder Bankkontodaten unter den gelakten Daten befinden.

Die Veröffentlichungen der Daten haben bei vielen Nutzern offenbar Besorgnis hervorgerufen: „Allein in den letzten drei Wochen haben mehr als 1,5 Millionen Nutzer den HPI-Service genutzt und ihre Daten überprüfen lassen“, erklärt Meinel vom HPI. Der Sicherheitsexperte Troy Hunt hat die neuen Collections bislang nicht in seine Prüfdienste Have I Been Pwned und Pwned Passwords importiert. Es dürfte jedoch nicht mehr allzu lange dauern, bis die Daten auch dort durchsuchbar sind.

Prävention statt Reaktion
Sowohl durch den Identity Leak Checker als auch über Have I Been Pwned kann man zwar herausfinden, in welchen Leaks sich die eigene Mail-Adresse befindet, eine Zuordnung zu einem bestimmten Online-Dienste ist meist jedoch nicht möglich. Da es zu einer Mail-Adressen meist bei etlichen Diensten einen passenden Account gibt, ist es daher sinnvoller, Passwörter bei Pwned Passwords zu überprüfen. Taucht ein Kennwort dort auf, dann ist es auch in den Hand von Cyber-Ganoven. In diesem Fall sollte man es besser ändern.

Die aktuellen Leaks sind ein guter Anlass, die eigenen Passwort-Strategien zu überdenken. Die wichtigste Regel ist, für jeden Dienst ein anderes Passwort einzusetzen. Und wer sich nicht für jeden Dienst ein Passwort ausdenken möchte oder merken kann, setzt am besten einen Passwort-Manager wie KeePass ein. Weitere Tipps zu sicheren Passwörtern, der Absicherung von Online-Diensten und vielem mehr finden Sie in den c't-Sicherheits-Checklisten, die in Kurzform gratis unter ct.de/check2018 zum Download bereitstehen.

Quelle: Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroffen |
heise Security

Ständig tauchen neue Datensätze mit vertraulichen Informationen von Verbrauchern im Internet auf. Jetzt sind erneut rund 1,5 Milliarden E-Mail-Adressen im Internet aufgetaucht. Jeder Internetnutzer sollte sofort aktiv werden und prüfen, ob seine Daten im Internet verbreitet werden.
Wir haben gerade erst über die sogenannte Collection #1 berichtet, die rund 700 Millionen gehackter Nutzeraccounts enthielt. Das Hasso-Plattner-Institut berichtet über weitere Datenfunde. Die Datensammlungen sollen insgesamt 2,2 Milliarden E-Mail-Adressen samt der zugehörigen Passwörter enthalten. Teilweise handelt es sich um bereits bekannt gewordene Datenlecks.
Seit 2014 haben mit dem Identity Leak Checkers des Hasso-Plattner-Instituts mehr als 9 Millionen Nutzer ihre E-Mail-Adresse überprüfen lassen. In letzter Zeit führte fast jede zweite Prüfung zu einem Treffer, sodass der Nutzer über die Offenlegung seiner persönlichen Daten im Internet informiert werden musste.

Welche Gefahr besteht durch die Datenpanne und die Veröffentlichung?
Da die veröffentlichten Daten neben der E-Mail-Adresse auch das zugehörige Passwort enthalten, besteht für die Nutzer eine besonders große Gefahr. Gerade der E-Mail-Account ist als besonders sensibel einzuschätzen. Haben Kriminelle Zugriff auf die E-Mail-Adresse des Nutzers, können sie nahezu alle Onlinekonten übernehmen. In der Regel ist die E-Mail-Adresse über die "Passwort vergessen-Funktion" der Schlüssel zu allen verbundenen Onlinekonten.
Onlinewarungen.de sind bereits Fälle bekannt, in denen durch den Zugriff auf die E-Mail-Adresse Bankkonten abgeräumt wurden oder Punkte bei Bonussystemen gestohlen wurden. Hinzu kommen natürlich noch die Begehung von Straftaten im Namen des Nutzers durch einen Identitätsmissbrauch. Auch Waren und Dienstleistungen werden über die gehackten Onlinekonten geordert. Das Opfer erhält jedoch nur die Rechnung.

Datenfund Collections #2 bis #5 sehr umfangreich
Die riesige Datenmenge von 700 Millionen veröffentlichten E-Mail-Adressen und Passwörter war schon ein riesiger Skandal. Laut heise Security wird der Umfang der gehackten E-Mail-Konten bei Teil 2 bis 5 noch deutlich umfangreicher eingeschätzt. Die Datei von Collection #1 war mit 87 Gigabyte schon unvorstellbar groß. Heise Security schätzt die Dateigröße der weiteren Datenfunde auf rund 600 Gigabyte ein. Rein rechnerisch ergibt sich, dass in den Daten rund 1,5 Milliarden E-Mail-Adressen und Passwörter gespeichert sind. Diese wurden im Internet veröffentlicht und sind demzufolge unter Kriminellen im Umlauf.
Bei den Datenfunden handelt es sich offenbar auch um Sammlungen älterer Datenlecks. Insofern sind das keine neu gehackten Konten. Das macht die Angelegenheit jedoch nicht ungefährlicher. Im Gegenteil: Die Daten sind womöglich schon länger im Umlauf und können von Cyberkriminellen schon länger genutzt werden. Wer sein Passwort noch nicht geändert hat, ist für Betrüger wie ein offenes Buch und kann jederzeit und immer wieder digital ausgeraubt werden.

Das sollten Sie jetzt für Ihre Sicherheit tun
Wurde meine E-Mail-Adresse gehackt? Diese Frage sollte nicht nur neugierige Nutzer bewegen. Vielmehr raten wir jedem Internetnutzer unverzüglich zu prüfen, ob die eigenen Daten im Internet veröffentlicht sind. Zurückholen lassen sich die Daten wie E-Mail-Adresse, Passwörter, Name, Geburtsdatum und weitere Informationen nicht. Allerdings sollten betroffene Nutzer unverzüglich reagieren.Wir erklären in unserem Ratgeber "E-Mail Account gehackt? So prüfen Sie ob Hacker Daten gestohlen haben" ausführlich, mit welchen Diensten Sie Ihre E-Mail-Adresse überprüfen können und was Sie tun sollten, wenn Sie von der Datenpanne betroffen sind. Nutzen Sie für die Prüfung unbedingt den Identity Leak Checker des Hasso-Plattner-Instituts, da in der Datenbank des Instituts der gesamte Datenbestand eingearbeitet sein soll. Ergänzend raten wir jedoch, dass Sie auch die anderen vorgestellten Tools verwenden. Sie erhalten detailliert Auskunft darüber, welche Ihrer Daten im Internet gehandelt werden.

Dieser Artikel erschien zuerst bei onlinewarnungen.de: Datenpanne: Weitere 1,5 Milliarden E-Mail-Adressen und Passwörter im Internet aufgetaucht

Quelle: Erneute Datenpanne: 1,5 Milliarden E-Mail-Adressen betroffen - so checken Sie, ob Sie dabei sind - CHIP