Datenklau und kein Ende: 773 Millionen Online-Konten im Netz

E-Mail-Adressen und geknackte Passwörter

Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden, wie heise.de dazu aktuell berichtete. Insgesamt geht es um knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem.

In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen „Collection #1“ gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.

Ursprung der Daten

Dazu heißt es, dass, laut Hunt die Anbieter der Sammlung die Daten so strukturiert haben, dass sie vor allem für "Credential Stuffing" zu gebrauchen sind. Bei dieser Art Angriff auf eine Webseite versucht der Angreifer nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste.

Die Listen, die in dem Datenleck enthalten sind, stellen fast 2,7 Milliarden solcher Kombinationen zur Verfügung. Angreifer könnten sie nutzen, um massenweise Konten bei Webdiensten zu übernehmen. Das hat oft Erfolg, da sehr viele Nutzer dieselben Kombinationen von Mailadressen und Passwörtern bei vielen Diensten wiederverwenden.

Daten aus Hacks und Passwort-Leaks

Hunt hält es für plausibel, dass die Angaben der Verkäufer in dem Untergrund-Forum stimmen und die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden. Aus der Verzeichnisstruktur des Datensatzes lassen sich Schlüsse über Webseiten ziehen, aus denen die Daten stammen könnten – bei allen diesen Diensten Nachforschungen anzustellen, ob und wann sie gehackt wurden, scheint aber eine fast unlösbare Aufgabe zu sein. Vor allem weil man dafür auf die Kooperation jedes einzelnen Dienstes angewiesen wäre.

Passwort auf Sicherheit überprüfen!

Wer wissen will, ob eine seiner Mailadressen mit dazugehörigem Passwort in der Datensammlung vorkommt, der kann Hunts Dienst HIBP verwenden. Der Sicherheitsforscher hatte die vergangenen Tage damit verbracht, die Daten dort einzupflegen. Allerdings sagt eine Anfrage dem Anwender nur, ob eine Mailadresse in dem Leak vorkommt. Hunt speichert aus rechtlichen und rein logistischen Gründen keine Passwörter in seinem Dienst, sondern nur Hashes von Mailadressen, die kompromittiert wurden.

Ist die Adresse allerdings im Collection-#1-Datensatz, sollte man wohl das dazugehörige Passwort ändern, rät Hunt.

Aber Achtung!

Einzelne Passwörter lassen sich mit der Funktion Pwned Passwords der Seite überprüfen. Die Webseite sagt dem Anfragenden dann, ob Hunt eben jenes Passwort schon mal in einem Datenleck gesehen hat. Auch hier speichert Hunt nur Hashes und keine Passwörter im Klartext und überträgt nur Teile der Hashes, damit er selbst und ein mithörender Angreifer nicht auf das eingegebene Passwort schließen können. Trotzdem sollten Sie abwägen, ob Sie dort ein Passwort eingeben wollen. Hunt gibt sich alle Mühe, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen. Trotzdem gilt eigentlich die Regel: Gib niemals ein Passwort irgendwo auf einer Webseite ein, außer es handelt sich um das Passwort-Feld der Seite, zu der es gehört.