Nun auch Collections #2 bis #5
Nur eine Woche, nachdem der IT-Sicherheitsforscher Troy Hunt in seinem Blog auf eines der größten Datenlecks der vergangenen Jahre mit mehr als 773 Millionen E-Mail-Adressen und mehr als 21 Millionen Passwörtern im Klartext hingewiesen hat, ist erneut eine riesige Menge gehackter Nutzerdaten ins Netz gelangt, wie handelsblatt.com dazu berichtete. Neben der Passwort-Sammlung „Collection #1“, von der Hunt berichtet hatte, kursieren nun auch die Collections #2 bis #5 im Netz.
Nach Angaben des Hasso-Plattner-Instituts (HPI) sind unter dem Namen „Collection #1-#5“ insgesamt 2,2 Milliarden E-Mail-Adressen samt Passwörtern veröffentlicht worden. Bei den Sammlungen handele es sich um eine neue Zusammenstellung teils bereits bekannter Leaks. Die Collections #2 bis #5 seien deutlich umfangreicher als Teil 1 und einer ersten Einschätzung von Heise Security zufolge insgesamt über 600 Gigabyte groß.
Opfer eines Datendiebstahls?
Ob man Opfer eines Datendiebstahls geworden ist lässt sich mit Prüfportalen ermitteln.
- So steht dazu einmal der „Identity Leak Checker“ des HPI zur Verfügung. Seit 2014 kann dort jeder Internetnutzer durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Dort seien die Daten aus den jüngsten „Collection“-Leaks bereits eingepflegt, wie HPI-Direktor Christoph Meinel dazu erklärte.
- Einen weiteren Dienst hat Troy Hunt entwickelt. Über dessen Portal haveibeenpwned.com können Nutzer ebenfalls prüfen, ob sie vom neuerlichen Leak betroffen sind.
Schutzmaßnahmen für Betroffene
- Passwort ändern: Betroffene sollten schnellstmöglich ihre Passwörter ändern und ihre Accounts mit starken Passwörtern sichern.
- Passwortmanager anwenden: Eine effiziente Verwaltung aller Passwörter in einem digitalen Schlüsselbund oder Tresor ermöglichen Passwortmanager, diese generieren in der Regel bei Bedarf schwer zu knackende Passwörter, fügen diese automatisch in die Login-Felder der entsprechenden Seiten ein und speichern diese im digitalen Schlüsselbund ab. Dieser muss allerdings durch ein möglichst starkes Master-Passwort abgesichert werden. Der Vorteil ist, dass man sich nur dieses eine Passwort merken muss. Dieses sollte für alle Fälle handschriftlich notiert und an einem sicheren Ort physisch verwahrt werden.
- Zwei-Faktor-Authentifizierung anwenden: Accounts lassen sich auch mit der sogenannten Zwei-Faktor-Authentifizierung zusätzlich absichern. Hier müssen Nutzer neben dem Passwort einen zusätzlichen Code eingeben, um sich bei einem Dienst einzuloggen. Der Code wird entweder per SMS aufs Handy geschickt oder in einer App wie dem Google Authenticator erzeugt.
