Webseiten mit Millionen Nutzern gehackt
Wenige Wochen nachdem Sicherheitsforscher auf einen zig Gigabyte großen Datensatz mit Log-in-Informationen stießen, werden erneut viele Millionen Namen, E-Mail-Adressen und die zugehörigen Passwörter im Tor-Netzwerk (Darknet) angeboten. Laut "The Register" sind es rund 617 Millionen Internet-Konten, für die der Verkäufer etwas weniger als 20.000 Dollar in Bitcoin haben möchte. Stichproben hätten ergeben, dass die Daten echt sind, wie n-tv.de dazu informierte.
Sie wurden bei insgesamt 16 Websites erbeutet, was diesen Monster-Leak von "Collection #1" unterscheidet, bei dem E-Mail-Adressen und Passwörter aus sehr vielen Quellen stammen. Unter den gelisteten Websites befinden sich einige, die sehr populär sind und Millionen Nutzer haben.
Zur den gehackten Webseiten gehören:
- Dubsmash (162 Millionen)
- MyFitnessPal (151 Millionen)
- MyHeritage (92 Millionen)
- ShareThis (41 Millionen)
- HauteLook (28 Millionen)
- Animoto (Millionen)
- EyeEm (Millionen)
- 8fit (20 Millionen)
- Whitepages (18 Millionen)
- Fotolog (16 Millionen)
- 500px (15 Millionen)
- Armor Games (11 Millionen)
- BookMate (8 Millionen)
- CoffeeMeetsBagel (6 Millionen)
- Artsy (1 Million)
- DataCamp (700.000)
Ich brauche das Geld
Wie heise.de schreibt, sind einige Hacks schon bekannt gewesen, beispielsweise von MyFitness. Andere Websites wie die Fotografie-Community 500px hätten bisher nicht gewusst, dass bei ihnen Daten abgegriffen wurden.
Der Verkäufer sagte "The Register", seine Gruppe sei insgesamt im Besitz von rund einer Milliarde Datensätze, die sie seit 2012 erbeutet hätten. Nicht alle stünden zum Verkauf, einige würden "privat" genutzt. Er sei kein wirklich böser Mensch, aber er brauche das Geld und wolle, dass die Leaks offengelegt werden.
Auch wenn er sich nicht für sehr böse hält, können die von ihm verkauften Daten doch großen Schaden anrichten. Zwar lägen die Passwörter nicht im Klartext vor, aber die Verschlüsselung sei teilweise veraltet und relativ leicht zu knacken, schreibt "The Register". "Heise" ergänzt, dass Angreifer erbeutete E-Mail-Adressen-Passwort-Paare bei vielen verschiedenen Online-Diensten ausprobieren, da Nutzer die Kombinationen oft mehrmals verwendeten, so n-tv.de.
Weiterführende Links:
Daten verschlüsseln und sichern
theregister.co.uk : 620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts
heise.de: Gehackte Websites: 620 Millionen Accounts zum Verkauf im Darknet