Das "Have I Been Pwned"-Projekt (HIBP) hat jetzt rund 7,5 Millionen Datensätze aus E-Mail-Adresse und Klartext-Passwort-Paaren der eigenen Datenbank hinzugefügt. Sie stammen aus einem Datendiebstahl bei DatPiff, der vermutlich im August 2021 stattfand.
In digitalen Untergrundforen wurden HIBP zufolge die Datensätze aus E-Mail-Adressen, Passwörtern, Sicherheitsfragen und zugehörigen Antworten sowie Nutzernamen zum Kauf angeboten. Dabei hätten bis auf die Mail-Adresse die Informationen als MD5-Hash mit statischem Salt vorgelegen.
Das Verfahren gilt bereits seit Langem als nicht mehr sicher. Die Daten liegen nun geknackt im Klartext vor, als E-Mail-Adresse mit Passwort, schreibt Have I Been Pwned in der Meldung des Lecks.
Gegenmaßnahmen
Medienberichten zufolge liegen die Daten aus dem Einbruch inzwischen auch kostenlos in Untergrundforen vor. DatPiff-Nutzer sollten daher ihr Passwort bei dem Dienst umgehend ändern. Wenn sie es bei mehreren Diensten nutzen, ist selbstverständlich auch dort ein neues Passwort zu vergeben. In dem Fall sollten aber gleich alle Dienste ein eigenes Passwort erhalten.
Ob die eigene E-Mail-Adresse in Datenlecks aufgetaucht ist, lässt sich schnell und einfach auf der Startseite von Have I Been Pwned überprüfen. Eine deutsche Alternative liefert das Potsdamer Hasso-Plattner-Institut, bei dem man ebenfalls seine Mail-Adresse überprüfen kann.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Mobile Security finden Sie hier.