Erschreckender Fund: Archiv mit 770 Mio. geknackten E-Mail-Adressen

Der australischer IT-Sicherheitsforscher Troy Hunt schlägt Alarm: Im Internet ist er auf eine Sammlung mit E-Mail-Adressen und Passwörtern gestoßen. Der Datensatz soll mehr als 770 Millionen Mail-Adressen sowie rund 21,5 Millionen unterschiedliche Passwörter beinhalten.

Wer die Daten in die Hand bekommt, könnte damit Zugriff auf die unterschiedlichsten Internet-Konten von Millionen Nutzern bekommen und massenhaft private Daten wie Fotos, Mails und Kontaktdaten abgreifen.

Archive mit gehackten E-Mails: Woher stammen die Daten?

Die Sammlung, die Hunt in einem Untergrund-Forum unter dem Namen „Collection #1“ angeboten wurde, umfasst mehr als 87 GByte an Daten, verteilt auf über 12.000 Dateien. Laut Anbieter stammen die Daten aus unterschiedlichen Quellen – mit dem perfiden Hinweis, dass es alle Passwörter sogar im Klartext gäbe, nachdem sie aus Hashes berechnet wurden.

Der Sicherheitsforscher hält die Hinweise der Verkäufer, dass die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden, für glaubhaft. Denn es lassen sich tatsächlich aus der Verzeichnisstruktur des Datensatzes Rückschlüsse über Webseiten ziehen, von denen die Daten stammen könnten.

Verwendung der E-Mail-Adressen und Passwörter zum „Credential Stuffing“

Wie Hunt in seinem Blog informiert, seien die Daten so strukturiert, dass Kriminelle sie insbesondere für das sogenannte „Credential Stuffing“ gebrauchen können. Dabei handelt es sich um eine Form des Angriffs auf eine Website, bei der Angreifer versuchen, nicht nur das Passwort eines einzelnen Accounts zu knacken. Stattdessen füttern sie den Login-Mechanismus automatisch mit einer Unmenge an E-Mail- und Passwort-Kombinationen aus einer Liste – einer wie der jetzt aufgetauchten „Collection #1“. Mit den in ihr enthaltenen Daten stünden Angreifern übrigens rund 2,7 Milliarden Kombinationen zur Verfügung! Damit können sie erfolgreich massenhaft Nutzerkonten bei Webdiensten übernehmen. Denn trotz unterschiedlichster Warnungen durch Politik, Medien und unabhängige Experten verwenden viele Nutzer nach wie vor bei verschiedenen Diensten immer noch dieselben Kombinationen von E-Mail-Adressen und Passwort.

Vergewissern Sie sich, ob auch Sie betroffen sind!

Auf seinem Blog hat Hunt die erworbene Datensammlung analysiert und in seinen Dienst „Have I been pwned“ (HIBP) integriert. Eine Liste von 2890 betroffenen Internetseiten ist dabei zusammengekommen. Allerdings schreibt Hunt selbst, dass diese Liste „nicht zwangsläufig vollständig“ sei.

Mithilfe dieses Dienstes können Sie leicht prüfen, ob auch Ihre E-Mail-Adresse oder Ihr Passwort von dem Datenleck betroffen sind. Allerdings können Sie hier nur erfahren, ob Ihre E-Mail-Adressen in dem Leak vorkommen. Aus rechtlichen und logistischen Gründen speichert Troy Hunt keine Passwörter, sondern nur die Hashes der kompromittierten E-Mail-Adressen. Dennoch: Ist dieser Teil des Collection-#1-Datensatz, rät Hunt das dazugehörige Passwort zu ändern.

Auch wenn sich Hunt alle Mühe gibt, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen, lassen Sie dennoch ein wenig Vorsicht walten. Denn ein Passwort ist immer noch ein Passwort und sollte niemals irgendwo auf einer Website eingegeben werden, als ausschließlich in das Passwort-Feld, in das es gehört. Wägen Sie deshalb bitte ab, ob Sie auf HIBP Ihr Passwort eingeben wollen.