Der australischer IT-Sicherheitsforscher Troy Hunt schl\u00e4gt Alarm: Im Internet ist er auf eine Sammlung (Archiv) mit E-Mail-Adressen und Passw\u00f6rtern gesto\u00dfen. Der Datensatz soll mehr als 770 Millionen Mail-Adressen sowie rund 21,5 Millionen unterschiedliche Passw\u00f6rter beinhalten.<\/p>\n
Wer die Daten in die Hand bekommt, k\u00f6nnte damit Zugriff auf die unterschiedlichsten Internet-Konten von Millionen Nutzern bekommen und massenhaft private Daten wie Fotos, Mails und Kontaktdaten abgreifen.<\/p>\n
Die Sammlung, die Hunt in einem Untergrund-Forum unter dem Namen \u201eCollection #1\u201c angeboten wurde, umfasst mehr als 87 GByte an Daten, verteilt auf \u00fcber 12.000 Dateien. Laut Anbieter stammen die Daten aus unterschiedlichen Quellen \u2013 mit dem perfiden Hinweis, dass es alle Passw\u00f6rter sogar im Klartext g\u00e4be, nachdem sie aus Hashes berechnet wurden.<\/p>\n
Der Sicherheitsforscher h\u00e4lt die Hinweise der Verk\u00e4ufer, dass die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden, f\u00fcr glaubhaft. Denn es lassen sich tats\u00e4chlich aus der Verzeichnisstruktur des Datensatzes R\u00fcckschl\u00fcsse \u00fcber Webseiten ziehen, von denen die Daten stammen k\u00f6nnten.<\/p>\n
Wie Hunt in seinem Blog informiert, seien die Daten so strukturiert, dass Kriminelle sie insbesondere f\u00fcr das sogenannte \u201eCredential Stuffing\u201c gebrauchen k\u00f6nnen. Dabei handelt es sich um eine Form des Angriffs auf eine Website, bei der Angreifer versuchen, nicht nur das Passwort eines einzelnen Accounts zu knacken. Stattdessen f\u00fcttern sie den Login-Mechanismus automatisch mit einer Unmenge an E-Mail- und Passwort-Kombinationen aus einer Liste \u2013 einer wie der jetzt aufgetauchten \u201eCollection #1\u201c. Mit den in ihr enthaltenen Daten st\u00fcnden Angreifern \u00fcbrigens rund 2,7 Milliarden Kombinationen zur Verf\u00fcgung! Damit k\u00f6nnen sie erfolgreich massenhaft Nutzerkonten bei Webdiensten \u00fcbernehmen. Denn trotz unterschiedlichster Warnungen durch Politik, Medien und unabh\u00e4ngige Experten verwenden viele Nutzer nach wie vor bei verschiedenen Diensten immer noch dieselben Kombinationen von E-Mail-Adressen und Passwort.<\/p>\n
Auf seinem Blog<\/a> hat Hunt die erworbene Datensammlung analysiert und in seinen Dienst \u201eHave I been pwned\u201c<\/a> (HIBP) integriert. Eine Liste von 2890 betroffenen Internetseiten ist dabei zusammengekommen. Allerdings schreibt Hunt selbst, dass diese Liste \u201enicht zwangsl\u00e4ufig vollst\u00e4ndig\u201c sei.<\/p>\n Mithilfe dieses Dienstes k\u00f6nnen Sie leicht pr\u00fcfen, ob auch Ihre E-Mail-Adresse oder Ihr Passwort von dem Datenleck betroffen sind. Allerdings k\u00f6nnen Sie hier nur erfahren, ob Ihre E-Mail-Adressen in dem Leak vorkommen. Aus rechtlichen und logistischen Gr\u00fcnden speichert Troy Hunt keine Passw\u00f6rter, sondern nur die Hashes der kompromittierten E-Mail-Adressen. Dennoch: Ist dieser Teil des Collection-#1-Datensatz, r\u00e4t Hunt das dazugeh\u00f6rige Passwort zu \u00e4ndern.<\/p>\n Auch wenn sich Hunt alle M\u00fche gibt, die Daten, die an seine Seite \u00fcbermittelt werden, nach dem aktuellen Stand der Technik zu sch\u00fctzen, lassen Sie dennoch ein wenig Vorsicht walten. Denn ein Passwort ist immer noch ein Passwort und sollte niemals irgendwo auf einer Website eingegeben werden, als ausschlie\u00dflich in das Passwort-Feld, in das es geh\u00f6rt. W\u00e4gen Sie deshalb bitte ab, ob Sie auf HIBP Ihr Passwort eingeben wollen.<\/p>\n