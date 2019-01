"Mega-Cyber-Angriff" und "Mega-Hack": Solche Begriffe las man kürzlich häufig im Kontext der Datenveröffentlichungen von "0rbit". Die von ihm geleakten Informationen wie Adressen, Telefonnummern oder Chat-Nachrichten gehörten zu mehr als tausend Politikern, Prominenten und Webstars - da schien manchem Redakteur das "Mega" wohl angemessen.

Am Mittwochabend machte nun aber eine Meldung die Runde, bei der Begriffe wie "riesig", "gigantisch" oder eben "Mega" viel angemessener sind. In einem Hacker-Forum wurde demnach auf einen über die Cloud-Plattform Mega veröffentlichten Datensatz aufmerksam gemacht, den nun beispielsweise das Tech-Magazin "Wired" als "Monster-Breach" vorstellt, als Monster-Sicherheitslücke.

Die Plattform Mega hat den Datensatz mittlerweile offline genommen, ihn durchschauen konnte aber unter anderem der australische Sicherheitsforscher Troy Hunt, der für Microsoft arbeitet. Hunt berichtet auf seiner Website, dass sich darin über 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern befinden. Davon kämen 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vor. Es geht also keineswegs nur um Standardpasswörter wie "12345".

Man könnte dazu auch sagen: Wer den Datensatz in die Finger bekommt, bekommt damit potenziell Millionen Ideen, wie er Accounts von Internetnutzern übernehmen könnte.

87 Gigabyte, 12.000 Dateien

Wie aktuell die insgesamt 87 Gigabyte an Daten und damit auch die enthaltenen E-Mail-Adressen und Passwörter sind, ist unklar. Die Zugangsdatensammlung besteht Forscher Hunt zufolge aus 12.000 Dateien. In ihrem Hauptverzeichnis stieß er auf den Begriff "Collection #1", den er zur Benennung des Leaks nutzte.

Woher die Daten im Einzelnen kommen, weiß auch Troy Hunter nicht, er ist sich aber sicher, dass es nicht nur um die Beute eines einzelnen Hacks handelt (das verbindet das Leak mit dem Fall "0rbit"). Der Datensatz setze sich aus vielen verschiedenen Datenlecks zusammen, schreibt Hunt, "aus im wahrsten Sinne des Wortes Tausenden verschiedenen Quellen".

Ein oder mehrere Hacker könnten hier also die Informationen aus zahlreichen fremden Daten-Leaks gesammelt und neu zusammengefügt haben, möglicherweise noch mit etwas Extraarbeit: Hunt zufolge liegen im Datensatz teils nämlich Passwörter im Klartext vor, die von Diensten ursprünglich verschleiert, also über eine sogenannte Hash-Funktion in eine zufällig aussehende Abfolge von Zeichen umgewandelt wurden.

Ob auch die eigenen Daten betroffen sind, lässt sich über ein Online-Tool namens "Have I Been Pwned" herausfinden, das Troy Hunt selbst anbietet. Wer hier seine E-Mail-Adresse eintippt, bekommt Rückmeldung dazu, ob sie Teil von einem von zahlreichen bekannten Datendiebstählen war. Auch die 772 Millionen E-Mail-Adressen aus der "Collection #1" sind dort bereits berücksichtigt. Zum Teil waren die Daten bereits zuvor dort auffindbar, immerhin 140 Millionen E-Mail-Adressen und über zehn Millionen Passwörter waren aber auch Hunts Service bislang unbekannt.

Nicht jedes Ergebnis hilft sofort

Üblicherweise, sollte man überhaupt von einem bekannten Leak betroffen sein, verrät Hunts Service einem recht konkret, in welchem Kontext die eigene E-Mail-Adresse aufgetaucht ist. Dann heißt es etwa: Bei einem Hack bei Dropbox wurden Ihre Mail-Adresse und das zugehörige Passwort abgegriffen. Dass Passwort selbst wird auf Hunts Website nicht genannt.

Bei der "Collection #1" ist das Prozedere komplizierter, der Dienst kann hier nur die Rückmeldung geben, ob die eigene E-Mail-Adresse in irgendeiner Form Teil des Datensatzes ist. Die Auflösung, in welchem Kontext genau, fehlt. Das erklärt sich damit, dass Hunt die Daten aus der "Collection #1" nicht immer eindeutig bestimmten Quellen zuordnen konnte.

haveibeenpwned.com Auswertung zu einer E-Mail-Adresse

Dabei Klarheit zu schaffen, kann Nutzern eine Unterfunktion seines Dienstes helfen, mit der sich durch das Eintippen konkreter Passwörter prüfen lässt, ob diese in einem der vom Online-Tool erfassten Leaks aufgetaucht sind. Ist das der Fall, sollten Sie das entsprechende Passwort am besten nirgendwo mehr benutzen. Dem Vorwurf, dass es ein Sicherheitsrisiko ist, sein Passwort auf Troy Hunts Seite einzutippen, widmet sich der Forscher hier.

Kursieren Daten zum eigenen Account im Netz, kann das durchaus zum Problem werden, nicht nur, weil sich - sollten die Daten aktuell sein - jemand in die Konten einloggen und damit sein Unwesen treiben könnte. Auch Online-Erpesser nutzen Informationen aus Datenlecks, etwa für auf die Zielperson angepasste E-Mails, mit Ansprachen wie "Ich weiß, dass dein Passwort dsakljk ist".

Mehr zur Gefahr durch Daten-Leaks und zum großen Nachteil davon, dass es Dienste wie "Have I been pwned" gibt, lesen Sie hier.