Neue riesige Datenleaks Ist Ihre Adresse auch dabei?

Die Millionen E-Mail-Adressen und Passwörter der Collection #1 waren nur der Anfang. Weitere riesige Pakete mit gehackten Zugangsdaten kursieren im Netz. Das Hasso-Plattner-Institut verrät, ob Sie betroffen sind.

Passworteingabe (Symbolbild)
DPA

Passworteingabe (Symbolbild)

Von


Der australische IT-Sicherheitsforscher Troy Hunt bekommt derzeit so viel Aufmerksamkeit wie nie zuvor. Hunt betreibt mit Haveibeenpwned.com einen Onlinedienst, mit dem man prüfen kann, ob die eigene E-Mail-Adresse in bekannt gewordenen Datenleaks auftaucht.

Seit er Mitte Januar berichtete, die sogenannte Collection #1 aus mehr als 770 Millionen Adressen und 21 Millionen Passwörtern in einem Hackerforum entdeckt und in seinen Dienst eingepflegt zu haben, wird seine Website praktisch überrannt. Die Besucherzahlen stiegen vom sechs- in den siebenstelligen Bereich - und zwar pro Tag.

Aber Hunt ist nicht der Einzige, der Internetnutzern verrät, ob ihre E-Mail-Adressen oder gar Passwörter irgendwo im Netz gehandelt und verteilt werden: Das Hasso-Plattner-Institut (HPI) in Potsdam hat einen vergleichbaren Dienst entwickelt. Seit 2014 betreibt die Privatuniversität den Identity Leak Checker, kurz ILC. Und momentan ist der einen Schritt weiter als Troy Hunt.

Ab sofort lassen sich weitere Datensätze durchforsten

Nicht nur befinden sich im Datenbestand des HPI schon seit November jene Daten, die im Januar als Collection #1 bekannt wurden. Seit dem heutigen Donnerstag sind auch die Collections zwei bis fünf dabei. Deren Existenz ist öffentlich seit dem 18. Januar bekannt.

Sie ist zum Teil wesentlich umfassender als die erste Collection. Alle fünf zusammen umfassen 2,1 Milliarden verschiedene E-Mail-Adressen. "Davon waren 750 Millionen bisher nicht in der Datenbank unseres Identity Leak Checkers enthalten", sagt Chris Pelchen vom HPI. "Gefunden haben wir die Collections in einem Forum, das wir dauerhaft beobachten."

Es handele sich um ein Forum im offen zugänglichen Netz, nicht um eines im sogenannten Darknet. In solchen Foren werden große Pakete aus verschiedenen Datenleaks immer wieder neu zusammengestellt, neu betitelt und dann zum Verkauf angeboten. Die Collection #1 etwa sollte anfangs 45 Dollar kosten. Häufig werden die Pakete aber irgendwann zum kostenlosen Download bereitgestellt - so war es auch im Fall der Collections. Gefragt, ob das HPI Geld ausgeben würde, um an Daten zu gelangen und den Identity Leak Checker damit zu erweitern, sagt Pelchen: "Das machen wir nicht. Damit würden wir den Anbietern nur helfen."

So prüfen Sie, ob Ihre Adresse dabei ist

Wer nun überprüfen will, ob die eigene E-Mail-Adresse irgendwo im Bestand des HPI auftaucht, gibt die entsprechende Adresse auf dieser Website ein. Daraufhin generiert der ILC eine Nachricht wie hier dargestellt an ebendiese Adresse, in der tabellarisch festgehalten ist, wann in welchem Leak die Adresse und gegebenenfalls sonstige Daten wie Passwörter, Telefonnummern oder Kreditkartennummern enthalten waren.

Wichtig sind hierbei vor allem zwei Dinge:

Erstens enthält die Mail vom HPI nicht die Passwörter und sonstigen Daten an sich. In den Anfangstagen hatte das Institut diese Details auf Verlangen (nach Bundesdatenschutzgesetz) noch per E-Mail an beliebige Adressen herausgegeben und war scharf dafür kritisiert worden. Theoretisch hätte damals jeder die kompletten Daten beliebiger Menschen abfragen können. Mittlerweile hat das Institut nachgebessert. Man erfährt also nur noch, ob neben der E-Mail-Adresse weitere Daten in einem Leak enthalten sind, und das auch ausschließlich in einer Mail an die eingegebene Adresse.

Zweitens ist mit Passwort in diesem Zusammenhang nicht unbedingt das Passwort zum E-Mail-Account gemeint. Viel häufiger ist der Fall, dass ein Cloud-, Shopping- oder sonstiger Dienst die Zugangsdaten seiner Nutzer nicht schützen konnte, und die bestehen aus der E-Mail-Adresse und dem für den jeweiligen Dienst gewählten Passwort. Trotzdem empfiehlt das HPI, das Passwort sowohl des betroffenen E-Mail-Accounts selbst zu ändern als auch die Passwörter aller anderen Accounts, bei denen man mit der Adresse angemeldet ist.

Tipps für gute Passwörter finden Sie hier, beim Generieren und Merken der Passwörter kann Ihnen ein Passwort-Manager helfen. Zusätzliche Sicherheit gegen die Übernahme eines Accounts durch Kriminelle bringt die Zwei-Faktor-Authentifizierung, die viele Dienste anbieten. Sie wird auch "bestätigte Anmeldung" genannt und setzt voraus, dass Nutzer neben dem Passwort ein zweites Element für die Anmeldung über ihr Gerät verwenden. Dabei kann es sich um einen per SMS empfangenen Code handeln, einen von einer speziellen App generierten Code, oder auch um einen speziellen physischen Sicherheitsschlüssel.

Hinweis: In einer früheren Fassung dieses Artikels hieß es, die Collections zwei bis fünf würden zusammen 2,1 Milliarden verschiedene E-Mail-Adressen beinhalten. Wir haben das korrigiert, gemeint sind die Sammlungen eins bis fünf.

insgesamt 39 Beiträge
Alle Kommentare öffnen
Seite 1
Trollflüsterer 24.01.2019
1.
Alles sauber. Habe ich auch nicht anders erwartet. Die Passwörter soll mal einer knacken.
R.hoch2 24.01.2019
2. Hallo,
wie kann ich denn erfahren, wie das Passwort lautet, welches von mir im Netz kursiert? Aber wahrscheinlich ist es doch einfacher ein neues zu erstellen...
irobot 24.01.2019
3.
Zitat von TrollflüstererAlles sauber. Habe ich auch nicht anders erwartet. Die Passwörter soll mal einer knacken.
Es geht nicht nur um sichere Passwörter, sondern auch darum, wo man sich anmeldet. Da reicht schon ein Cloud-Dienst mit einer Sicherheitslücke und dann bringt das ach so sichere Passwort auch nichts mehr. PS: Bin auch clean.
cruiserxl 24.01.2019
4. @ Trollflüsterer...
...nicht anders erwartet? Sie hatten Glück das keiner ihrer Dienstleister in Netz gehackt wurde. Das hat mit ihren eigenen Passwörtern wenig zu tun. Mein knackt auch niemand nur leider hat Adobe seine Hausaufgaben nicht gemacht. D.h. mein schönes Passwort 2. Sicherheitsstufe (3 habe ich) wurde somit geleakt. Einfluss meinerseits Null - leider.
matijas 24.01.2019
5. "unknackbare" Passwörter
Zitat von TrollflüstererAlles sauber. Habe ich auch nicht anders erwartet. Die Passwörter soll mal einer knacken.
Wenn ich es richtig verstanden habe, geht es gar nicht um "knackbare" Passwörter, sondern darum, dass auch "unknackbare" Passwörter von einer Online-Firma oder Institution schlampig hinterlegt werden und/oder von dort abgegriffen werden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.