Millionen Zugangsdaten im Netz "Collection #1" war wohl nur der Anfang

Ein Unbekannter hat 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter im Internet angeboten. Nach eigenen Angaben besitzt er noch größere und aktuellere Datensammlungen. Man kann prüfen, ob man selbst betroffen ist.

Die "Collection #1" aus 772 Millionen E-Mail-Adressen und 21 Millionen im Internet veröffentlichten Passwörtern ist möglicherweise erst der Anfang einer Serie von Veröffentlichungen. Der auf IT-Sicherheit spezialisierte Journalist Brian Krebs hat Hinweise auf sehr viel größere Datensammlungen  derselben Person bekommen und Kontakt zu ihr aufgenommen.

Eine Firma, die in Untergrund-Foren nach solchen Angeboten Ausschau hält, hatte Krebs auf die Seite des Verkäufers der "Collection #1" hingewiesen. Auf der sind derzeit mehrere weitere Dateiordner zu sehen, darunter die "Collections" Nummer zwei bis fünf. Zwei davon sind anscheinend deutlich größer als die schon 87 Gigabyte umfassende erste Sammlung.

Daten in der "Collection #1" sind angeblich zwei bis drei Jahre alt

Auf der Seite steht zudem ein Telegram-Nutzername. Krebs meldete sich dort und startete einen Chat mit dem Verkäufer, der offenbar nur 45 Dollar für den Zugang zur ersten Sammlung verlangt. Der Unbekannte bestätigte zunächst die Vermutung des australischen Sicherheitsforschers Troy Hunt, dass es sich bei der ersten Sammlung um das Ergebnis vieler verschiedener Datenlecks der Vergangenheit handelt.

Sie habe aber auch größere und aktuellere Angebote, sagte die Person, nicht alle davon seien bereits online sichtbar. Insgesamt, hieß es, gehe es um Zugangsdaten im Umfang von vier Terabyte. Während die Daten in der ersten Sammlung zwei bis drei Jahre alt seien, handele es sich bei den anderen Kontingenten um Material, das weniger als ein Jahr alt sei.

Ob das stimmt, wird sich zeigen. Theoretisch könnte es sich zum Beispiel um E-Mail-Adressen, Passwörter und andere Daten handeln, die aus anderen, 2018 bekannt gewordenen Datenlecks stammen: Die Hotelkette Marriott etwa hatte einräumen müssen, dass Daten von bis zu 383 Millionen Kunden  kompromittiert worden waren (anfangs war von 500 Millionen die Rede). Im Fall der Wissensplattform Quora waren 100 Millionen Nutzer betroffen.

Wenn solche Datenleaks bekannt werden, können Internetnutzer auf der von Troy Hunt betriebenen und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Website haveibeenpwned.com  überprüfen, ob ihre E-Mail-Adresse darin enthalten ist. Hier ist eine Schritt-für-Schritt-Anleitung:

Fotostrecke

Hack-Check: So funktioniert "Have I been pwned"

Foto: HaveIbeenPwned

Ist eine E-Mail-Adresse enthalten, bedeutet das aber nicht automatisch, dass auch das Passwort zu dem jeweiligen E-Mail-Account veröffentlicht wurde. In vielen Fällen findet sich in großen Datensammlungen nur die Adresse, in anderen Fällen auch ein Passwort, das jemand zusammen mit der E-Mail-Adresse benutzt hat, um sich bei irgendeinem Onlinedienst anzumelden.

Kriminelle nutzen derartige Datenleaks deshalb nicht in erster Linie, um sich Zugang zu E-Mail-Konten zu verschaffen. Vielmehr schicken sie Spam-, Erpressungs- oder Phishingmails an die E-Mail-Adressen, oder sie probieren die Kombination aus E-Mail-Adresse und Passwort bei mehreren Onlinediensten wie zum Beispiel Amazon aus, wo sie auf Kosten der Opfer Waren bestellen könnten.

Passwort-Wiederverwendung kann so fatal sein wie schwache Passwörter

Wer auf "Have I been pwned" herausfindet, dass seine E-Mail-Adresse in einem Datenleak enthalten ist, sollte zunächst überprüfen, bei welchen Diensten er diese Adresse zur Anmeldung verwendet. Bei diesen Diensten wäre dann auch eine Passwortänderung sinnvoll. Jedes Konto sollte dabei ein eigenes Passwort bekommen.

Darüber hinaus kann die Änderung des Passworts für den E-Mail-Account selbst zumindest nicht schaden, sofern es sich wiederum um ein langes, nicht zu erratendes und nur für diesen Account verwendetes Passwort handelt. Gespeichert werden sollte ein solches Passwort am besten in einem Passwortmanager wie beispielsweise KeePass .

Zusätzliche Sicherheit gegen die Account-Übernahme durch Kriminelle bringt die Zwei-Faktor-Authentifizierung, die viele Dienste anbieten. Sie wird auch "bestätigte Anmeldung" genannt und setzt voraus, dass Nutzer neben dem Passwort ein zweites Element für die (erstmalige) Anmeldung über ihr Gerät verwenden. Dabei kann es sich um einen per SMS empfangenen Code handeln, einen von einer speziellen App generierten Code, oder auch um einen speziellen physischen Sicherheitsschlüssel.

Zehn allgemeine Tipps für mehr Sicherheit im Netz finden Sie hier.

pbe
Die Wiedergabe wurde unterbrochen.