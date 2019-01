Die Zahl ist enorm: 2'692 818'238 Zeilen mit Zugangsdaten für Internetdienste sind im Netz aufgetaucht. Abermillionen E-Mail-Adressen und Passwörter stehen im Netz – unverschlüsselt, also für jeden lesbar.

Der IT-Sicherheitsforscher Troy Hunt stiess während seiner Recherchen in einem Hackerforum auf das Datenleck. Es konnte zeitweise dort und auch über den Cloud-Dienst Mega heruntergeladen werden. Das Magazin «Wired» nennt es das grösste Leak, das bisher öffentlich bekannt wurde.

Zahlenmässig etwas grösser wären theoretisch die beiden 2016 bekannt gewordenen Yahoo-Leaks, von denen eine beziehungsweise drei Milliarden Datensätze betroffen waren. Doch diese beiden heiklen Datensätze sind bislang im öffentlich einsehbaren Teil des Netzes nicht aufgetaucht.

22 Millionen Passwörter veröffentlicht

Anders die «Collection #1», wie der nun bekannt gewordene Datensatz benannt ist. Woher die Daten genau stammen, ist noch unklar. Hunt zufolge sind verschiedenste Websites betroffen. Offenbar haben die Veröffentlichenden in der Sammlung verschiedene ältere und neuere Leaks zusammengefasst.

Hunt schrieb in einem Blogpost, dass er einige Daten wiedererkannt habe, etwa 140 Millionen E-Mail-Adressen seien auch für ihn neu. Er habe die Sammlung um Duplikate und unsaubere Datensätze bereinigt, danach seien noch etwa 770 Millionen E-Mail-Adressen übrig gewesen, dazu 22 Millionen Passwörter.

Der Unterschied zwischen den beiden Zahlen erklärt sich dadurch, dass viele Nutzer – anders als empfohlen – dasselbe Passwort für mehr als eine Seite verwenden. Ausserdem können verschiedene Nutzer zufällig identische Passwörter verwenden, was insbesondere simple Kennungen wie «123456» betrifft.

Über Umwege kommen Hacker auch an Kontodaten

Mit dem Leak stehen die Millionen Zugangsdaten ab sofort Hackern aus aller Welt zur Verfügung, um Nutzer auszuspähen oder zu versuchen, an Shopping- und Bankdaten zu kommen. Das geschieht im Falle von derart grossen Leaks häufig über so genanntes «credential stuffing», übersetzt etwa «Vollstopfen mit Anmeldedaten». Dabei feuern Hacker sehr lange Listen mit E-Mail-Passwort-Kombinationen automatisiert auf das Zugangssystem eines Dienstes ab, zum Beispiel auf Spotify.

Die Software probiert selbständig, sich mit Hunderttausenden Zugangsdaten nacheinander einzuloggen. Bei dieser Masse ist die Chance nicht allzu klein, mit einigen der Kombinationen Treffer zu landen und sich Zugang zu Nutzerkonten zu verschaffen. Einer Analyse der IT-Sicherheitsfirma Shape Security vom Sommer 2018 zufolge kommen 80 Prozent der Log-in-Versuche auf Shoppingseiten von Unbefugten. Fast genauso hoch sind die Zahlen für die Webseiten von Fluggesellschaften.

So prüfen Nutzer, ob sie betroffen sind

«Collection #1»-Entdecker Hunt ist unter Fachleuten als Experte für die Sicherheit von Anmeldedaten anerkannt. Er hat das aktuelle Leak in seine Datenbank geladen, in der er seit einigen Jahren Leaks sammelt. Das soll Internetnutzern helfen, sich zu schützen: Auf seiner Website haveibeenpwned.com können sie prüfen, ob sie von dem aktuellen Leak – oder älteren – betroffen sind. Dazu müssen sie in das Suchfeld eine E-Mail-Adresse eingeben, die sie für Log-ins verwenden.

Nach einem Klick auf die «Suche» prüft die Webseite, ob die E-Mail-Adresse in einem der Leaks aus den vergangenen Jahren aufgetaucht ist. Sie zeigt lediglich an, in welchem Leak diese E-Mail-Adresse auftauchte, nicht jedoch, welches Passwort benutzt wurde – das wäre ja ein Sicherheitsproblem.

Da «Collection #1» eine Datensammlung ist, wird dadurch auch nicht klar, welche Websites oder Apps betroffen sind. Sollten ihre eigenen Daten also betroffen sein, dann sollten Nutzer schnellstmöglich ihre Passwörter für alle Dienste ändern, zu denen sie sich mit dieser E-Mail-Adresse angemeldet haben. (Redaktion Tamedia)