Riesen-Leak von E-Mail-Adressen und Passwörtern aufgetaucht

Ein IT-Sicherheitsexperte hat über 2,5 Milliarden Zugangsdaten im Netz gefunden. So können Sie prüfen, ob Sie betroffen sind.

Massenhaft Zugangsdaten: Auf seinem Blog zeigt der IT-Sicherheitsforscher Troy Hunt, wie das Datenleck sortiert war. Screenshot: Troy Hunt

Massenhaft Zugangsdaten: Auf seinem Blog zeigt der IT-Sicherheitsforscher Troy Hunt, wie das Datenleck sortiert war. Screenshot: Troy Hunt

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die Zahl ist enorm: 2'692 818'238 Zeilen mit Zugangsdaten für Internetdienste sind im Netz aufgetaucht. Abermillionen E-Mail-Adressen und Passwörter stehen im Netz – unverschlüsselt, also für jeden lesbar.

Der IT-Sicherheitsforscher Troy Hunt stiess während seiner Recherchen in einem Hackerforum auf das Datenleck. Es konnte zeitweise dort und auch über den Cloud-Dienst Mega heruntergeladen werden. Das Magazin «Wired» nennt es das grösste Leak, das bisher öffentlich bekannt wurde.

Zahlenmässig etwas grösser wären theoretisch die beiden 2016 bekannt gewordenen Yahoo-Leaks, von denen eine beziehungsweise drei Milliarden Datensätze betroffen waren. Doch diese beiden heiklen Datensätze sind bislang im öffentlich einsehbaren Teil des Netzes nicht aufgetaucht.

22 Millionen Passwörter veröffentlicht

Anders die «Collection #1», wie der nun bekannt gewordene Datensatz benannt ist. Woher die Daten genau stammen, ist noch unklar. Hunt zufolge sind verschiedenste Websites betroffen. Offenbar haben die Veröffentlichenden in der Sammlung verschiedene ältere und neuere Leaks zusammengefasst.

Hunt schrieb in einem Blogpost, dass er einige Daten wiedererkannt habe, etwa 140 Millionen E-Mail-Adressen seien auch für ihn neu. Er habe die Sammlung um Duplikate und unsaubere Datensätze bereinigt, danach seien noch etwa 770 Millionen E-Mail-Adressen übrig gewesen, dazu 22 Millionen Passwörter.

Der Unterschied zwischen den beiden Zahlen erklärt sich dadurch, dass viele Nutzer – anders als empfohlen – dasselbe Passwort für mehr als eine Seite verwenden. Ausserdem können verschiedene Nutzer zufällig identische Passwörter verwenden, was insbesondere simple Kennungen wie «123456» betrifft.

Über Umwege kommen Hacker auch an Kontodaten

Mit dem Leak stehen die Millionen Zugangsdaten ab sofort Hackern aus aller Welt zur Verfügung, um Nutzer auszuspähen oder zu versuchen, an Shopping- und Bankdaten zu kommen. Das geschieht im Falle von derart grossen Leaks häufig über so genanntes «credential stuffing», übersetzt etwa «Vollstopfen mit Anmeldedaten». Dabei feuern Hacker sehr lange Listen mit E-Mail-Passwort-Kombinationen automatisiert auf das Zugangssystem eines Dienstes ab, zum Beispiel auf Spotify.

Die Software probiert selbstständig, sich mit Hunderttausenden Zugangsdaten nacheinander einzuloggen. Bei dieser Masse ist die Chance nicht allzu klein, mit einigen der Kombinationen Treffer zu landen und sich Zugang zu Nutzerkonten zu verschaffen. Einer Analyse der IT-Sicherheitsfirma Shape Security vom Sommer 2018 zufolge kommen 80 Prozent der Log-in-Versuche auf Shoppingseiten von Unbefugten. Fast genauso hoch sind die Zahlen für die Webseiten von Fluggesellschaften.

So prüfen Nutzer, ob sie betroffen sind

«Collection #1»-Entdecker Hunt ist unter Fachleuten als Experte für die Sicherheit von Anmeldedaten anerkannt. Er hat das aktuelle Leak in seine Datenbank geladen, in der er seit einigen Jahren Leaks sammelt. Das soll Internetnutzern helfen, sich zu schützen: Auf seiner Website haveibeenpwned.com können sie prüfen, ob sie von dem aktuellen Leak – oder älteren – betroffen sind. Dazu müssen sie in das Suchfeld eine E-Mail-Adresse eingeben, die sie für Log-ins verwenden.

Nach einem Klick auf die «Suche» prüft die Webseite, ob die E-Mail-Adresse in einem der Leaks aus den vergangenen Jahren aufgetaucht ist. Sie zeigt lediglich an, in welchem Leak diese E-Mail-Adresse auftauchte, nicht jedoch, welches Passwort benützt wurde – das wäre ja ein Sicherheitsproblem.

Da «Collection #1» eine Datensammlung ist, wird dadurch auch nicht klar, welche Websites oder Apps betroffen sind. Sollten ihre eigenen Daten also betroffen sein, dann sollten Nutzer schnellstmöglich ihre Passwörter für alle Dienste ändern, zu denen sie sich mit dieser E-Mail-Adresse angemeldet haben.

Erstellt: 17.01.2019, 15:02 Uhr

Artikel zum Thema

Hackerangriffe sind grösste Sorge der Unternehmen

600 Milliarden Dollar pro Jahr: So viel kosten Cyberangriffe Firmen laut einer neuen Studie. Mehr...

China weist Hacker-Vorwürfe zurück

Die US-Anschuldigungen seien eine «schwerwiegende Belastung» der Beziehungen, erklärt das chinesische Aussenministerium. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Kommentare

Die Welt in Bildern

Bitte lächeln: Frankie die Bordeauxdogge stellt sein Löwenkostüm zur Schau. Er nimmt mit seinem Herrchen an der Tompkins Square Halloween Hundeparade in Manhattan teil (20. Oktober 2019).
(Bild: Andrew Kelly) Mehr...