Schrift:
Ansicht Home:
Netzwelt

Alte Datenleaks

MySpace-Passwörter als Steilvorlage für Hacker

Im Netz kursieren zahlreiche Kopien vergangener Datenleaks. Oft enthalten sie Passwörter, die Nutzer jahrelang für mehrere Accounts verwenden. So dürften auch im aktuellen Fall einige Politiker gehackt worden sein.

DPA

Passworteingabe

Von Hanno Böck und
Freitag, 11.01.2019   16:11 Uhr

"Ich weiß, dass dein Passwort dsakljk ist." So beginnt eine Erpressungs-Mail, die im vergangenen Jahr viele Internetnutzer erhielten. Der Absender behauptet darin, sich in den Computer des Empfängers gehackt und diesen beim Besuch einer Pornowebsite gefilmt zu haben. Nur mit einer Bitcoin-Überweisung an eine angegebene Adresse könne man verhindern, dass das entsprechende Video veröffentlicht wird.

Das Video gab es nicht, es handelte sich um eine leere Drohung. Doch viele Nutzer waren verunsichert, denn das Passwort war echt. Es stammte aus einem von vielen Datenleaks, die in den vergangenen Jahren bei zahlreichen größeren Internet-Dienstanbietern auftraten. In vielen Fällen waren die Passwörter dort ungeschützt gespeichert.

2008 etwa wurde das damals noch populäre MySpace gehackt und Daten von 400 Millionen Kunden gestohlen, acht Jahre später tauchten die Daten im Internet auf. Zunächst versuchte der verantwortliche Hacker, der sich "Peace" nannte, die Daten zu verkaufen. Kurze Zeit später fand man sie jedoch auch kostenlos im Netz.

Vergleich zweier Datenleaks zeigt hohe Übereinstimmung bei Passwörtern

MySpace ist kein Einzelfall. Ähnliche Vorfälle gab es bei Yahoo, LinkedIn, Sony und Dropbox, außerdem bei weniger bekannten Services. Die Datensätze sind für Kriminelle auch heute noch leicht auffindbar, sie werden in einschlägigen Foren geteilt und enthalten Zugangsdaten zu den Services.

Worauf Angreifer dann häufig abzielen: Viele Nutzer verwenden dasselbe Passwort für zahlreiche Accounts. Bei einem Vergleich von zwei Datenleaks von Yahoo und Sony fand sich bei Mailadressen, die in beiden Leaks vorhanden waren, eine Übereinstimmung der Passwörter bei mehr als der Hälfte der Nutzer. Die Angreifer probieren dann häufig einfach aus, ob das Passwort, das bei einem Service abgegriffen wurde, auch anderswo zum Login verwenden werden kann.

Adresse von Robert Habecks Frau in einem älteren Datensatz entdeckt

Vieles spricht dafür, dass auch bei den jüngsten Datenleaks von Politikern und Prominenten solche Passwörter aus alten Datenleaks zum Einsatz kamen. Der SPIEGEL hat das auf haveibeenpwned.com überprüft, einer Website des australischen IT-Sicherheitsexperten Troy Hunt, auf der Nutzer ihre Mailadresse eingeben können. Die Website verrät einem dann, in welchen Leaks die Adresse aufgetaucht ist. Die weiteren Daten, also etwa Passwörter, erfährt man dort allerdings nicht. Das Ergebnis der Recherche: Mehrere der Politiker-Adressen tauchen schon in den Hacks auf Dropbox und andere Dienste auf, aber nicht alle.

In manchen Fällen drang der Täter stattdessen in die Konten der Angehörigen der Politiker, Prominenten und Journalisten ein: Eine Kopie aus dem Familienchat des Grünen-Vorsitzenden Robert Habeck etwa stammt offensichtlich aus dem Facebook-Account seiner Frau. Ihre E-Mail-Adresse wiederum tauchte laut haveibeenpwned.com vor knapp einem Jahr in einer Liste von 80 Millionen Login-Daten auf, die Unbekannte ins Netz gestellt hatten.

Mark Zuckerbergs Twitter-Passwort soll "dadada" gewesen sein

Ein anderer Fall von Wiederverwertung geleakter Zugangsdaten stammt aus dem Jahr 2016. Damals wurden die Twitter-Accounts einer ganzen Reihe von Prominenten gehackt - kurz nachdem die gehackten Zugangsdaten von LinkedIn auf einschlägigen Webseiten zu finden war. Auch Facebook-Besitzer Mark Zuckerberg verlor damals kurzfristig die Kontrolle über seinen Twitter-Account - er soll dafür nach Angaben der Hacker das Passwort "dadada" verwendet haben. Ein Angriff auf den Fahrdienstleister Uber fand nach Angaben des britischen Datenschutzbeauftragten statt, weil ein Entwickler von Uber ein anderswo geleaktes Passwort für seinen Account auf der Entwicklerplattform Github verwendete.

Lesetipp

So hilfreich Dienste wie haveibeenpwned.com für Nutzer sind - einige von ihnen lassen sich auch von Angreifern missbrauchen. Wer eine bestimmte Person angreifen will, kann deren Mailadresse dort eintragen und weiß dann schon einmal, ob Passwörter in einem Datenleak aufgetaucht sind. Das Datenleak zu finden, ist dann meist nicht schwer.

Für Nutzer heißt das vor allem eines: Man sollte dasselbe Passwort nicht mehrfach verwenden und am besten einen Passwortmanager nutzen. Und falls man irgendwo immer noch das Passwort verwendet, das man 2006 bei MySpace hatte, sollte man es jetzt schleunigst ändern.

Hinweis: In einer früheren Fassung dieses Artikels wurde suggeriert, dass auch der Identity Leak Checker des Hasso-Plattner-Instituts missbraucht werden kann, um potenzielle Einfallstore in Accounts von Zielpersonen zu finden. Richtig ist, dass die Rückmeldung der Seite nur an die angegebene E-Mail-Adresse erfolgt.

insgesamt 10 Beiträge
Actionscript 11.01.2019
1. Hier könnten die Betreiber selber Abhilfe schaffen.
ZB könnten bei der Anschaffung eines Accounts automatisch starke Passwörter kreiert werden. Der Apple Safari von Mac OS macht das. Oder Nutzer könnten nach einer bestimmten Zeit aufgefordert werden, ihr Passwort zu ändern, [...]
ZB könnten bei der Anschaffung eines Accounts automatisch starke Passwörter kreiert werden. Der Apple Safari von Mac OS macht das. Oder Nutzer könnten nach einer bestimmten Zeit aufgefordert werden, ihr Passwort zu ändern, oder es wird automatisch geändert. Es ist eben so, dass man Nutzern nicht vertrauen kann, dass sie sich selber schützen. Also sollten hier die Betreiber eingreifen (siehe auch Sacha Lobo's neuester Artikel).
Erythronium2 11.01.2019
2.
Die Missbrauchsmöglichkeit ist aber nur bei haveibeenpwned.com gegeben, da hier die Kenntnis der Mailadresse reicht. Beim "Identity Leak Checker" klappt das nicht, da man da Kontrolle über das Mail-Account haben muss.
Die Missbrauchsmöglichkeit ist aber nur bei haveibeenpwned.com gegeben, da hier die Kenntnis der Mailadresse reicht. Beim "Identity Leak Checker" klappt das nicht, da man da Kontrolle über das Mail-Account haben muss.
K. Larname 11.01.2019
3.
Kleine Bestätigung "alter Hack-Bestände" am Rande: Nicht lange her, da bekam ich eine Mail mit Geldforderung, ähnlich wie bei Malware, die Daten auf der eigenen Festplatte verschlüsselt. Es handelte sich aber [...]
Kleine Bestätigung "alter Hack-Bestände" am Rande: Nicht lange her, da bekam ich eine Mail mit Geldforderung, ähnlich wie bei Malware, die Daten auf der eigenen Festplatte verschlüsselt. Es handelte sich aber nicht um Verschlüsselung, sondern sinngemäß "Ich habe Dich gehackt, Deine Mailadresse lautet soundso und Dein Kennwort soundso. Bezahle oder ich veröffentliche Deine Daten." Uralte Mailadresse, uraltes Kennwort, keine Gefahr. Aber dass der junge Mann mit dem "Promi-Hack" ggf. nur Daten gesammelt oder gekauft hat, die schon vor Jahren oder Jahrzehnten über alte bekannte Schwachstellen oder Hacks gesammelt wurden, habe ich mir auch bereits so gedacht. Das ist kein "Hack". Das sind Daten, die beliebige Leute zu beliebigen Zeitpunkten mit beliebigen Methoden der letzten Jahre / Jahrzehnte abgegriffen haben. Im DarkNet kenne ich mich nicht aus. Wer weiß, vielleicht bekommt man dort für wenig Geld derartige Datensammlungen, würde mich nicht wundern.
peter.lange 11.01.2019
4. identity leak checker
Sie schreiben in dem Beitrag, Dienste wie der identity leak checker seien auch hilfreich für Kriminelle, weil diese die email Adresse des potentiellen Opfers dort eintragen koennten und so erfuehren, ob die Passwoerter schon in [...]
Sie schreiben in dem Beitrag, Dienste wie der identity leak checker seien auch hilfreich für Kriminelle, weil diese die email Adresse des potentiellen Opfers dort eintragen koennten und so erfuehren, ob die Passwoerter schon in einem leak aufgetaucht sind. Das stimmt nicht, denn das Ergebnis der Abfrage wird an die, in das Formular eingetragene, Email Adresse versandt.
curiosus_ 12.01.2019
5. Falsch
Ihre Aussage stimmt zwar für den im Artikel verlinkten Identity Leak Checker des Hasso-Plattner-Instituts, aber nicht für die ebenfalls verlinkte Seite haveibeenpwned.com. Dort wird direkt, nach der Eingabe einer [...]
Zitat von peter.langeSie schreiben in dem Beitrag, Dienste wie der identity leak checker seien auch hilfreich für Kriminelle, weil diese die email Adresse des potentiellen Opfers dort eintragen koennten und so erfuehren, ob die Passwoerter schon in einem leak aufgetaucht sind. Das stimmt nicht, denn das Ergebnis der Abfrage wird an die, in das Formular eingetragene, Email Adresse versandt.
Ihre Aussage stimmt zwar für den im Artikel verlinkten Identity Leak Checker des Hasso-Plattner-Instituts, aber nicht für die ebenfalls verlinkte Seite haveibeenpwned.com. Dort wird direkt, nach der Eingabe einer email-Adresse, im leak-Fall die Quelle des leaks angezeigt. Selber überprüft, das ist so. Dann muss der Kriminelle nur noch das geleakte Passwort im Internet finden und kann es dann bei beliebigen Internet-Diensten testen.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP