Schrift:
Ansicht Home:
Netzwelt

E-Mail-Adressen und Passwörter

Unbekannte stellen Hunderte Millionen Zugangsdaten ins Netz

In einem Hacker-Forum ist ein riesiger Datensatz mit E-Mail-Adressen und Passwörtern aufgetaucht. Mit einem Onlinedienst können Sie prüfen, ob auch Ihre Daten Teil der "Collection #1" sind.

Getty Images

Symbolbild

Donnerstag, 17.01.2019   13:30 Uhr

"Mega-Cyber-Angriff" und "Mega-Hack": Solche Begriffe las man kürzlich häufig im Kontext der Datenveröffentlichungen von "0rbit". Die von ihm geleakten Informationen wie Adressen, Telefonnummern oder Chat-Nachrichten gehörten zu mehr als tausend Politikern, Prominenten und Webstars - da schien manchem Redakteur das "Mega" wohl angemessen.

Am Mittwochabend machte nun aber eine Meldung die Runde, bei der Begriffe wie "riesig", "gigantisch" oder eben "Mega" viel angemessener sind. In einem Hacker-Forum wurde demnach auf einen über die Cloud-Plattform Mega veröffentlichten Datensatz aufmerksam gemacht, den nun beispielsweise das Tech-Magazin "Wired" als "Monster-Breach" vorstellt, als Monster-Sicherheitslücke.

Die Plattform Mega hat den Datensatz mittlerweile offline genommen, ihn durchschauen konnte aber unter anderem der australische Sicherheitsforscher Troy Hunt, der mit Microsoft zusammenarbeitet. Hunt berichtet auf seiner Website, dass sich darin über 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern befinden. Davon kämen 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vor. Es geht also keineswegs nur um Standardpasswörter wie "12345".

Man könnte dazu auch sagen: Wer den Datensatz in die Finger bekommt, bekommt damit potenziell Millionen Ideen, wie er Accounts von Internetnutzern übernehmen könnte.

87 Gigabyte, 12.000 Dateien

Wie aktuell die insgesamt 87 Gigabyte an Daten und damit auch die enthaltenen E-Mail-Adressen und Passwörter sind, ist unklar. Die Zugangsdatensammlung besteht Forscher Hunt zufolge aus 12.000 Dateien. In ihrem Hauptverzeichnis stieß er auf den Begriff "Collection #1", den er zur Benennung des Leaks nutzte.

Woher die Daten im Einzelnen kommen, weiß auch Troy Hunt nicht, er ist sich aber sicher, dass es sich nicht nur um die Beute eines einzelnen Hacks handelt (das verbindet das Leak mit dem Fall "0rbit"). Der Datensatz setze sich aus vielen verschiedenen Datenlecks zusammen, schreibt Hunt, "aus im wahrsten Sinne des Wortes Tausenden verschiedenen Quellen".

Ein oder mehrere Hacker könnten hier also die Informationen aus zahlreichen fremden Daten-Leaks gesammelt und neu zusammengefügt haben, möglicherweise noch mit etwas Extraarbeit: Hunt zufolge liegen im Datensatz teils nämlich Passwörter im Klartext vor, die von Diensten ursprünglich verschleiert, also über eine sogenannte Hash-Funktion in eine zufällig aussehende Abfolge von Zeichen umgewandelt wurden.

Ob auch die eigenen Daten betroffen sind, lässt sich über ein englischsprachiges Online-Tool namens "Have I Been Pwned" herausfinden, das Troy Hunt selbst anbietet. Wer hier seine E-Mail-Adresse eintippt, bekommt Rückmeldung dazu, ob sie Teil von einem von zahlreichen bekannten Datendiebstählen war (wenn das so ist, scrollen Sie runter für mehr Details). Auch die 772 Millionen E-Mail-Adressen aus der "Collection #1" sind dort bereits berücksichtigt. Zum Teil waren die Daten bereits zuvor dort auffindbar, immerhin 140 Millionen E-Mail-Adressen und über zehn Millionen Passwörter waren aber auch Hunts Service bislang unbekannt.

Nicht jedes Ergebnis hilft sofort

Üblicherweise, sollte man überhaupt von einem bekannten Leak betroffen sein, verrät Hunts Service einem recht konkret, in welchem Kontext die eigene E-Mail-Adresse aufgetaucht ist. Dann heißt es etwa: Bei einem Hack bei Dropbox wurden Ihre Mail-Adresse und das zugehörige Passwort abgegriffen. Das Passwort selbst wird auf Hunts Website nicht genannt.

Bei der "Collection #1" ist das Prozedere komplizierter, der Dienst kann hier nur die Rückmeldung geben, ob die eigene E-Mail-Adresse in irgendeiner Form Teil des Datensatzes ist. Die Auflösung, in welchem Kontext genau, fehlt. Das erklärt sich damit, dass Hunt die Daten aus der "Collection #1" nicht immer eindeutig bestimmten Quellen zuordnen konnte.

haveibeenpwned.com

Auswertung zu einer E-Mail-Adresse

Dabei Klarheit zu schaffen, kann Nutzern eine Unterfunktion seines Dienstes helfen, mit der sich durch das Eintippen konkreter Passwörter prüfen lässt, ob diese in einem der vom Online-Tool erfassten Leaks aufgetaucht sind. Ist das der Fall, sollten Sie das entsprechende Passwort am besten nirgendwo mehr benutzen. Dem Vorwurf, dass es ein Sicherheitsrisiko ist, sein Passwort auf Troy Hunts Seite einzutippen, widmet sich der Forscher hier.

Kursieren Daten zum eigenen Account im Netz, kann das durchaus zum Problem werden, nicht nur, weil sich - sollten die Daten aktuell sein - jemand in die Konten einloggen und damit sein Unwesen treiben könnte. Auch Online-Erpesser nutzen Informationen aus Datenlecks, etwa für auf die Zielperson angepasste E-Mails, mit Ansprachen wie "Ich weiß, dass dein Passwort dsakljk ist".

Was tun, wenn man betroffen ist?

Mehr zur Gefahr durch Daten-Leaks und zum großen Nachteil davon, dass es Dienste wie "Have I been pwned" gibt, lesen Sie hier.

Zehn allgemeine Tipps für mehr Sicherheit im Netz finden Sie hier.

Lesetipp zum Thema

mbö

insgesamt 113 Beiträge
Nico9 17.01.2019
1. nomen est omen
Sicherheitsforscher Troy Hunt ist also auf Troja(ner) Jagt. Gefällt mir.
Sicherheitsforscher Troy Hunt ist also auf Troja(ner) Jagt. Gefällt mir.
Ayanami 17.01.2019
2. Ja genau
Ich tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich [...]
Ich tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich intellektuell darüber, was ihr euren Lesern so empfehlt?
curiosus_ 17.01.2019
3. Echt jetzt?
---Zitat von mbö--- Dabei Klarheit zu schaffen, kann Nutzern eine Unterfunktion seines Dienstes helfen, mit der sich durch das Eintippen konkreter Passwörter prüfen lässt, ob diese in einem der vom Online-Tool erfassten [...]
---Zitat von mbö--- Dabei Klarheit zu schaffen, kann Nutzern eine Unterfunktion seines Dienstes helfen, mit der sich durch das Eintippen konkreter Passwörter prüfen lässt, ob diese in einem der vom Online-Tool erfassten Leaks aufgetaucht sind. ---Zitatende--- Ich soll also meine email plus gültigem Passwort eingeben (Nur das Passwort alleine bringt ja nichts, da weiß ich ja nicht ob es mir zugeordnet ist)? Wirklich ernst gemeint?
Martuk 17.01.2019
4.
Die Email-Adresse reicht schon, dann wird einem angezeigt ob diese dabei ist. Mit Ihrem Passwort kann der Dienst nichts anfangen, denn das kommt zu häufig vor, von daher wird dieses auch gar nicht erst abgefragt. [...]
Zitat von AyanamiIch tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich intellektuell darüber, was ihr euren Lesern so empfehlt?
Die Email-Adresse reicht schon, dann wird einem angezeigt ob diese dabei ist. Mit Ihrem Passwort kann der Dienst nichts anfangen, denn das kommt zu häufig vor, von daher wird dieses auch gar nicht erst abgefragt. Probieren Sie es aus!
M. Vikings 17.01.2019
5. Quark.
Natürlich will der kein Passwort von Ihnen. Ihre Mailadresse reicht. Jedenfalls bei der von SpOn verlinkten Adresse. https://haveibeenpwned.com/
Zitat von AyanamiIch tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich intellektuell darüber, was ihr euren Lesern so empfehlt?
Natürlich will der kein Passwort von Ihnen. Ihre Mailadresse reicht. Jedenfalls bei der von SpOn verlinkten Adresse. https://haveibeenpwned.com/
Diskussion geschlossen - lesen Sie die Beiträge!

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP