Schrift:
Ansicht Home:
Netzwelt

Schwarzmarkt "Dream Market"

617 Millionen Zugangsdaten werden im Darknet angeboten

Ein unbekannter Hacker bietet auf einem Online-Schwarzmarkt massenhaft Log-in-Daten zum Verkauf an. Auch deutsche Anbieter mit vielen Millionen Kunden sind betroffen.

Getty Images

Hände auf einer Tastatur

Dienstag, 12.02.2019   18:51 Uhr

Schon wieder stehen Hunderte Millionen Zugangsdaten von verschiedenen Webdiensten zum Verkauf. Knapp 20.000 Dollar in Bitcoin verlangt der Anbieter insgesamt, berichtet das Tech-Magazin "The Register". Dafür bekämen Käufer die Account-Datenbanken von den in Deutschland entwickelten Diensten Dubsmash und EyeEm sowie 14 weiteren Websites und Apps.

Insgesamt sollen es 617 Millionen Kombinationen aus Nutzernamen, E-Mail-Adressen und gehashten Passwörtern sein: Die Passwörter müssen zur Benutzung also noch entschlüsselt werden. Weil aber mitunter als veraltet und unsicher geltende Algorithmen zum Einsatz kamen, dürfte dies zumindest in einigen Fällen möglich sein.

Dem Bericht zufolge sind mindestens Auszüge der Daten korrekt und aktuell. Die meisten Daten stammen laut Angaben des Verkäufers aus 2018 von ihm selbst durchgeführten Hacks. Angeboten werden sie auf dem Darknet-Schwarzmarkt "Dream Market", der nur mit dem Tor-Browser erreichbar ist.

46 bis 2000 Dollar pro Datenbank

Nicht alle Hacks waren bisher bekannt. "The Register" hat mehrere Anbieter erst darauf aufmerksam gemacht, dass die Daten ihrer Kunden zum Verkauf stehen. Die Firmen informieren jetzt ihre Kunden und setzen deren Passwörter zurück.

Der Verkäufer verlangt zwischen 46 und knapp 2000 Dollar pro Account-Datenbank, jeweils in Bitcoin. Die größte Datenbank - die der aus Berlin kommenden, sehr erfolgreichen Lip-Sync-App Dubsmash mit mehr als 160 Millionen Accounts - sei mindestens einmal verkauft worden, heißt es in dem Bericht.

Fotostrecke

Hack-Check: So funktioniert "Have I been pwned"

Mit den Daten könnte jemand versuchen, sich auch in anderen Diensten anzumelden. Das klappt, wenn Nutzer aus Bequemlichkeit für verschiedene Dienste das gleiche Passwort verwenden.

Tipps für gute Passwörter finden Sie hier, beim Generieren und Merken der Passwörter kann Ihnen ein Passwortmanager helfen. Zusätzliche Sicherheit gegen die Übernahme eines Accounts durch Kriminelle bringt die Zwei-Faktor-Authentifizierung, die viele Dienste anbieten.

Sie wird auch "bestätigte Anmeldung" genannt und setzt voraus, dass Nutzer neben dem Passwort ein zweites Element für die Anmeldung über ihr Gerät verwenden. Dabei kann es sich um einen per SMS empfangenen Code handeln, um einen von einer speziellen App generierten Code oder auch um einen speziellen physischen Sicherheitsschlüssel.

pbe

insgesamt 14 Beiträge
schmuella 12.02.2019
1. Einfache Regeln wären hilfreich
Jeder Anbieter muss die erforderlichen technischen Mittel bereitstellen, damit Nutzerdaten vor Hackerangriffen geschützt werden. Sollten Nutzerdaten gestohlen werden, muss der Anbieter für den möglicherweise daraus [...]
Jeder Anbieter muss die erforderlichen technischen Mittel bereitstellen, damit Nutzerdaten vor Hackerangriffen geschützt werden. Sollten Nutzerdaten gestohlen werden, muss der Anbieter für den möglicherweise daraus resultierenden Missbrauch selber haften. Dies betrifft z. B. illegale Einkäufe über gestohlene Nutzerdaten in Onlineshops. Auf diese Weise würden wahrscheinlich die Anbieter schnell dafür sorgen, dass es zu keinen Sicherheitslücken mehr kommt.
draco2007 12.02.2019
2.
Äh gibt es. Nennt sich DSGVO.
Zitat von schmuellaJeder Anbieter muss die erforderlichen technischen Mittel bereitstellen, damit Nutzerdaten vor Hackerangriffen geschützt werden. Sollten Nutzerdaten gestohlen werden, muss der Anbieter für den möglicherweise daraus resultierenden Missbrauch selber haften. Dies betrifft z. B. illegale Einkäufe über gestohlene Nutzerdaten in Onlineshops. Auf diese Weise würden wahrscheinlich die Anbieter schnell dafür sorgen, dass es zu keinen Sicherheitslücken mehr kommt.
Äh gibt es. Nennt sich DSGVO.
ManRai 12.02.2019
3. Frage
welche Webdienste sind betroffen, in HEISE waren es typische Lifestyle Dienste...User einfach mal nachdenken
welche Webdienste sind betroffen, in HEISE waren es typische Lifestyle Dienste...User einfach mal nachdenken
gehlhajo_reloaded 12.02.2019
4. Hash ungleich Verschlüsselung
Ein Hash ist im Gegensatz zur Verschlüsselung eine Einweg - Funktion. Vielleicht kann mir ein mitlesender Informatiker oder Mathematiker erklären wie man bei einem gehashten Passwort wieder auf das Original kommen kann. [...]
Ein Hash ist im Gegensatz zur Verschlüsselung eine Einweg - Funktion. Vielleicht kann mir ein mitlesender Informatiker oder Mathematiker erklären wie man bei einem gehashten Passwort wieder auf das Original kommen kann. Höchstens über Brute-Force bei schwachen Passwörtern.....
feldstudien 12.02.2019
5. Tipps für sichere Passwörter fragwürdig!
Das Problem für den Nutzer beginnt bereits mit der Pflicht zur Registrierung. Zwar gibt es zunehmend auch Gastzugänge, aber diese entstanden erst in den letzten Jahren und sind durchaus nicht überall möglich. Stattdessen [...]
Das Problem für den Nutzer beginnt bereits mit der Pflicht zur Registrierung. Zwar gibt es zunehmend auch Gastzugänge, aber diese entstanden erst in den letzten Jahren und sind durchaus nicht überall möglich. Stattdessen möchte jedes Unternehmen möglichst viele meiner Daten abgreifen, ohne dass ich den Umfang bei einem Onlinekauf etc. wirklcih beeinflussen könnte. Abgefragt werden immer auch Geburtsdatum etc., das ist selbst bei seriöseren Firmen so. Mitunter speichern Firmen meine Verbindungsdaten zu Online-Bezahltools sehr versteckt und nicht gerade offensichtlich. Wo sind hier die politischen Schutzvorkehrungen? Die Empfehlungen zu den Passwörtern gehen an der Lebenswirklichkeit der meisten User völlig vorbei. Auch hier im Artikel wird die Wortwahl "wenn User zu bequem sind, verschiedene Passwörter zu generieren" verwendet. Niemand kann sich mehr als zehn Passwörter wirklich verlässlich merken und sie digital zu speichern, ist eben auch nicht wirklich sicher. Gefordert ist hier Politik und Gesellschaft, sicher sichere Methoden auszudenken. Allerdings halte ich die Zwei-Komponenten-Lösung nun auch keineswegs für ideal. Ich bin nicht scharf darauf, den Unternehmen, die sich bereits meine Passwörter stehlen lassen, nun auch noch meine Handynummer anzuvertrauen.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP