Der Betreiber der Passwort-Sicherheits-Webseite „Have I Been Pwned“, Troy Hunt, hat in einem Untergrund-Forum unter dem Namen „Collection #1“ eine Sammlung von knapp 773 Millionen verschiedener E-Mail-Adressen aus diversen Quellen und 21 Millionen unterschiedlicher Passwörter gefunden.
Der Inhalt im Überblick
Was ist „Collection #1“?
Die Datensammlung „Collection #1“ enthält eine Vielzahl von E-Mail-Adressen und Passwörtern im Klartext. Sie sei so strukturiert gewesen, dass die Daten vor allem für „Credential Stuffing“ zu gebrauchen seien. Beim „Credential Stuffing“ wird der Login-Mechanismus automatisch mit verschiedenen Kombinationsmöglichkeiten von E-Mail-Adresse und Passwort aus einer Liste getestet. Wird eine richtige Kombination ermittelt, erfolgt anschließend der gezielte Zugriff auf den Account des Nutzers. Im vorliegenden Fall umfasse die Sammlung insgesamt fast 2,7 Milliarden Kombinationsmöglichkeiten von E-Mail-Adressen und Passwörtern.
Die Datensammlung sei wahrscheinlich das Ergebnis vieler verschiedener Hacks und Passwort-Leaks aus der Vergangenheit. Vereinzelt könnten zwar aus der Verzeichnisstruktur des Datensatzes auch Rückschlüsse darauf gezogen werden, von welchen Webseiten die Daten stammen könnten; eine vollständige Aufklärung aller betroffener Dienste dürfte jedoch nicht möglich sein.
Was ist zu tun?
Zunächst sollte man prüfen, ob man selbst betroffen sein könnte. Der von Hunt entwickelte Dienst „Have I Been Pwned?“ gibt Auskunft darüber, ob die eigene Mail-Adresse in dem Leak vorkommt. Weitere Maßnahmen und Tipps finden Sie in unserem Beitrag: „Nutzerdaten gestohlen?! Was im Ernstfall zu tun ist“.
Da viele Nutzer dieselbe Kombination von E-Mail-Adresse und Passwort (oftmals auch mehrfach bei verschiedenen Diensten) nutzen, sollte auch überprüft werden, bei welchen Accounts das Passwort sicherheitshalber noch zu ändern ist. Für die Auswahl eines neuen, sicheren Passworts finden Sie Hilfestellungen im Beitrag: „Das perfekte Passwort“. Zudem sollten Sie überlegen, welche Informationen über Sie offengelegt werden können, welche potentiellen Risiken dadurch entstehen und wie Sie diese minimieren können.
Vergangene große Hackerangriffe
Erst letzten Monat berichteten wir über den Hackerangriff auf das Frage-und-Antwort-Portal Quora, bei dem 100 Millionen Nutzerdaten (inkl. Inhalte) erbeutet wurden und der einen der bisher größten Hackerangriffe darstellt. Lediglich der Einbruch in das Buchungssystem der Hotelkette Starwood und der Angriff auf Yahoo nahmen noch größere Ausmaße an. Bei der Hotelkette Starwood (Konzerntochter des weltgrößten Hotelkonzerns Marriott) erlangten Unbekannte Zugriff auf die Reservierungsdatenbanken und konnten bis zu einer halben Milliarde Daten entwenden; darunter zum Teil auch Kreditkarteninformationen. Den bislang massivsten Hackerangriff traf jedoch bereits im Jahr 2013 das Unternehmen Yahoo, bei dem damals drei Milliarden Nutzerkonten betroffen waren.
Die Vorfälle der jüngsten Vergangenheit zeigen außerdem, dass es im Unternehmensalltag immer wieder zu Datenpannen kommen kann. Durch die gesetzlich vorgeschriebene Pflicht (Art. 33, 34 DSGVO) diese zu melden, werden Datenpannen nun auch häufiger der breiten Öffentlichkeit bekannt. Umso wichtiger ist es für Unternehmen jeglicher Größe sich nicht nur mit dem Thema IT-Sicherheit zur Vermeidung von Datenpannen auseinanderzusetzen, sondern auch für den Ernstfall einen Reaktionsplan zur Bewältigung von Datenpannen auszuarbeiten.
