All posts under Datenleck

773 Millionen Passwörter gestohlen – So geht ihr auf Nummer sicher

Das Internet ist derzeit ein echtes Minenfeld. Im Dezember erst, warnte der BSI vor dem Trojaner Emotet, der besonders gefährliche E-Mails verschickt. Kürzlich veröffentlichte der mittlerweile gesperrte Twitter-Account @_0rbit sensible Daten bekannter Persönlichkeiten aus Politik, Show und Internet.

Nun kommt der nächste große Hammer. IT-Sicherheitsexperte Troy Hunt ist in einem Hackerforum auf eine Passwort-Sammlung von 773 Millionen Online-Konten gestoßen.

Die größte nachgewiesene Passwort-Sammlung

Dieser Leak mit dem Namen „Collection #1“ ist das bislang größte öffentlich publik gewordene Datenleck.

Troy Hunt stieß auf die Collection #1, nachdem in einem Hacker-Forum entsprechende Links zum Filehoster MEGA aufgetaucht sind. Der Datensatz besteht aus 12.000 einzelnen Dateien und hat eine Größe von 87 Gigabyte. In einem Forenbeitrag ist die Rede von mehr als 2.000 Datenbanken, die in der Sammlung enthalten sein sollen.

Der australische Sicherheitsexperte beschäftigt sich schon lange mit gestohlenen Daten und stellt die Datenbank „Have I Been Pwned“ zur Verfügung, auf der Nutzer prüfen können, ob ihre E-Mail-Addresse bereits Opfer eines Daten-Leaks wurde. Beim Abgleich mit seiner Datenbank, blieben noch ungefähr 140 Millionen E-Mails und Passwörter, die bislang nicht in der Datenbank zu finden waren.

Wurde ich bereits Opfer eines Datenleaks?

Um zu schauen, ob eure E-Mail-Zugangsdaten bereits in einem Leak auftauchen, könnt ihr eure E-Mail-Adresse auf Hunts „Have I Been Pwned“-Seite überprüfen. Diese umfasst mittlerweile mehr als 6 Milliarden betroffene Accounts.

Die Seite umfasst lediglich Informationen, ob die E-Mail-Adresse jemals in einem Leak auftauchte und aus welcher Quelle. Welches Passwort ihr zu der Zeit hattet, erfahrt ihr nicht.

Was kann ich tun, wenn meine Daten geklaut wurden?

Hunt vermutet, dass die Sammlung vor allem für „Credential Stuffing“ genutzt wird. Dabei wird die Kombination aus E-Mail und Passwort bei anderen Diensten ausprobiert. Hacker versuchen oftmals auch Abwandlungen des Passwortes. Damit sind also nicht nur eure Mail-Accounts, sondern alle eure Accounts, die eine ähnliche Kombination aus der Adresse und dem Passwort verwenden, gefährdet.

Das solltet ihr tun, wenn eure E-Mail-Adresse betroffen ist:

  • Überlegt euch, welche Dienste ihr mit der betroffenen Adresse verwendet.
  • Ändert dort eure Passwörter und verwendet möglichst sichere Kombinationen.
  • Verwendet nicht das gleiche Passwort oder ähnliche Abwandlungen.
  • Nutzt am besten einen Passwort-Manager.
  • Zwei-Faktor-Authentifizierung bietet noch mehr Sicherheit. Dabei wird für die Anmeldung auf einen Account noch ein zweiter Code gebraucht, der zum Beispiel nur auf das eigene Smartphone übertragen wird.

Auch wenn ihr nicht betroffen seid, solltet ihr eure Passwörter möglichst sicher machen, damit niemand durch euren E-Mail-Account Zugang zu euren anderen Nutzerkonten erhält.


Image by andrew_rybalko via stock.adobe.com

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • STAATSTROJANER netzpolitik: Staatstrojaner: Kritik des Bundesrates an der weitgehenden Erlaubnis zum staatlichen Hacken: Das erst kürzlich verabschiedete Staatstrojaner-Gesetz steht wieder in harter Kritik. Grund dafür sind zum einen die Beschneidung der Grundrechte, zum anderen die Risiken für die IT-Sicherheit, sollte ein staatliches Hacken legalisiert werden. Denn die Spähsoftware könnte Schwachstellen, die bei einer solchen Installation nötig sind, auch von Kriminellen genutzt werden könnte. Da der Bundesrat an der Gesetzgebung nicht beteiligt war und im Sinne der Verbraucher sprechen konnte, wird jetzt um einen Vermittlungsausschuss gebeten, um das Gesetz erneut zu überprüfen. Ein Hindernis bei dieser erneuten Revision könnte jedoch der Rechtsausschuss sein, da dieser im Vergleich zu dem Verbraucherausschuss keine Notwendigkeit für einen zusätzlichen Ausschuss sieht.

  • DATENLECK golem: Datenleck bei der Deutschen Post: Die Deutsche Post hat bei der Sicherheit eines ihrer betriebenen Portale deutliche Sicherheitslücken. Das Umzugsportal „umziehen.de“ bietet einen Service an, dass man mittels einer Umzugsmitteilung Banken und Versicherungen automatisch informieren kann. Aufgrund eines Fehlers auf Seiten der Deutschen Post waren die Adressdaten von etwa 200.000 Kunden frei im Internet abrufbar.Die Deutsche Post meldete, dass die durch ein Sicherheitsupdate erstellte Kopie aufgrund „menschlichen Versagens nicht gelöscht wurde“. Für den Zugriff auf die Datenbanken war kein Expertenwissen zugänglich, man musste nur den Dateinamen der Datenbank kennen, der standartmäßig für Datenbankdateiendieses Typs identisch ist.

  • ALGORITHMEN t3n: Algorithmen kontrollieren: Heiko Maas möchte Daten in „gut” und „böse” teilen: Justizminister Heiko Maas fordert eine staatliche Agentur, die ein digitales Antidsikriminierungsgesetz und Transparenz für Algorithmen zur Aufgabe haben soll. Nach der Umsetzung des Netzwerkdurchsetzungsgesetzes könnte die staatliche Unterwerfung von Algorithmen weiterreichende Folgen haben. Nun wird kritisiert, dass es keine Diskriminierung durch Algorithmen gebe, nur Menschen tun es. Hate Speach entsteht nur da, wo Menschen auf andere Menschen treffen. Derzeit gibt es laut Algorithm Watch keine belastbare Studie, die belegt, dass Google über das Ranking von Suchergebnissen die öffentliche Meinung aktiv beeinflusst. Mit der Kontrolle von Algorithmen lässt sich da nicht viel tun, allenfalls mit tiefen Einschnitten in die Meinungsfreiheit.

  • MACHT sueddeutsche: Software frisst die Welt: Viele Anteile unseres Lebens warden immer mehr von Software und Geräten beeinflusst. Große Konzerne wie Google, Apple und Facebook sind schon lange nicht mehr nur Internetkonzerne, sondern auch Autobauer für autonome Fahrzeuge und Städteplaner für Smarte Städte und strecken dadurch die Grenzen des Machbaren. Der Staat gibt so einige Entscheidungen aus der Hand, kritisieren manche. Die Spielregeln für das World Wide Web schreibt heute weitestgehend eine kleine Programmiererelite im Silicon Valley. Die Frage ist, ob der demokratische Rechtsstaat diese zunehmende Machtverschiebung hinnehmen kann oder ob er seine Instrumente „updaten“ muss.

  • AUTONOMES FAHREN t3n: Volvo in Australien: Bewegungsmuster von Kängurus überfordern selbstfahrende Autos: Der Skandinavische Autohersteller Volvo testet seine Autonomen Fahrzeuge momentan in Australien. Bis jetzt konnten die Fahrzeuge den so genannten „Elchtest“ problemlos absolvieren, stellten in Australien jedoch ein anderes Problem fest. Das Nationaltier des Kontinents, das Känguru, überfordert den Tiererkennungs-Algorithmus des Autos. Volvos Technik-Manager in Australien: „Wenn die Tiere in der Luft sind, sieht es aus, als seien sie weiter entfernt, wenn sie am Boden aufkommen, erscheinen sie dagegen näher.”

Weiterlesen »

Fallout und Brink habe ein Leck

Bethesda Softworks, Entwickler von Elder Scrolls, der Fallout-Reihe und dem neuen Online-Multiplayer-Game Brink sind nun auch Opfer der Cracker geworden. Genauso wie neulich Sony und Nintendo müssen nun auch die Kunden fürchten, ausgespäht zu werden. Der Hersteller empfiehlt daher, dass Passwort für dine Online-Accounts sofort zu wechseln. Offenbar wollen einige Hinweise in die Öffentlichkeit streuen, dass der sorglose Umgang mit Adress- und Kredikartendaten auf 1001 Online-Plattform noch immer nicht sicher ist. Ob sie dort je sicher sein werden, bleibt abzuwarten. Über Pfingsten waren die Cracker eingebrochen und konnten Kontodaten auslesen, zum Glück sind in diesem Fall Kreditkartendaten nicht betroffen. Manche machen offenbar schon mal einen wichtigen Teil der Hausaufgaben. Das stimmt zuversichtlich.

Weiterlesen »