All posts under Troy Hunt

773 Millionen Passwörter gestohlen – So geht ihr auf Nummer sicher

Das Internet ist derzeit ein echtes Minenfeld. Im Dezember erst, warnte der BSI vor dem Trojaner Emotet, der besonders gefährliche E-Mails verschickt. Kürzlich veröffentlichte der mittlerweile gesperrte Twitter-Account @_0rbit sensible Daten bekannter Persönlichkeiten aus Politik, Show und Internet.

Nun kommt der nächste große Hammer. IT-Sicherheitsexperte Troy Hunt ist in einem Hackerforum auf eine Passwort-Sammlung von 773 Millionen Online-Konten gestoßen.

Die größte nachgewiesene Passwort-Sammlung

Dieser Leak mit dem Namen „Collection #1“ ist das bislang größte öffentlich publik gewordene Datenleck.

Troy Hunt stieß auf die Collection #1, nachdem in einem Hacker-Forum entsprechende Links zum Filehoster MEGA aufgetaucht sind. Der Datensatz besteht aus 12.000 einzelnen Dateien und hat eine Größe von 87 Gigabyte. In einem Forenbeitrag ist die Rede von mehr als 2.000 Datenbanken, die in der Sammlung enthalten sein sollen.

Der australische Sicherheitsexperte beschäftigt sich schon lange mit gestohlenen Daten und stellt die Datenbank „Have I Been Pwned“ zur Verfügung, auf der Nutzer prüfen können, ob ihre E-Mail-Addresse bereits Opfer eines Daten-Leaks wurde. Beim Abgleich mit seiner Datenbank, blieben noch ungefähr 140 Millionen E-Mails und Passwörter, die bislang nicht in der Datenbank zu finden waren.

Wurde ich bereits Opfer eines Datenleaks?

Um zu schauen, ob eure E-Mail-Zugangsdaten bereits in einem Leak auftauchen, könnt ihr eure E-Mail-Adresse auf Hunts „Have I Been Pwned“-Seite überprüfen. Diese umfasst mittlerweile mehr als 6 Milliarden betroffene Accounts.

Die Seite umfasst lediglich Informationen, ob die E-Mail-Adresse jemals in einem Leak auftauchte und aus welcher Quelle. Welches Passwort ihr zu der Zeit hattet, erfahrt ihr nicht.

Was kann ich tun, wenn meine Daten geklaut wurden?

Hunt vermutet, dass die Sammlung vor allem für „Credential Stuffing“ genutzt wird. Dabei wird die Kombination aus E-Mail und Passwort bei anderen Diensten ausprobiert. Hacker versuchen oftmals auch Abwandlungen des Passwortes. Damit sind also nicht nur eure Mail-Accounts, sondern alle eure Accounts, die eine ähnliche Kombination aus der Adresse und dem Passwort verwenden, gefährdet.

Das solltet ihr tun, wenn eure E-Mail-Adresse betroffen ist:

  • Überlegt euch, welche Dienste ihr mit der betroffenen Adresse verwendet.
  • Ändert dort eure Passwörter und verwendet möglichst sichere Kombinationen.
  • Verwendet nicht das gleiche Passwort oder ähnliche Abwandlungen.
  • Nutzt am besten einen Passwort-Manager.
  • Zwei-Faktor-Authentifizierung bietet noch mehr Sicherheit. Dabei wird für die Anmeldung auf einen Account noch ein zweiter Code gebraucht, der zum Beispiel nur auf das eigene Smartphone übertragen wird.

Auch wenn ihr nicht betroffen seid, solltet ihr eure Passwörter möglichst sicher machen, damit niemand durch euren E-Mail-Account Zugang zu euren anderen Nutzerkonten erhält.


Image by andrew_rybalko via stock.adobe.com

Weiterlesen »