Darum gehts
- XXL-Datensatz: Zwei Milliarden E-Mail-Adressen landen bei «Have I Been Pwned»
- Daten stammen von Computern der Opfer durch unbemerkt installierte Infostealer
- 1,3 Milliarden Passwörter, davon 625 Millionen bisher unbekannt, wurden zugespielt
Troy Hunt hasst reisserische Überschriften. Doch diesmal kann der Sicherheitsforscher nicht anders: «Zwei Milliarden E-Mail-Adressen landen im Netz», schreibt er in seinem Blog. Normalerweise seien solche Zahlen übertrieben. Aber hier stimme es: 1'957'476'021 Mail-Adressen, 1,3 Milliarden Passwörter, 625 Millionen davon bisher unbekannt, hat er zugespielt bekommen. Sein Fazit: «Es ist der mit Abstand grösste Datensatz, den wir je verarbeitet haben.»
Hunt weiss, wovon er spricht. Seit 2013 betreibt der Australier «Have I Been Pwned», eine kostenlose Suchmaschine für Datenlecks. Jeder kann dort seine E-Mail-Adresse eingeben und sehen, in welchen Hacks sie aufgetaucht ist. Die Passwörter selbst sind nicht einsehbar, nur die Information, ob sie kompromittiert wurden. Über 15 Milliarden Accounts hat Hunt bereits erfasst. Doch was jetzt dazukommt, sprengt alle bisherigen Dimensionen.
Die Jäger im Darknet
Woher die neuen Daten stammen? Mitarbeiter der IT-Sicherheitsfirma Synthient durchkämmten über Monate hinweg die dunklen Ecken des Internets. Telegram-Gruppen, in denen Hacker ihre Beute verkaufen. Öffentlich zugängliche Cloud-Speicher, die Kriminelle zum Datenaustausch nutzen. Foren im Darknet, wo gestohlene Logins gehandelt werden. 3,5 Terabyte Daten kamen zusammen.
Die Zugangsdaten stammen einerseits von früheren, bereits bekannten Leaks. Teilweise jedoch auch direkt von den Geräten der Opfer. Sogenannte «Infostealer» installieren sich unbemerkt auf PCs und Handys. Oft getarnt als vermeintlich harmlose Programme. Diese digitalen Spione lauern im Hintergrund und senden Zugangsdaten an Cyberkriminelle.
Synthient übergab den Datenschatz an Hunt, damit er ihn zugänglich macht. Die Logik dahinter: Je mehr Menschen wissen, dass ihre Daten gestohlen wurden, desto schneller ändern sie ihre Passwörter. Und je schneller das passiert, desto nutzloser werden die Daten für Kriminelle.
«Habe sofort alles geändert»
Hunt liess Betroffene stichprobenartig prüfen, ob die Daten echt sind und schrieb mehrere Mail-Adressen an. Die erste Antwort kam prompt: «Passwort 1 ist alt und nicht mehr in Gebrauch. Passwort 2 ist aktueller. Danke für die Vorwarnung – ich habe sofort alle kritischen Zugänge geändert.» Ein anderer Nutzer bestätigte: «Das war ein Wegwerfpasswort für unwichtige Konten, das ich vor zehn Jahren nutzte.»
Die Sammlung enthält also steinzeitliche und brandaktuelle Passwörter: Beides ist gefährlich. Denn Cyberkriminelle nutzen solche Listen für «Credential Stuffing», automatisierte Angriffe, bei denen millionenfach getestet wird, ob geklaute Login-Daten auch bei anderen Diensten funktionieren. Das klappt erschreckend oft, weil viele Menschen dasselbe Passwort überall verwenden.
Was kann ich jetzt tun?
Gehe auf haveibeenpwned.com und gib dort deine E-Mail-Adresse ein. Die Seite zeigt anonym, ob deine Daten im Leak sind. Ist das der Fall, ändere betroffene Passwörter. Aktiviere die Zwei-Faktor-Authentifizierung überall, wo möglich – selbst wenn dein Passwort gestohlen wird, brauchen Hacker so noch einen zweiten Code. Und ganz wichtig: Nutze für jeden Dienst ein eigenes, starkes Passwort. Passwort-Manager helfen dabei, den Überblick zu behalten.