Datenbank mit Apple-, Google- und Meta-Konten
iCloud-Zugangsdaten prüfen: Über 184 Mio. Logins öffentlich einsehbar
Eine ungeschützte Datenbank mit über 184 Millionen Login-Datensätzen – darunter zahlreiche Apple-ID- und iCloud-Zugänge – ist von einem Sicherheitsforscher im Netz gefunden worden. Die Sammlung war öffentlich zugänglich, nicht verschlüsselt und umfasste rund 47 Gigabyte an Daten.
Neben Apple-Konten waren auch Zugangsdaten zu Google, Facebook, Instagram, Microsoft und weiteren Plattformen enthalten. Die Einträge beinhalteten E-Mail-Adressen, Passwörter und teils direkte Login-Links.
Viele der Apple-bezogenen Datensätze enthielten Hinweise auf iCloud-Konten, die für die Sicherung von Fotos, Kontakten und E-Mails genutzt werden. Ein unautorisierter Zugriff auf solche Konten kann daher weitreichende Folgen für betroffene Nutzer haben – von Identitätsdiebstahl bis hin zum Verlust sensibler Inhalte auf iPhone und iPad.
Hinweise auf Datendiebstahl durch Schadsoftware
Nach Einschätzung des Entdeckers wurde die Datenbank vermutlich mithilfe von Infostealer-Malware zusammengestellt. Diese Art von Schadsoftware durchsucht infizierte Geräte automatisiert nach gespeicherten Anmeldedaten – auch aus Webbrowsern und E-Mail-Programmen – und sendet diese an zentrale Server. In der nun gefundenen Datenbank fanden sich zudem Spuren, die auf Angriffe mit portugiesischsprachiger Malware hindeuten.
Ob und in welchem Umfang die kompromittierten Apple-Logins bereits missbräuchlich verwendet wurden, ist bislang unklar. Sicherheitsexperten raten iPhone-Nutzern, betroffene E-Mail-Adressen auf bekannten Leak-Plattformen wie Have I Been Pwned zu prüfen, ihre Passwörter zu aktualisieren und die Zwei-Faktor-Authentifizierung zu aktivieren, um unautorisierten Zugriff auf genutzt Dienste zu erschweren.
Auch Regierungs- und Unternehmensaccounts
Neben privaten Nutzerkonten fanden sich in der öffentlich zugänglichen Datenbank auch hunderte E-Mail-Adressen mit offiziellen .gov-Endungen aus mehr als zwei Dutzend Ländern – darunter auch Accounts staatlicher Stellen aus den USA, Großbritannien und mehreren EU-Staaten.
Vielleicht ist noch erwähnenswert, dass die Reputation des Sicherheitsforschers, seine Vorgehensweise und die Korrektheit seiner Berichterstattung teils in Frage gestellt wird.
Insofern ist Panik und hektische Aktivität vermutlich nicht angezeigt. 2FA hat hoffentlich sowieso jede(r) überall wo es geht aktiviert.
Deine 2FA-Erwartungen sind witzig. Ich tippe auf maximal 5%.
Danke. Wollte ich auch gerade schreiben.
– Der Sicherheitsforscher hat die Datenbank nicht heruntergeladen sondern nur ein paar Screenshots gemacht
– Er hat weder die Strafverfolgungsbehören noch andere Sicherheitsforscher hinzugeholt..
– Datenbank wurde seiner Aussage nach inzwischen entfernt.
– Anstatt das auf den typischen Seiten öffentlich zu machen hat er den Webauftritt einer britischen Unternehmensberatung genommen wo das Thema (auf deren Website) Datenschutz und Cybersicherheit bisher kein Thema war.
Man weiss also leider so gar nicht ob die Meldung wirklich echt ist, was die Datenbank, sofern sie existiert hat, wirklich enthielt und wie groß sie war. Das Ganze beruht komplett auf den Aussagen einer einzigen Person ohne dass diese wirklich von anderen nachgeprüft werden können (Datenbank ist ja jetzt weg….)
Kein Account ist geschützt und da kann man halt nichts gegen machen. :-D
Man kann ne Menge machen.
2-Faktor-Authentifizierung aktivieren z. B.
Ich habe auch schon vor längerem den Zugriff über icloud.com auf Dinge wie meine Fotomediathek abgestellt, weil ich es persönlich nicht nutze und es daher nur eine zusätzliche Gefahr darstellt.
Habe den Zugang komplett deaktiviert.
Ne. Kann man nix machen. Ich lass mein Auto als auch meine Fenster und meine Haustür immer offen stehen. Kann man nix machen.
Ich finde das erschreckend! Es wird Zeit, dass endlich mal etwas Gescheites erfunden wird, was Passwärter überflüssig macht.
Gibt es doch … Passkeys
Eben nicht, da mit zu vielen Problemen behaftet – Interoperabilität, mangelnde Benutzerfphrung gerade für DAUs / noobs etc.
Gerade für Daus geht es nicht einfacher.
Und für die spielt Interoperabilität weniger eine Rolle.
Zudem wird ja gerade daran auch gearbeitet.
Richtig. Passkeys ist die Lösung. Leider dauert es sehr lange bis alle Firmen das angenommen und auch richtig umgesetzt haben.
Ebay zum Beispiel nutzt passkey als 2FA und nicht als Ersatz fürs Kennwort.
Passkey sind die Hölle. Das merkst Du dann, wenn (wie bei mir) das Handy kaputt geht, und Du an nichts mehr rankommst. Hatte 3 Wochen eine Rennerei, Schreiberei ohne Ende. Nutze es seither nicht mehr und plage mich immer noch mit bestehenden Passkeys rum, die auf dem Rechner daheim installiert sind, und sich nicht entfernen lassen.
Apple-Konten lassen sich bereits mit YubiKeys etc. sichern. Ich habe 3 Keys und alle bei meiner Apple ID hinterlegt. Selbst wenn mein Passwort also wegkommt aus welchem Grund auch immer, der Angreifer bräuchte immer noch Zugriff auf einen meiner Hardware-Keys. Die Möglichkeit das zu nutzen hat jeder.
Und mit 2FA braucht man noch nicht mal nen YubiKey.
Ja, der erhöht den Schutz natürlich noch weiter.
Moin Peter,
könntest du das bitte mal für „Dummies“ übersetzen?
Ich verstehe leider nur „Bahnhof“ …
Ich versuche mich mal an einer Antwort:
2-Faktor-Authentifizierung bedeutet, dass du neben den Login-Daten (E-Mail/Benutzername + Passwort) noch einen zweiten Faktor benötigst, um dich irgendwo anzumelden.
Dafür gibt es verschiedene Techniken. Ein Zweiter Faktor kann z. B. ein Code sein, der dir per SMS geschickt wird. SMS sind aber unverschlüsselt und wenn jemand dein Handy klaut, hat er auch Zugriff auf die SMS. Es gibt auch Apps (Google Authentificator), die Codes generieren.
Der YubiKey ist ein USB-Stick, der als zweiter Faktor dient – ein Hardware-Schlüssel. Wenn du diesen bei dem entsprechenden Dienst als zweiten Faktor eingerichtet hast kannst dich nur anmelden, wenn du auch den Stick ans Gerät steckst. Vorteil: Wer nur dein Handy klaut, hat noch keinen Zugriff auf den Stick und kann sich nicht einloggen.
Ich habe damit aber noch keine Erfahrung. Wie ist das, wenn man den Stick verliert? Kann man dann noch seine Login-Daten ändern oder einen neuen Stick einrichten?
Das Thema ist zweiter Faktor über einen Fido Hardware Stick. Mal einlesen.
Da wäre natürlich ein schöner, ausführlicher Bericht hier auf der Webseite interessant! Ich habe keinen Plan davon, was das ist, wie man das einsetzt, was passiert, wenn ich das Ding verliere, etc. Könnte mir vorstellen, dass es vielen so geht wie mir und diese nur Bahnhof verstehen!
Du hast Passkeys bereits fo refer im iOS und macOS! Lies dich auf Seiten ein, die es einfach beschreiben. Z. B. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html
Ist dein Yubikey weg, hast du auch keinen Zugriff auf den Account. Deswegen mindestens zwei Keys im Account hinterlegen, damit im Fall der Fälle der Zugriff noch möglich ist. Der Key wird auch nicht immer und ständig gebraucht, sondern vor allem dann, wenn man von einem bis dato unbekannten Gerät auf das Konto zugreift. Installierst du den Mac neu und meldest dich das erste Mal bei iCloud an, will er den Key haben. Danach kannst du den Mac wie gewohnt mit dem iCloud Konto nutzen.
Oder greift jemand dein Kennwort ab und meldet sich von „irgendwo“ am Konto an, dann braucht auch er den Key. Der Key selbst verlangt bei jeder Authentifizierung ebenfalls noch mal einen PIN Code, den man vorher festlegt. Hat also jemand den Key und kennt deine AppleID, nützt es nichts, weil er noch das Kennwort zur AppleID UND den PIN des Yubikeys benötigt.
Es gibt noch Backupcodes und ja ein zweiten Stick einrichten ist besser und beim einrichten den QR-Code in einer separaten Keepass Datenbank absichern. So kommt man immer wieder rein.
Wurde Have I Been Pwned mit diesen Daten überhaupt schon gefüttert? Das ist ja noch relativ frisch.
Es ist deren Existenzgrundlage, diesbezüglich immer auf dem neuesten Stand zu sein.
Non-Answer, aber ja danke ;)
Besser und einfach kann man keine Email-Adressen sammeln …. jeder trägt freiwillig ein :-))
Man muss sich nicht wundern wenn über Jahre eine Mail Adresse ohne 2FA nutzt. Einfach mal mit diesen Themen Email Alias und 2FA befassen. Dann kann man auf seine User Seite vieles richtig machen. In der Hoffnung das der Dienst vom Anbieter das auch tut.
Hilft mir jetzt nicht unbedingt weiter, wenn bei Have I Been Pwned die Info fehlt, für welchen Dienst der Leak besteht.
Ändere ja nicht mal eben ca. 50 Passwörter
Steht beim HPI Identity Leak Checker detaillierter.
Bei mir wird angezeigt, wo geklaut wurde, z.B. Adobe 2013 ) – nach unten scrollen
Neben HIBP https://haveibeenpwned.com/ wäre der HPI Identity Leak Checker vom Hasso-Plattner-Institut auch eine Erwähnung wert.
https://sec.hpi.de/ilc/search?lang=de
Auch die Uni Bonn hat einen Leak Checker https://leakchecker.uni-bonn.de/de/index
Security News heisec.de
Neben HIBP https://haveibeenpwned.com/
wäre der HPI Identity Leak Checker vom Hasso-Plattner-Institut auch eine Erwähnung wert.
https://sec.hpi.de/ilc/search?lang=de
Auch die Uni Bonn hat einen Leak Checker https://leakchecker.uni-bonn.de/de/index
Security News https://heisec.de
Danke
Danke! Vielleicht das im Artikel ergänzen. Die Dienste bringen hier viel mehr weiter!!
Meine Apple-ID E-Mail-Adresse: 0 Data Breaches! Yeah! ;D
Hab nur bei ner Gmail Adresse, wegen dem Deezer Datenleck was aber iCloud ist safe.
Auf „https://haveibeenpwned.com/PwnedWebsites“ ist iCloud.com bisher noch nicht aufgeführt! Sehr verwunderlich…
Fred? Max?
Max hier. Was gibt’s?