Vermutlich mittels Malware zusammengetragen
Rund 149 Millionen Zugangsdaten lagen ungeschützt im Netz
Der Sicherheitsforscher Jeremiah Fowler hat offenbar eine im Internet offen zugängliche Datenbank mit rund 149 Millionen Kombinationen aus Benutzernamen und Passwörtern gefunden. Dabei habe es sich um Zugangsdaten zu einer Vielzahl von Online-Diensten gehandelt.
Betroffen seien soziale Netzwerke, Streaming-Plattformen, Spieleangebote, Dating-Portale sowie Konten von Finanz- und Krypto-Anbietern. Auch E-Mail-Zugänge – darunter in vergleichsweise geringer Zahl auch Zugangsdaten von iCloud-Konten – seien enthalten gewesen.
Auch Apple-Kunden betroffen
Fowler berichtet im Blog des VPN-Anbieters ExpressVPN über seinen Fund. Dem habe der Umfang der Datenbank rund 96 Gigabyte betragen. Die Inhalte seien weder verschlüsselt noch durch ein Passwort geschützt gewesen und hätten über einen Webbrowser durchsucht werden können. Die Struktur der Dateien lasse darauf schließen, dass die Informationen mithilfe von sogenannter „Infostealer“-Schadsoftware zusammengetragen worden seien, die Passwörter und weitere Zugangsdaten von infizierten Geräten ausliest und zentral speichert.
Breites Spektrum betroffener Dienste
In den Datensätzen hätten sich neben Zugängen zu Plattformen wie Facebook, Instagram, TikTok, Netflix oder Roblox auch die Anmeldedaten für Krypto-Börsen, Bank- und Zahlungsdienste befunden. Begleitend dazu habe der Sicherheitsforscher auch mehrere Einträge mit staatlichen E-Mail-Adressen entdeckt, was er für besonders sensibel hält, da diese für gezielte Täuschungsversuche oder als Ausgangspunkt weiterer Angriffe missbraucht werden könnten.
Mit Webbrowser durchsuchbar
Es sei nicht nur unklar, wer für die Datensammlung verantwortlich ist. Auch die Abschaltung durch den verantwortlichen Hosting-Anbieter habe unverhältnismäßig lange gedauert. Dieser habe erst nach mehreren Wochen und wiederholten Hinweisen reagiert, in dieser Zeit hätte sich der Datenbestand weiter vergrößert.
Risiken für Betroffene
Solche Kombinationen aus E-Mail-Adressen und Passwörtern ermöglichen es Angreifern, automatisierte Login-Versuche bei einer Vielzahl von Diensten durchführen. Immer noch verwenden viele Nutzer dieselben Zugangsdaten für unterschiedliche Angebote. Darüber hinaus lassen sich aus solchen Daten Nutzungsprofile ableiten, die dann teils für gezielte Phishing-Angriffe oder Erpressungsversuche genutzt werden.
Einmal mehr gilt die Empfehlung, nicht nur für jeden genutzten Onlinedienst separate Anmeldedaten zu verwenden, sondern soweit möglich auch zusätzliche Sicherheitskonzepte wie die Zwei-Faktor-Authentifizierung einzusetzen.
Der wichtigste Hinweis kam ganz am Ende, die Zwei-Faktor-Authentifizierung.
Damit hat man im meisten Fall Ruhe, trotz solcher leaks. Entbindet natürlich nicht von unterschiedliche PWs in ausreichender Komplexität zu verwenden
Genau, PW-Manager, 2FA und außerdem etwas nutzbare Hirnmasse als Grundlage für das eigene Handeln „im Netz“ … ;-)
Und ganz wichtig;
– überall Email-Aliase verwenden
– Passwörter einmalig im Managaer
– OTP aktivieren, nicht SMS, sondern offline private key
Das ist 1×1, das jeder heute so mindestens haben sollte.
Es fehlt der Hinweise auf Passkeys. Gerade im Apple Universum ist das total einfach.
Sicher ist nur,
dass nichts sicher ist :-(
Wie krass
Irgendwie ironisch, dass die Hacker ihre gesammelten Daten selbst nicht schützen. Wenn die kein Backup davon haben, ist das Ergebnis langer Sammelarbeit doch zerstört.
Wie findet man solche Datenbanken? Wohl kaum über eine Suchmaschine, oder?
Wer sagt denn, dass die kein Backup haben? Die werden die Website ja kaum über ein Formular befüllt haben.
Das ist sicher nur ein zusätzlicher Ort, wo sie die Daten abgelegt haben. ;-)
Okay super wie prüfe ich jetzt ob ich betroffen bin?
Wird sicherlich bei have I been pwned hinzugefügt…
Passkey! Das ist erstens viel einfacher und verhindert zweitens auch das Stehlen des Passworts.
+1
Ja aber meistens ist bei den Anbietern zum Restore dennoch ein User/Passwort Pärchen hinterlegt. MFA ist da schon besser.
Und ganz wichtig, was viele vergessen, dass Email Passwort muss besonders gut sein, da viele Passwortrücksetzungen per Email gehen.
Hat jemand dein Email Passwort, dann hat er dich.
Was ich mich dazu frage;
Welcher Anbieter hat den meine Passwörter online liegen?
Das ist in keinerlei Weise technisch notwendig.
Gelesen? Im Text steht das es durch infostealer kam und dort beim User ausgelesen wurde. Also kein Problem der gespeicherten Passwörter bei den Anbietern.
Das nicht, aber deine Daten werden in der Regel verschlüsselt auf den Servern abgelegt und das ist ja notwendig, um deine Eingaben abzugleichen.
Hier wurden die Daten, so denke ich, direkt beim Nutzer abgegriffen (Phishing, Keylogger, …)