Der Sicherheitsforscher Jeremiah Fowler hat offenbar eine im Internet offen zugängliche Datenbank mit rund 149 Millionen Kombinationen aus Benutzernamen und Passwörtern gefunden. Dabei habe es sich um Zugangsdaten zu einer Vielzahl von Online-Diensten gehandelt.

Betroffen seien soziale Netzwerke, Streaming-Plattformen, Spieleangebote, Dating-Portale sowie Konten von Finanz- und Krypto-Anbietern. Auch E-Mail-Zugänge – darunter in vergleichsweise geringer Zahl auch Zugangsdaten von iCloud-Konten – seien enthalten gewesen.

Auch Apple-Kunden betroffen

Fowler berichtet im Blog des VPN-Anbieters ExpressVPN über seinen Fund. Dem habe der Umfang der Datenbank rund 96 Gigabyte betragen. Die Inhalte seien weder verschlüsselt noch durch ein Passwort geschützt gewesen und hätten über einen Webbrowser durchsucht werden können. Die Struktur der Dateien lasse darauf schließen, dass die Informationen mithilfe von sogenannter „Infostealer“-Schadsoftware zusammengetragen worden seien, die Passwörter und weitere Zugangsdaten von infizierten Geräten ausliest und zentral speichert.

Breites Spektrum betroffener Dienste

In den Datensätzen hätten sich neben Zugängen zu Plattformen wie Facebook, Instagram, TikTok, Netflix oder Roblox auch die Anmeldedaten für Krypto-Börsen, Bank- und Zahlungsdienste befunden. Begleitend dazu habe der Sicherheitsforscher auch mehrere Einträge mit staatlichen E-Mail-Adressen entdeckt, was er für besonders sensibel hält, da diese für gezielte Täuschungsversuche oder als Ausgangspunkt weiterer Angriffe missbraucht werden könnten.

Mit Webbrowser durchsuchbar

Es sei nicht nur unklar, wer für die Datensammlung verantwortlich ist. Auch die Abschaltung durch den verantwortlichen Hosting-Anbieter habe unverhältnismäßig lange gedauert. Dieser habe erst nach mehreren Wochen und wiederholten Hinweisen reagiert, in dieser Zeit hätte sich der Datenbestand weiter vergrößert.

Risiken für Betroffene

Solche Kombinationen aus E-Mail-Adressen und Passwörtern ermöglichen es Angreifern, automatisierte Login-Versuche bei einer Vielzahl von Diensten durchführen. Immer noch verwenden viele Nutzer dieselben Zugangsdaten für unterschiedliche Angebote. Darüber hinaus lassen sich aus solchen Daten Nutzungsprofile ableiten, die dann teils für gezielte Phishing-Angriffe oder Erpressungsversuche genutzt werden.

Einmal mehr gilt die Empfehlung, nicht nur für jeden genutzten Onlinedienst separate Anmeldedaten zu verwenden, sondern soweit möglich auch zusätzliche Sicherheitskonzepte wie die Zwei-Faktor-Authentifizierung einzusetzen.