Sie sind hier:

Illegaler Datenhandel - 21 Millionen Passwörter im Angebot

Datum:

Sicherheitsforscher Troy Hunt hat eine riesige Datensammlung von Mail-Adressen und Passwörtern gefunden. Was das bedeutet - und ob auch Ihre Adresse auftaucht.

Cyber-Kriminalität (Symbolfoto)
Cyber-Kriminalität (Symbolfoto)
Quelle: dpa

Die erste Lektüre zahlreicher Sicherheitsexperten gilt jeden Morgen dem Blog des australischen Sicherheitsexperten Troy Hunt. Sein Eintrag vom heutigen Tage hat nicht wenige Security-Analysten das zweite Frühstück im Büro etwas schneller beenden lassen.

Sammelsurium aus unterschiedlichen Quellen

"Der Datendiebstahl in der Datensammlung Collection Nr. 1 von 773 Millionen", betitelte Troy Hunt seinen heutigen Eintrag. Es geht dabei um 773 Millionen Mail-Adressen und 21 Millionen Passwörter. Das klingt zunächst einmal hochdramatisch und scheint gigantisch. Doch auf den zweiten Blick entpuppt sich die von Troy Hunt "Collection #1" genannte Datensammlung als ziemliches Sammelsurium. Die Daten stammen aus sehr unterschiedlichen Hacks und Datenleaks der vergangenen Monate.

Datensammlungen haben lange Untergrund-Tradition

Die Verkäufer, die diese Datensammlung über ein Untergrundforum angeboten haben, waren offensichtlich enorm fleißig beim Zusammentragen von Mail-Adressen und Passwörtern für sehr unterschiedliche Web-Services und verschiedene Webseiten. Troy Hunt hat Collection Nr. 1 genauer analysiert und kommt zu dem Schluss, dass die Struktur der Datensammlung nahelegt, dass sie für das sogenannte "Credential Stuffing" angelegt wurde. Bei dieser Art des digitalen Angriffs auf eine Webseite oder einen Webservice versuchen die Online-Kriminellen, sich mit einer Kombinationsliste aus Mail-Adressen als Account-Namen und Passwörtern Zugang zu verschiedenen Diensten und Seiten zu verschaffen.

Je öfter Nutzer von Web Services dasselbe Passwort für unterschiedliche Dienste nutzen, umso erfolgreicher ist dieser digitale Angriff namens "Credential Stuffing". In der Vergangenheit galten solche Angriffe, um sich in Dienste und auf Seiten zu hacken, als sehr vielversprechend.

Profitabel durch Mehrfach-Verkauf

Entsprechend lukrativ ist der Vertrieb solcher Datensammlungen über diverse Untergrundforen. Dabei werden allerdings in der Regel ältere und neuere Daten aus verschiedenen Quellen zu immer neuen Datensammlungen zusammengestellt. So kann es durchaus passieren, dass einige Mail-Adressen und Passwörter in mehreren Dutzend Datensammmlungen auftauchen. In einigen Fällen sogar in über hundert Datensammlungen. Dabei verwischt oftmals die Grenze zwischen dem legalen und dem illegalen Datenhandel.

Archiv: Eingegangene emails, mit Virenwarnung

Tipps gegen Hackerangriffe - Wie man sich vor Datendiebstahl schützt

Durch den Hackerangriff auf Politiker und Prominente wird erneut klar: Absolute Sicherheit gibt es nicht. Man kann Datendieben aber die Arbeit erschweren. Wir zeigen wie's geht.

von Alfred Krüger

Denn am Anfang solcher Datensammlungen steht nicht selten das Tracken der Nutzer. Gut 1.000 Datenhändler weltweit gewinnen so ihre Handelsware. Wer im Internet surft, twittert oder postet, den tracken sie. Standardmäßig ermittelt diese Tracking-Software ein Nutzerprofil aus Daten wie dem installierten Betriebssystem, der aktuellen Bildschirm-Auflösung, dem verwendeten Browser mit seinen Zusatzprogrammen sowie den installierten Schriften und Sprachen.

Datenhändler spähen Nutzer oft legal aus

Über eindeutige Identitätsnummern, Signaturen und Schlüssel werden nicht nur Rechner und Smartphones wiedererkannt, sondern auch deren Besitzer. Teilweise laufen diese Identifizierungen noch immer über die Facebook-ID. Zunehmend setzen die Datenhändler allerdings auf eigene Identitätsnummern. Die Identitätsnummer, die ein Datenhändler einem Kunden auf dessen Laptop oder Smartphone überspielt hat, wird über weitere Zugriffe an andere Datenhändler weitergegeben. Das geschieht geräteübergreifend für jede einzelne Zielperson.

Ein australischer Sicherheitsforscher hat einen riesigen Datensatz mit zahlreichen gestohlenen Nutzerdaten gefunden. Darin enthalten: 773 Millionen Mail-Adressen und 21 Millionen Passwörter.

Beitragslänge:
1 min
Datum:

Um von diesen Daten auf die persönliche Identität eines Internet-Surfers zu schließen, brauchen die Datenhändler die Mail-Adresse, und die ermitteln sie, wenn der Surfer einen seiner Social-Media-Accounts oder Web-Mail nutzt. Daran knüpfen dann die Online-Kriminellen an, die Passwörter und Account-Daten selber gecrackt oder aus früheren Dateneinbrüchen gekauft haben. Sie komplettieren ihre Account-Datensammlungen mit Mail-Adressen der Datenhändler. So können sie Mail-Adressen, die als Account-Namen genutzt werden, abgleichen oder aber mit gefälschten angeblichen Service-Mails der Provider Passwörter erbeuten.

Dazu schreiben Sie einfach Besitzer eines Mail-Postfachs an, gaukeln ein Sicherheitsproblem vor und fordern den Mailpostfachbesitzer, Account-Namen und Passwort auf einer angeblichen und gut gefälschten Service-Seite zu bestätigen. Viele Nutzer fallen darauf herein und verraten so arglos ihre Zugangsdaten.

Archiv: Hände über der Tastatur eines Laptops, aufgenommen am 21.02.2018

Stichworte zum Online-Angriff - Doxxing: Wenn private Daten im Netz landen

Woher stammen die nun veröffentlichten Daten Hunderter Politiker und Prominenter? Aus Hacker-Angriffen oder einem Leak? Sicher ist: Es handelt sich um Doxxing. Ein Glossar.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Die Website verwendet Cookies, um Ihnen ein bestmögliches Angebot zu präsentieren. Nähere Informationen und die Möglichkeit, die Verwendung von Cookies einzuschränken finden Sie hier.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, können Sie jetzt eine Altersprüfung durchführen. Dafür benötigen Sie Ihr Ausweisdokument.

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.