Historischer Hack

17. Januar 2019 10:52; Akt: 17.01.2019 12:20 Print

Datensatz mit Millionen Passwörtern entdeckt

Im Netz ist eine riesige Sammlung von Zugangsdaten aufgetaucht. Auch Schweizer Dienste und Adressen sollen betroffen sein. Das kannst du jetzt tun.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Was ist passiert?

Der Sicherheitsforscher Troy Hunt hat im Netz eine gigantische Sammlung von kompromittierten Zugangsdaten entdeckt. Er hat die 87 Gigabyte Daten analysiert. Insgesamt finden sich in der Liste 772'904'991 Mail-Adressen und mehr als 20 Millionen unterschiedliche Passwörter. Laut Hunt lassen sich daraus über eine Milliarde von möglichen Kombinationen ableiten. Die Daten wurden auf den Speicherdienst Mega hochgeladen und in Hacker-Foren verlinkt, erklärt Hunt in einem Blogeintrag. Die Dateien befanden sich in einem Ordner mit dem Namen «Collection #1».

Umfrage
Wurdest du schon einmal gehackt?

Von wo stammen die Daten

Es sei sehr schwierig zu sagen, wo und wann die Daten abhandengekommen seien, sagt Hunt. In den Hacker-Foren kursiere eine Liste, die ein Hinweis darauf liefern könnte. Die Daten stammen laut Hunt aus über 2000 angeblich kompromittierten Diensten. Auf der Liste, die er veröffentlichte, finden sich auch knapp ein halbes Dutzend Dienste mit .ch-Adresse. Darunter ist der Verband Thurgauer Schulgemeinden, Vtgs.ch oder der Schweizer Lachsproduzent Balik. Hunt betont allerdings nachdrücklich, dass er die Herkunft der Daten nicht verifizieren könne. Die Entstehung der Daten könnten bis ins Jahr 2008 zurückgehen. Auch das ist bisher nicht verifiziert.

Also alles halb so schlimm?

Ganz und gar nicht. Zwar sind keine sensibleren Informationen wie Kredikarten- oder Sozialversicherungsnummern enthalten, doch schon allein wegen ihres enormen Umfangs sei die Sammlung historisch, schreibt die Tech-Website Wired.com. Sie bezeichnet den aktuellen Fall auch als «Lücke aller Lücken». Die Liste ist für Angriffe konzipiert, die Passwörter in der «Collection #1» sind im Klartext gespeichert. «Die einzige technische Fähigkeit, die man haben muss, um in dein Konto einzudringen, ist die Fähigkeit, zu scrollen und zu klicken», schreibt Wired.com.

Bin ich betroffen?

IT-Experte Hunt hat die Datensammlung «Collection #1» so zugänglich gemacht, dass jeder selber prüfen kann, ob er vom Leck betroffen ist. Nutzer können auf Haveibeenpwned.com ihre E-Mail-Adresse eingeben. Die Website prüft, ob die Adresse in der Liste oder in vergangenen Lecks, etwa von Adobe, Dropbox oder Tumblr vorkommt. Falls ja, wäre es Zeit, Passwörter zu ändern. Die gesuchten E-Mail-Adressen werden von der Website niemals gespeichert, erklärt Hunt.

Was kann ich tun?

Deine Passwörter sollen komplex sein und einzigartig. Nutze nie, nie, NIE (!) das gleiche Passwort für mehrere Dienste. Verabschiede dich bitte auch von deinem geliebten Passwort, auf das du zu Zeiten von Myspace.com stolz warst. Noch viel besser: Setze endlich um, was du dir schon länger vorgenommen hast. Kauf dir eine Lizenz für einen Passwortmanager oder nutze Open-Source-Software. Zwei Tage lang wirst du darüber fluchen, dass du jetzt überall neue Passwörter setzen musst, dafür kannst du dem nächsten solchen Mega-Leck mit einem Lächeln begegnen. Du nutzt schon so ein Programm? Bravo! Nutze zudem wo immer möglich die Zwei-Faktor-Authentifizierung. So werden Accounts mit einer PIN zusätzlich geschützt. Diese wird meist per Mail oder SMS verschickt oder mit Apps, etwa dem Google Authenticator, generiert.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Melina am 17.01.2019 11:17 Report Diesen Beitrag melden

    Prüf-Seite seriös?

    Ich bin immer im Zwiespalt, ob diese Prüf-Seiten nicht auch ein Leck darstellen... Man gibt ja dann 3-4 mögliche E-Mail-Adressen an und da kann der Betreiber ja noch lange sagen, dass die geprüften Adressen nicht irgendwie dokumentiert oder gespeichert werden... Hmm...

    einklappen einklappen
  • Darwin am 17.01.2019 11:24 Report Diesen Beitrag melden

    KeePass

    "Kauf dir eine Lizenz für einen Passwortmanager." Wie bitte? KeePass kann lokal gespeichert werden (kein anbieterabhängiger Service auf Servern in Takatukaland) und ist GRATIS!

    einklappen einklappen
  • Laura Malagutti am 17.01.2019 11:11 Report Diesen Beitrag melden

    Schnellstmöglich e-Voting einführen!

    Es gibt nichts sichereres als e-Voting. Wir sollten es wirklich so schnell als möglich einführen.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Andreas am 17.01.2019 16:56 Report Diesen Beitrag melden

    relativ

    Also die Menge an Mail-Adressen ist ziemlich egal. Es gibt Unmengen an öffentlich im Netz stehenden Adressen (auf Firmen-Websites, auf Whois-Abfragen, etc.). Aber die 20Mio Passwörter lassen aufhorchen. Nun wurde nicht erwähnt, ob zu jedem Passwort auch der passende Online-Dienst genannt ist, ob die E-Mail-Adresse überhaupt der Benutzername für den Dienst ist, und ob die Kombinationen tatsächlich funktionieren. Es könnten ja auch Fakes sein.

  • Peppi am 17.01.2019 15:53 Report Diesen Beitrag melden

    Mhmmm, ich wurde 3mal

    gefunden, aber bei 2 Seiten habe ich mich noch nie registriert? Ist das jemandem anders auch so ergangen? Und die 3. ist linkedin, aber da habe ich mein Konto gelöscht...kein Witz!

    • 50+ am 17.01.2019 16:30 via via Mobile Report Diesen Beitrag melden

      @Peppi

      LinkedIn wurde 2012 gehackt - wenn ich mich nicht irre

    • Stian Albert am 17.01.2019 16:47 Report Diesen Beitrag melden

      Wo siehst du das?

      Wie kannst du auf der Seite sehen, welche Accounts gehackt wurden? Ich kann diese Info nicht sehen!

    • Puppy Pia am 17.01.2019 17:04 Report Diesen Beitrag melden

      Puppy

      @Peppi: Geht mir auch so..

    • Peppi am 17.01.2019 17:11 Report Diesen Beitrag melden

      @50+ / @Stian Albert

      @50+, ah ok dies ist an mir vorbeigegangen, danke! @ Stian.. dort wo du die Überprüfung machst runterscrollen, dann sieht man welche Seiten, kann auch sein, dass Du nicht betroffen bist :)

    • Andy K. am 17.01.2019 17:56 Report Diesen Beitrag melden

      sehe nichts

      bin scheinbar auch betroffen, wenn ich runter scrolle sehe ich aber keine Webseiten, nur in welchen Paketen meine E-Mail gefunden wurde. Würde mich auch wunder nehmen wo du sehen kannst, welche Dienste/Webseiten betroffen sind.

    einklappen einklappen
  • Marco am 17.01.2019 15:38 Report Diesen Beitrag melden

    Tipp

    Man nehme ein bekanntes Buch und wählt einen Satz aus. "Sie fuhr mit dem Fahrrad zum Strand" Wir nehmen den ersten Buchstaben "SfmdFzS" Das kombinieren wir mit einem Sonderzeichen und einem Tiernamen = "SfmdFzS%Löwe" Denkt euch jedes Jahr ein neues Tier aus und ändert jedes Jahr eure Passwörter. "SfmdFzS%Zebra", "SfmdFzS%Zebra"... Ich nutze 3 verschiedene Sätze mit dem gleichen Tiernamen. Privat, Arbeit, Unwichtig und wechsle das Tier jährlich.

    • ocram am 17.01.2019 15:44 Report Diesen Beitrag melden

      @marco

      meinpasswort ist "gaur", ähnlich wie ruag.. :-/

    • Denker am 17.01.2019 15:49 Report Diesen Beitrag melden

      @Marco

      um bezüglich Passworter tipps zu geben: wichtige Passwörter min 12 Zeichen länge sehr wichtige 15 Zeichen länge oder länger, in ihrem Passwort Tipp fehlen Zahlen somit unsicherer, kleinbuchstaben grossbuchstaben zahlen zeichen, gaze Wörter nie benutzen.

    • High-Five-Fidelity am 17.01.2019 16:00 Report Diesen Beitrag melden

      @marco

      Warum kommt mir, wenn ich deinen Kommentar lese, das Losungswort "Losung" in den Sinn? Ich weiss nämlich, was der Begriff Losung für Jäger bedeutet... :-/

    • Sch. Enkelklopfer am 17.01.2019 16:26 Report Diesen Beitrag melden

      @High Five

      Der bleibt gut..! Bitte um Zugabe.. :-))

    einklappen einklappen
  • Indoor am 17.01.2019 15:28 Report Diesen Beitrag melden

    Brünig-Pass-Wörterbücher

    Erpressbare Faschos aus Obwalden hochgehen lassen, ist ein Kinderspiel.

  • einä us bärn am 17.01.2019 15:13 Report Diesen Beitrag melden

    Gruss aus Bärn

    Super Gau! Das ist echt toll. Adobe hat ein Leck? leck mich doch am A..... ich habe sowieso alle Verträge bei Adobe gekündigt. Nun meine Passwd sind solange, dass es einem schlecht wird wenn der diese eingeben muss. Das einfachste ist, einen Passwd Schlüssel Generator bsp. von MySQL benutzen, dann passwd aufschreiben und verstecken. Aber auch da kann es Pannen geben. Https Seiten können auch abgefangen werden. Weiterhin nicht schlimm. Gruss aus Bärn, Passwörter haben wir gärn.