Aktualisiert 17.01.2019 12:20

Historischer HackDatensatz mit Millionen Passwörtern entdeckt

Im Netz ist eine riesige Sammlung von Zugangsdaten aufgetaucht. Auch Schweizer Dienste und Adressen sollen betroffen sein. Das kannst du jetzt tun.

von
tob
1 / 9
Eine Datensammlung von historischem Ausmass: Der IT-Sicherheitsforscher Troy Hunt hat im Internet eine gigantische Sammlung an Zugangsdaten entdeckt. Die «Collection #1» umfasst 773 Millionen E-Mail-Adressen und über 20 Millionen Passwörter.

Eine Datensammlung von historischem Ausmass: Der IT-Sicherheitsforscher Troy Hunt hat im Internet eine gigantische Sammlung an Zugangsdaten entdeckt. Die «Collection #1» umfasst 773 Millionen E-Mail-Adressen und über 20 Millionen Passwörter.

Troy Hunt
Die 87 Gigabyte schwere Datensammlung wurde in Hacker-Foren verlinkt und war öffentlich im Internet zugänglich.

Die 87 Gigabyte schwere Datensammlung wurde in Hacker-Foren verlinkt und war öffentlich im Internet zugänglich.

Die Daten stammen laut Hunt aus über 2000 angeblich kompromittierten Diensten. Auf der Liste, die er veröffentlichte, finden sich auch knapp ein halbes Dutzend Dienste mit .ch-Adresse.

Die Daten stammen laut Hunt aus über 2000 angeblich kompromittierten Diensten. Auf der Liste, die er veröffentlichte, finden sich auch knapp ein halbes Dutzend Dienste mit .ch-Adresse.

Was ist passiert?

Der Sicherheitsforscher Troy Hunt hat im Netz eine gigantische Sammlung von kompromittierten Zugangsdaten entdeckt. Er hat die 87 Gigabyte Daten analysiert. Insgesamt finden sich in der Liste 772'904'991 Mail-Adressen und mehr als 20 Millionen unterschiedliche Passwörter. Laut Hunt lassen sich daraus über eine Milliarde von möglichen Kombinationen ableiten. Die Daten wurden auf den Speicherdienst Mega hochgeladen und in Hacker-Foren verlinkt, erklärt Hunt in einem Blogeintrag. Die Dateien befanden sich in einem Ordner mit dem Namen «Collection #1».

Von wo stammen die Daten

Es sei sehr schwierig zu sagen, wo und wann die Daten abhandengekommen seien, sagt Hunt. In den Hacker-Foren kursiere eine Liste, die ein Hinweis darauf liefern könnte. Die Daten stammen laut Hunt aus über 2000 angeblich kompromittierten Diensten. Auf der Liste, die er veröffentlichte, finden sich auch knapp ein halbes Dutzend Dienste mit .ch-Adresse. Darunter ist der Verband Thurgauer Schulgemeinden, Vtgs.ch oder der Schweizer Lachsproduzent Balik. Hunt betont allerdings nachdrücklich, dass er die Herkunft der Daten nicht verifizieren könne. Die Entstehung der Daten könnten bis ins Jahr 2008 zurückgehen. Auch das ist bisher nicht verifiziert.

Also alles halb so schlimm?

Ganz und gar nicht. Zwar sind keine sensibleren Informationen wie Kredikarten- oder Sozialversicherungsnummern enthalten, doch schon allein wegen ihres enormen Umfangs sei die Sammlung historisch, schreibt die Tech-Website Wired.com. Sie bezeichnet den aktuellen Fall auch als «Lücke aller Lücken». Die Liste ist für Angriffe konzipiert, die Passwörter in der «Collection #1» sind im Klartext gespeichert. «Die einzige technische Fähigkeit, die man haben muss, um in dein Konto einzudringen, ist die Fähigkeit, zu scrollen und zu klicken», schreibt Wired.com.

Bin ich betroffen?

IT-Experte Hunt hat die Datensammlung «Collection #1» so zugänglich gemacht, dass jeder selber prüfen kann, ob er vom Leck betroffen ist. Nutzer können auf Haveibeenpwned.com ihre E-Mail-Adresse eingeben. Die Website prüft, ob die Adresse in der Liste oder in vergangenen Lecks, etwa von Adobe, Dropbox oder Tumblr vorkommt. Falls ja, wäre es Zeit, Passwörter zu ändern. Die gesuchten E-Mail-Adressen werden von der Website niemals gespeichert, erklärt Hunt.

Was kann ich tun?

Deine Passwörter sollen komplex sein und einzigartig. Nutze nie, nie, NIE (!) das gleiche Passwort für mehrere Dienste. Verabschiede dich bitte auch von deinem geliebten Passwort, auf das du zu Zeiten von Myspace.com stolz warst. Noch viel besser: Setze endlich um, was du dir schon länger vorgenommen hast. Kauf dir eine Lizenz für einen Passwortmanager oder nutze Open-Source-Software. Zwei Tage lang wirst du darüber fluchen, dass du jetzt überall neue Passwörter setzen musst, dafür kannst du dem nächsten solchen Mega-Leck mit einem Lächeln begegnen. Du nutzt schon so ein Programm? Bravo! Nutze zudem wo immer möglich die Zwei-Faktor-Authentifizierung. So werden Accounts mit einer PIN zusätzlich geschützt. Diese wird meist per Mail oder SMS verschickt oder mit Apps, etwa dem Google Authenticator, generiert.

Deine Meinung

Fehler gefunden?Jetzt melden.