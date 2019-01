Riesiges Leak im Netz aufgetaucht: Millionen Passwörter geklaut Es könnte einer der grössten Datenklau-Fälle überhaupt sein – ein australischer IT-Sicherheitsforscher schlug Alarm. Livio Brandenberg

Viele Nutzer brauchen für verschiedene Webdienste dieselben Kombinationen. (Bild. Screenshot)

Wie verschiedene Medien berichten, zirkuliert eine riesige Sammlung von Zugangsdaten zu Onlinediensten in Un­tergrundforen. Ein australischer Sicherheitsforscher hatte das Paket auf einer Cloud-Seite zum Herunterladen entdeckt, die Sammlung mit dem Namen «Collection #1» umfasst insgesamt 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter. Die Daten scheinen «aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen» zusammengetragen worden zu sein, heisst es, alle Passwörter lägen im Klartext vor. Laut Experten dürfte es sich um einen der grössten Datensätze dieser Art – wenn nicht das grösste Leak je – handeln.

Laut dem australischen Forscher seien die Daten so strukturiert, dass sie vor allem für «Credential Stuffing» gebraucht werden können. Bei dieser Art von Angriff auf eine Website versucht der Angreifer nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer grossen Liste. Die Listen, die in dem nun gefundenen Datenleck enthalten sind, stellen rund 2,7 Milliarden solcher Kombinationen zur Verfügung. Hacker könnten sie also nutzen, um massenweise Konten bei Webdiensten zu übernehmen. Dieses Vorgehen hat oft Erfolg, da sehr viele Nutzer dieselben Kombinationen von Mail-Adressen und Passwörtern bei vielen Diensten verwenden.

Website checkt, wer betroffen ist

Wer wissen will, ob seine, oder eine seiner Mail-Adressen, mit dazugehörigem Passwort in der Datensammlung vorkommt, kann auf der Website haveibeenpwned.com prüfen, ob er von dem aktuellen Leak – oder auch älteren – betroffen sind. Dazu müssen die Nutzer eine E-Mail-Adresse in das Suchfeld eingeben, die sie für Log-ins verwenden. Die Website prüft dann, ob die E-Mail-Adresse in einem der Leaks aus den vergangenen Jahren aufgetaucht respektive enthalten ist. Sie zeigt nur an, in welchem Leak diese E-Mail-Adresse auftauchte, nicht jedoch, welches Passwort benutzt wurde.