Digital
Datensatz mit Millionen Passwörtern entdeckt
Im Netz ist eine riesige Sammlung von Zugangsdaten aufgetaucht. Auch heimische Dienste und Adressen sollen betroffen sein. Das können Sie jetzt tun.
Was ist passiert?
Der Sicherheitsforscher Troy Hunt hat im Netz eine gigantische Sammlung von kompromittierten Zugangsdaten entdeckt. Er hat die 87 Gigabyte Daten analysiert. Insgesamt finden sich in der Liste 772.904.991 Mail-Adressen und mehr als 20 Millionen unterschiedliche Passwörter. Laut Hunt lassen sich daraus über eine Milliarde von möglichen Kombinationen ableiten. Die Daten wurden auf den Speicherdienst Mega hochgeladen und in Hacker-Foren verlinkt, erklärt Hunt in einem Blogeintrag. Die Dateien befanden sich in einem Ordner mit dem Namen "Collection #1".
Von wo stammen die Daten
Es sei sehr schwierig zu sagen, wo und wann die Daten abhandengekommen seien, sagt Hunt. In den Hacker-Foren kursiere eine Liste, die ein Hinweis darauf liefern könnte. Die Daten stammen laut Hunt aus über 2.000 angeblich kompromittierten Diensten. Auf der Liste, die er veröffentlichte, finden sich auch Dienste mit .at-Adresse. Hunt betont allerdings nachdrücklich, dass er die Herkunft der Daten nicht verifizieren könne. Die Entstehung der Daten könnten bis ins Jahr 2008 zurückgehen. Auch das ist bisher nicht verifiziert.
Also alles halb so schlimm?
Ganz und gar nicht. Zwar sind keine sensibleren Informationen wie Kredikarten- oder Sozialversicherungsnummern enthalten, doch schon allein wegen ihres enormen Umfangs sei die Sammlung historisch, schreibt die Tech-Website Wired.com. Sie bezeichnet den aktuellen Fall auch als "Lücke aller Lücken". Die Liste ist für Angriffe konzipiert, die Passwörter in der "Collection #1" sind im Klartext gespeichert. "Die einzige technische Fähigkeit, die man haben muss, um in dein Konto einzudringen, ist die Fähigkeit, zu scrollen und zu klicken", schreibt Wired.com.
Bin ich betroffen?
IT-Experte Hunt hat die Datensammlung "Collection #1" so zugänglich gemacht, dass jeder selber prüfen kann, ob er vom Leck betroffen ist. Nutzer können auf Haveibeenpwned.com ihre E-Mail-Adresse eingeben. Die Website prüft, ob die Adresse in der Liste oder in vergangenen Lecks, etwa von Adobe, Dropbox oder Tumblr vorkommt. Falls ja, wäre es Zeit, Passwörter zu ändern. Die gesuchten E-Mail-Adressen werden von der Website niemals gespeichert, erklärt Hunt.
Was kann ich tun?
Ihre Passwörter sollen komplex sein und einzigartig. Nutzen Sie nie, nie, NIE (!) das gleiche Passwort für mehrere Dienste. Verabschieden Sie sich bitte auch von Ihrem geliebten Passwort, auf das Sie zu Zeiten von Myspace.com stolz waren. Noch viel besser: Setzen Sie endlich um, was Sie sich schon länger vorgenommen haben. Kaufen Sie sich eine Lizenz für einen Passwortmanager oder nutzen Sie Open-Source-Software. Zwei Tage lang werden Sie darüber fluchen, dass Sie jetzt überall neue Passwörter setzen müssen, dafür können Sie dem nächsten solchen Mega-Leck mit einem Lächeln begegnen. Sie nutzen schon so ein Programm? Bravo! Nutzen Sie zudem wo immer möglich die Zwei-Faktor-Authentifizierung. So werden Accounts mit einer PIN zusätzlich geschützt. Diese wird meist per Mail oder SMS verschickt oder mit Apps, etwa dem Google Authenticator, generiert. (tob)