773 Millionen E-Mail-Adressen und Passwörter öffentlich gemacht
Daten-Leaks sind heute leider nichts Neues mehr, aber die schiere Anzahl, der nun aufgetauchten Email-Adressen und Passwörter übertrifft alles bisher gesehene. Ein neue Sammlung an wohl größtenteils alten Daten ist aufgetaucht, die in einem Hackerforum gepostet wurde, und sie bricht alle Rekorde. Bekannt als Collection #1, enthält sie erstaunliche 772.904.991 einzigartige E-Mail-Adressen und über 21 Millionen einzigartige Passwörter, im Klartext für alle sichtbar.
Die gehackten Daten wurden erstmals vom Sicherheitsforscher Troy Hunt ans Licht gebracht. Hunt betreibt die beliebte Webseite Have I Been Pwned, auf der Ihr überprüfen könnt, ob Eure eigene E-Mail-Adresse oder sogar Euer Passwort bei einem Daten-Leak aufgetaucht ist. Die Chancen, dass es auch Euch erwischt hat, stehen nach all den Leaks in den letzten Jahr ziemlich hoch.
Laut Hunt ist Collection #1 die größte Sammlung an gehackten Informationen. Allerdings muss dazu gesagt sein, dass es sich eher um eine Zusammenstellung von vielen verschiedenen Datenbanken handelt, sozusagen eine Art Masterliste. Die Leaks selber sind bis zu 4 Jahre alt. Unter den fast 773 Millionen Daten sind schon die doppelten Einträge herausgezählt, die Hunt allesamt gelöscht hat, bevor er die Daten in die Datenbank für seine Webseite hochgeladen hat.
Die ursprüngliche Datenerhebung hatte erstaunliche 2,7 Milliarden Reihen an E-Mail-Adressen und Passwörtern, darunter über eine Milliarde einzigartige Kombinationen von E-Mail-Adressen und Passwörtern. Bedenkt man nun, dass die Daten in einem Hackerforum verbreitet und auf der File-Sharing-Site MEGA hochgeladen worden sind, ist von eventuellen Missbräuchen natürlich auszugehen.
Wofür werden meine Daten verwendet?
Eine Masterliste wie diese wird allen voran bei "Credential Stuffing"-Angriffen zum Einsatz gebracht, bei denen Hacker einen automatisierten Prozess ausführen, der E-Mail- und Passwortkombinationen bei einem Online-Dienst ausprobieren, bis eine passt. Wenn Ihr das gleiche Passwort für verschiedene Internetdienste verwendet, ist das Risiko natürlich erheblich größer, dass sich jemand letztlich mit Euren Daten bei einem Dienst einloggen kann.
Und was jetzt?
Als erstes sollte Ihr die genannte Webseite Have I Been Pwned besuchen und überprüfen, ob Eure Daten auch in dem Leak auftauchen. Die Webseite zeigt Euch direkt an, ob und bei welchem Leak Eure Daten betroffen waren. In diesem Fall sollte Ihr entsprechend Eure Passwörter ändern. Empfehlenswert ist immer ein Passwort Manager, der sowohl Eure Passwörter sicher abspeichert, und Euch auch bei der Wahl eines neuen Passworts mit einem Generator unterstützt. Wir möchten Euch an dieser Stelle Dashlane empfehlen, es gibt aber auch weitere sehr gute Dienste wie z.B. 1Password, die mit Have I Been Pwned zusammenarbeiten, und nicht zuletzte LastPass.
${app-com.dashlane}${app-com.agilebits.onepassword}Quelle: Troy Hunt
Ich habe noch nichts über Dashlane gehört. Benutzt es schon jemand? Ist es besser als LastPass?
Die genannte Seite "Have I been prwnd" ist nicht wirklich gut, da sie keine weitern Angaben OHNE Registrierung macht. Besser ist folgende Webseite:
monitor.firefox.com
Hier muss man sich nicht registrieren um zu erfahren, wann z.B. die Mailadresse gehackt wurde.
Was meinst du mit "keine weitern Angaben"? Meine E-Mail Adressen kann ich ohne Registrierung prüfen lassen.
Ganz einfach, probiere meinen Link aus, dann siehst du den Unterschied....
Eine Credential Stuffing Angriff. Ick dachte immer den Angriff auf einen Account mit einer Liste nennt man Brute Force Attacke.
warum sollte ich dort meine E-Mail Adressen überprüfen lassen. ist bestimmt schlimmer als gehackt zu werden.
schon merkwürdig , mein Google Account ist safe (Nutz den aber auch nur mit Android) , bei Web.de...tiefschwarz, Nunja..ist auch ~30Jahre alt
Ich vermute mal, die Web.de-Adresse hast Du auf diversen Sites als Login genutzt und mindestens einer davon wurde gehackt. Vielleicht war die Adresse aber auch irgendwo öffentlich ersichtlich. Spam-Versendern reicht das Wissen, dass es eine E-Mail-Adresse gibt.
Super Bericht.Alles okay.
Und nun soll ich auch bei Androidpit mein Profil löschen und mir ein neues zulegen? Kennt ja nun jeder die Zugangsdaten.....
Mir aber Rille. Der Aufwand zu groß. Das hieße neue E-Mail, Telefonnummer, neue Bankdaten, allen Geschäftspartnern und allen mit denen ich zu tun habe müsste ich bescheid geben🙄.... was bringt das? In einem Moment später schlagen die Hacker wieder zu. Also hilft nur eins: Gesunden Menschenverstand einschalten und aufpassen ob sich in nächster Zeit was verändert. Wer kein Online-Banking macht dürfte zumindest beim Konto etwas weniger zu befürchten haben außer Versandhändler wurden auch gehackt.
APit hat deine Telefonnummer und deine Bankdaten? Alle kennen deine APit-Zugangsdaten? Bei einem Passwortklau würdest du dir eine neue E-Mail Adresse, ein neues Bankkonto und eine neue Telefonnummer besorgen? Weil es dir bisher nicht gelungen ist, deine Passwörter zu schützen, wird dir das auch in Zukunft nicht gelingen?
Junge, Junge, du hast echt verstanden, wie das mit dem Zugangsschutz funktioniert :-(
Wer deine E-Mail hat und deine Passwörter hat auch Zugang zu allen was du im Internet machst. Die meisten haben nur eine E-Mail für alles. Soziale Netzwerke, Shopping und so weiter...
Ja, sie finden es ziemlich praktisch und können es selber einfacher merken als 10000 neue Passwörter. Aber das ist aus gefährlich.
E-Mail Adresse eingeben und überprüfen lassen...
Ein Schelm wer Böses dabei denkt 😉
Na, die über 700 Millionen Email-Adressen hat er ja schon so oder so 🤣
Und so bekommt er noch mehr 😉
Prinzipiell hast Du recht, aber die Seite ist vertrauenswürdig. Da versteckt sich niemand und Troy Hunt ist bekannt.
Alles im grünen Bereich 🤗 (bisher, muss man wohl sagen).
Danke für den Artikel.
Was hilft nun dagegen ?
Monatliche Patches sind wirkungslos und sonst so ? 🤔🙄
Software einsetzen ,die wiederum neue Lücken auftun könnten für Schadware ,oder die anfällig und verbugt sind ?
Eigentlich sollten es die Hersteller selbst in den Griff bekommen ,ihre Programme dicht zu machen ,das kein Dritter an meine Daten und auch nicht an sensiblen Daten eines jeden anderen herankommen.
Aber klar ist auch und das sollte jedem einleuchten ,Daten sind heutzutage kein heiliges Gut mehr ,da es sich prima verkaufen lässt und man damit Geld machen kann .
Zum Thema fällt mir ganz spontan die Aussage von dem einen oder anderen hier ein:
"Datenschutz? Ich hab doch nichts zu verbergen, ihr Aluhut-Träger!"
Echt nicht?
Da gebe ich dir an sich ja Recht, allerdings gibt es schon einen Unterschied zwischen bekannter Datensammelei und Hacks, die Email-Adressen und Passwörter freilegen. Letzteres kennen zumindest die Anbieter an sich ja sowieso.