hacker, matrix
hacker, matrix
Bildquelle: piqsels

Collection #1: 87 GB illegale Zugangsdaten aufgetaucht

Collection #1: Troy Hunt entdeckte bei MEGA eine Zusammenstellung von nahezu 22 Millionen E-Mail-Adressen und unverschlüsselten Passwörtern.

Collection #1: Der australische Sicherheitsforscher Troy Hunt entdeckte beim Sharehoster MEGA eine Zusammenstellung von nahezu 22 Millionen E-Mail-Adressen mit den dazu passenden, unverschlüsselten Passwörtern.

Collection #1 mit fast 773 Millionen Zugangsdaten!

Der australische Sicherheitsforscher Troy Hunt entdeckte in einem Untergrund-Forum einen Link zum Sharehoster MEGA. Die „Collection #1“, wie die Cyberkriminellen ihr Sammelwerk getauft haben, beinhaltet 772.904.991 E-Mail-Adressen mit den dazu passenden Passwörtern. MEGA hat das Archiv zwischenzeitlich gelöscht.

Die ganzen erbeuteten Daten stammen von unzähligen Hacks. Die ältesten Zugangsdaten sind aus dem Jahr 2008. Hunt wurde von mehreren Personen kontaktiert, weil sie bemerkt haben, dass ihre Zugangsdaten öffentlich im Netz zirkulieren.

HaveIbeenOwned.com: 82% waren schon Teil des Datensatzes

Der australische Sicherheitsforscher fügte führte einen Abgleich von Collection #1 mit der Datenbank seines Portals HaveIbeenPwned.com durch. Er konnte so immerhin in 18% aller Fällen neue Informationen gewinnen. Das Portal HaveIbeenPwned.com ist eine gute Möglichkeit, online zu prüfen, ob man sein Passwort ganz schnell ändern muss. Sofern Hacker die Zugangsdaten der eigenen E-Mail-Adresse erbeutet haben, wird einem das dort angezeigt. Bei unserem Testlauf war dies immerhin bei einer von drei E-Mail-Adressen der Fall. Wie man sieht, lohnt es sich doppelt und dreifach, bei jedem Anbieter ein eigenes Passwort zu verwenden! Nur weil MEGA das Archiv gelöscht hat, heißt das nicht, dass die Daten auf immer und ewig verschwunden wären.

Troy Hunt schreibt auf seinem Blog, es sei noch immer die beste Lösung, die eigenen Passwörter in einem Buch zu notieren und sie dort in den eigenen vier Wänden dauerhaft aufzubewahren. Das sei allemal besser, als wenn man aus Bequemlichkeit ein und dasselbe Passwort immer wieder benutzt.

Zwei-Faktor-Authentisierung (2FA) als Schutz

Wer ein wenig Aufwand nicht scheut, sollte bei so vielen Diensten wie möglich, eine Zwei-Faktor-Authentisierung (2FA) aktivieren. Dies ist mittlerweile bei vielen E-Mail-Anbietern und anderen Online-Portalen möglich. Selbst wenn ein Cyberkrimineller unser Passwort besitzen sollte, müsste er zusätzlich den Zugriff auf ein weiteres Gerät (wie ein Smartphone) erlangen, um den 2FA-Anmeldevorgang erfolgreich durchzuführen. Das ist zwar rein theoretisch möglich. Die meisten Hacker dürften den damit verbundenen Aufwand aber scheuen. Das würde sich nur lohnen, sofern der Hacker weiß, dass es bei uns viel zu holen gibt.

Keine Lust, dass die eigenen Daten bei Collection #1 & Co. dabei sind? Wir bieten bei uns im Forum ebenfalls die Möglichkeit an, sich mittels 2FA-Verfahren gegen die unerwünschte Übernahme des eigenen Accounts abzusichern. Was kompliziert klingen mag, ist es aber wirklich nicht. Neben der E-Mail bzw. dem Benutzernamen und dem korrekten Passwort, benötigt man für den Login lediglich einen sechsstelligen Code. Diesen kann man sich beispielsweise von einer kostenlosen Smartphone-App wie den FreeOTP Authenticator (für Android, iOS) erstellen lassen.

Beitragsbild Markus Spiske @ Unsplash, thx! (CC0 1.0)

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.