Collection #1: Troy Hunt entdeckte bei MEGA eine Zusammenstellung von nahezu 22 Millionen E-Mail-Adressen und unverschlüsselten Passwörtern.
Collection #1: Der australische Sicherheitsforscher Troy Hunt entdeckte beim Sharehoster MEGA eine Zusammenstellung von nahezu 22 Millionen E-Mail-Adressen mit den dazu passenden, unverschlüsselten Passwörtern.
Collection #1 mit fast 773 Millionen Zugangsdaten!
Der australische Sicherheitsforscher Troy Hunt entdeckte in einem Untergrund-Forum einen Link zum Sharehoster MEGA. Die „Collection #1“, wie die Cyberkriminellen ihr Sammelwerk getauft haben, beinhaltet 772.904.991 E-Mail-Adressen mit den dazu passenden Passwörtern. MEGA hat das Archiv zwischenzeitlich gelöscht.
Die ganzen erbeuteten Daten stammen von unzähligen Hacks. Die ältesten Zugangsdaten sind aus dem Jahr 2008. Hunt wurde von mehreren Personen kontaktiert, weil sie bemerkt haben, dass ihre Zugangsdaten öffentlich im Netz zirkulieren.
Time to first go fuck yourself (TTFGFY) – 6 hours, 55 mins: https://t.co/GBhEHFrFpX
— Troy Hunt (@troyhunt) 17. Januar 2019
HaveIbeenOwned.com: 82% waren schon Teil des Datensatzes
Der australische Sicherheitsforscher fügte führte einen Abgleich von Collection #1 mit der Datenbank seines Portals HaveIbeenPwned.com durch. Er konnte so immerhin in 18% aller Fällen neue Informationen gewinnen. Das Portal HaveIbeenPwned.com ist eine gute Möglichkeit, online zu prüfen, ob man sein Passwort ganz schnell ändern muss. Sofern Hacker die Zugangsdaten der eigenen E-Mail-Adresse erbeutet haben, wird einem das dort angezeigt. Bei unserem Testlauf war dies immerhin bei einer von drei E-Mail-Adressen der Fall. Wie man sieht, lohnt es sich doppelt und dreifach, bei jedem Anbieter ein eigenes Passwort zu verwenden! Nur weil MEGA das Archiv gelöscht hat, heißt das nicht, dass die Daten auf immer und ewig verschwunden wären.
Troy Hunt schreibt auf seinem Blog, es sei noch immer die beste Lösung, die eigenen Passwörter in einem Buch zu notieren und sie dort in den eigenen vier Wänden dauerhaft aufzubewahren. Das sei allemal besser, als wenn man aus Bequemlichkeit ein und dasselbe Passwort immer wieder benutzt.
Zwei-Faktor-Authentisierung (2FA) als Schutz
Wer ein wenig Aufwand nicht scheut, sollte bei so vielen Diensten wie möglich, eine Zwei-Faktor-Authentisierung (2FA) aktivieren. Dies ist mittlerweile bei vielen E-Mail-Anbietern und anderen Online-Portalen möglich. Selbst wenn ein Cyberkrimineller unser Passwort besitzen sollte, müsste er zusätzlich den Zugriff auf ein weiteres Gerät (wie ein Smartphone) erlangen, um den 2FA-Anmeldevorgang erfolgreich durchzuführen. Das ist zwar rein theoretisch möglich. Die meisten Hacker dürften den damit verbundenen Aufwand aber scheuen. Das würde sich nur lohnen, sofern der Hacker weiß, dass es bei uns viel zu holen gibt.
Keine Lust, dass die eigenen Daten bei Collection #1 & Co. dabei sind? Wir bieten bei uns im Forum ebenfalls die Möglichkeit an, sich mittels 2FA-Verfahren gegen die unerwünschte Übernahme des eigenen Accounts abzusichern. Was kompliziert klingen mag, ist es aber wirklich nicht. Neben der E-Mail bzw. dem Benutzernamen und dem korrekten Passwort, benötigt man für den Login lediglich einen sechsstelligen Code. Diesen kann man sich beispielsweise von einer kostenlosen Smartphone-App wie den FreeOTP Authenticator (für Android, iOS) erstellen lassen.
Zum mehrfachen #Datendiebstahl vom Wochenende, von dem viele von uns betroffen waren: Es ist spätestens jetzt an der Zeit, die Zwei-Faktor-Authentisierung auf allen wichtigen Diensten zu aktivieren. Mindestens. Hier eine Checkliste und weitere Tipps: https://t.co/4bsBBNkUzU pic.twitter.com/yZF9xZ7LnD
— Till Eckert (@dertilly) 8. Januar 2019
Beitragsbild Markus Spiske @ Unsplash, thx! (CC0 1.0)
Tarnkappe.info
