Passwort-Hack: Bist du von der „Collection #1“ betroffen?
Ob und welche deiner Daten im Netz veröffentlcht worden sind, kannst du online abfragen. Die Hoax- und Sicherheitsexperten von Mimikama empfehlen den Online-Sicherheitschek des deutschen Hasso-Plattner-Instituts. Das Tool schickt dir ein Mail mit allen Details, die zu deiner Mailadresse bekannt sind.
Software-Patch
Das ist die „Collection#1“
Der 87 Gigabyte große Datensatz bündele Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“, schrieb der australische IT-Sicherheitsexperte Troy Hunt in der Nacht zum Donnerstag in einem Blogeintrag. Betroffen sind Internetnutzer weltweit. In der „Collection #1“ sind auch österreichische E-Mail-Adressen mit .at-Endung enthalten. Hunt nennt die Sammlung „Collection #1“, weil so der Stammordner heißt, auf den er vergangene Woche beim Datenspeicherdienst „Mega“ gestoßen ist. Der in der Szene sehr geschätzte Security-Experte erklärte weiter, es handle sich um den größten einzelnen Datensatz dieser Art, mit dem er bisher zu tun gehabt habe.
Zahlenmäßig etwas größer wären theoretisch die beiden 2016 bekannt gewordenen Yahoo-Leaks, von denen eine beziehungsweise drei Milliarden Datensätze betroffen waren, wie die „Süddeutsche Zeitung“ berichtete. Doch diese beiden heiklen Datensätze sind bisher im öffentlich einsehbaren Teil des Netzes nicht aufgetaucht.
Oliver Berg / dpa / picturedesk.com
Die „Collection #1“ stuft Hunt als „unverifiziert“ ein, weil eine zweifelsfreie Überprüfung der Legitimität nicht möglich sei. In der Vergangenheit waren auch immer wieder Fake-Datensätze aufgetaucht. Schon 2016 kursierten Millionen von Nutzerdaten aus alten Angriffen auf Netzwerke wie MySpace, Tumblr und LinkedIn. Wie „frisch“ die Log-In-Informationen der „Collection #1“ sind, ist ebenfalls schwer zu sagen. Die Daten basieren auf Diebstählen in einem Zeitraum von mehreren Jahren. „Es gibt auch eine Datei, die auf 2008 hinweist“, so Hunt.
Laut Hunt können die Datensätze besonders für das sogenannte „Credential Stuffing“ missbraucht werden. Bei dieser Methode nutzen die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten - beispielsweise bei Soziale Netzwerken oder Shopping-Plattformen einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab.
In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren - teils auch bei österreichischen Firmen, wie ein Verzeichnis nahelegt, das ebenfalls aufgetaucht ist und insgesamt mehr als 2.000 angebliche Datendiebstähle auflistet, aus denen sich die „Collection #1“ zusammensetzen soll. Die Passwörter waren dabei aber größtenteils verschlüsselt.
„Ö3-Drivetimeshow“ mit Philipp Hansa und Olivia Peter, 18. Jänner 2019 (APA/dpa/WJLED)
