Skip to content

Über eine Million E-Mail Adressen betroffen: Zugangsdaten-Pool kursiert frei im Internet

Geschrieben von Florian Schimanke am

Der eine oder andere wird es vermutlich bereits auf anderen (Boulevard-)Medien mitbekommen haben, es gibt erneut ein größeres Datenleck. Nachdem Anfang des Jahres bereits eine ganze Reihe von Politikern und Prominenten Opfer eines Datenlecks wurden und ihre teils persönlichen Informationen frei im Internet zugänglich waren, kursiert aktuell eine Datenbank mit über 1.1 Millionen eindeutigen Kombinationen aus E-Mail-Adressen und Passwörten im Netz. Aufmerksam gemacht hat auf diesen Pool der Sicherheitsforscher und Microsoft Regional Director Troy Hunt auf seinem Blog, wo er berichtet, dass es sich bei den Daten offenbar um eine Zusammenstellung verschiedener Phishing- und Hacking-Angriffe der vergangenen Jahre handelt. Zusammengefasst in einer Datenbank stellen diese Informationen natürlich eine extrem wertvolle Quelle für potenzielle Angreifer dar.

Der Leak ist ein weiteres sehr gutes Beispiel dafür, dass man in der heutigen Zeit schlecht beraten ist, auf verschiedenen Diensten dieselbe Kombination aus E-Mail Adresse und Passwort zu verwenden. Allzu einfach ist es für Angreifer mit den Informationen aus der angesprochenen Datenbank, auf diese Dienste zuzugreifen. Aus diesem Grunde kann ich jedem nur dazu raten, entweder seine Passwörter regelmäßig zu ändern oder einen Passwort-Manager wie 1Password zu verwenden. Auch die Wichtigkeit der Aktivierung einer Zwei-Faktor-Authentifizierung (wenn möglich) kann nicht stark genug betont werden.

Der oben angesprochene Troy Hunt betreibt übrigens auch die Webseite Have I been Pwned?, auf der man seine E-Mail Adresse eingeben kann und automatisch geprüft wird, ob sich diese gemeinsam mit einem zugehörigen Passwort in der Datenbank befindet. Sollte dem so sein, gilt es möglichst schnell, seine Passwörter zu ändern. Und zwar überall, wo man diese E-Mail Adresse als Anmeldenamen verwendet. Wie gesagt, am besten überall auf einen unterschiedlichen Wert.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Uferno am :

Gerade gecheckt. Alles ok. \ud83d\ude4f
Thx 4 Info, Flo

Olli am :

Hmmm, einer meiner Emailadressen war dabei. Antwort:
Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
Passwort habe ich geändert. Bisher war auch nichts passiert. Muss ich mir Sorgen machen, kann jetzt noch was passieren?

Anonym am :

(Kommentar entfernt)

PausW am :

Man muss f\374r 1Password nix zahlen. Die wichtigsten Funktionen gibts ohne pro.

Aber hast schon recht. So ne kleine unbekannte App ist bestimmt viel sicherer als einer der Pioniere auf dem Markt....

Quax am :

Er sagt ja nicht, dass 1Password unsicher ist, sondern dass man es, Pionier hin oder her, eben nicht sicher wissen kann.
Egal wie klein und unbekannt KeePassX nun auch immer ist, dank \u201eopen source\u201c ist sichergestellt, dass die App frei von Hintert\374ren ist.

stoffL am :

Warum nicht Apple keychain?

appleuser am :

Ich hab keine Ahnung ob das nur bei mir so ist, aber ich habe auf meinem iPhone keine Option, zuf\344llige Passw\366rter mit Keychain f\374r Internetdienste generieren zu lassen... Das geht jedoch mit 1Password

Sybi am :

Meine Hauptadresse hat nen Treffer...was mach ich denn jetzt...kann ich das PW \344ndern oder liest das dann eh jmd mit???? \ud83d\ude31\ud83d\ude31\ud83d\ude31\ud83d\ude31

Fitch am :

\304nder dein Passwort und gut ist.

Anonym am :

Das geht auch mit iOS Schl\374sselbund.

Fitch am :

Ich nutze den Schl\374sselbund seit Jahren ger\344te\374bergreifend (iPhone, MacBook, iPad) und bin absolut zufrieden. Mittlerweile schl\344gt das iPhone auch starke Passw\366rter vor. Nat\374rlich muss man hier auf die Sicherheit in Apples \326kosystem vertrauen. Aber das ist letztendlich bei jedem Anbieter von Passwortmanagern der Fall.

H12p12 am :

Hm, ich nutze meine E-Mail f\374r mehrere Dienste, hab aber je Dienst ein anderes Passwort,

Woher soll ich jetz wissen, welches Passwort zu \344ndern ist ? Steht ja (zum Gl\374ck) nicht mit dabei ...

Da br\344uchte es je Dienst eigentlich eher eine gesonderte E-Mail .... mit gleichen oder unterschiedlichen Passw\366rtern \ud83d\ude2c

Quax am :

Hab es so verstanden. dass nicht die Passw\366rter der Dienste, sondern nur die Passw\366rter der eigentlichen Mailadresse betroffen sind.

Anonym am :

Scrollt etwas runter, da steht sehr wohl der Name des Accounts, z.B. Adobe

H12p12 am :

Collection #1 ist ein Sammelsurium an Domains... aber:

Es gibt eine Unterseite, hier kann man checken ob das Passwort auf der Liste steht \ud83d\ude0a Wunderbar \ud83d\udc4d\ud83c\udffb

https://haveibeenpwned.com/Passwords

Stefan R. am :

Ähm, 1,1 MILLIARDEN, nicht Millionen.

Wirr am :

\334ber 1,1 Millionen k\366nnen ja Milliarden sein :-)

Sash am :

Aber bei mir ist zB meine @me.com Adresse betroffen, meine identische @icloud.com nicht?!
Die @me.com Adresse geh\366rt ja zu meinem Apple Account, der widerrum nur \374ber meine @gmx.de Adresse funktioniert?!
Was soll ich nun \344ndern?

Macht ja garkeinen Sinn irgendwie...

Fl0r am :

F\374r Facebook zb ist es schon ein Unterschied ob du Max.Mustermann@icloud.com Plus Passwort oder Max.Mustermann@me.com Plus Passwort nutzt.

Um diese Kombinationen geht es.

Andrer am :

Das Problem ist eigentlich ein ganz anderes

Durch den Diebstahl w\374rden keine (!) verschl\374sselten Passw\366rter gestohlen, sondern die Hashes zu einem Passwort
Das ist ein Riesenunterschied
Die hash generierung ist nicht umkehrbar, somit kann aus dem hash niemals das Passwort geholt werden
Aber ... jetzt kommt der Trick - da der Algorithmus zu Erzeugung des hashes bekannt ist, kann man einfach so lange hashes erzeugen, bis man alle m\366glichen hat - die sog Rainbow tables
Da n\344mlich das Passwort \u201eqqvgzut990.,,Hpz\u201c , was sicherlich als super sicher angesehen wird vielleicht den gleichen hash value wie \u201eabc123\u201c erzeugt - nur ein Beispiel

Was eigentlich die Sicherheit erh\366ht

- Benutzername nicht \374berall gleich (speziell die E-Mail-Adresse ist suboptimal)
- nicht immer das gleiche passwort nutzen

2fa ist auch gut, aber erh\366ht die Aufw\344nde

Apples fingerabdrucksvanner ist auch gut

Lothar am :

Der Leak hilft eigentlich nur Firmen wie 1password neue Kunden zu generieren. ^^

Fl0r am :

Es wird auch auf haveibeenpwned und gef\374hlt jedem Artikel zum Thema f\374r 1Password geworben.

Man k\366nnte an Guerillawerbung denken... ;-D

Thho am :

Mal wieder Yahoo sonst sind alle OK

Bernd das B. am :

Freenet und Arcor betroffen \ud83e\udd26\ud83c\udffb\u200d\u2642\ufe0f

Peter am :

Dropbox ebenfalls gehackt ... Snowden hatte davor gewarnt

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen