70 Millionen Zugangsdaten wurden in einem großen Passwort-Dump veröffentlicht

Ein Sicherheitsexperte hat eines der größten Passwort-Dumps aller Zeiten aufgedeckt. Über 70 Millionen Zugangsdaten sind im Dark Web aufgetaucht.

Die Nachricht kam ans Licht, als Troy Hunt, der Inhaber des beliebten Benachrichtigungsdienstes Have I Been Pwned, in seinem Blog über das massive Datenleck schrieb. Die Benutzernamen und Kennwörter wurden in einer Liste mit Anmeldeinformationen veröffentlicht, die als Naz.API-Liste bezeichnet wird.

Hunt berichtet, dass ein bekanntes Technologieunternehmen ihn auf die Liste aufmerksam gemacht hatte, als jemand dem Unternehmen eine auf der Liste basierende Bug-Bounty-Anmeldung geschickt hatte. Nach der Analyse der Liste, die seit etwa 4 Monaten in einem Hackerforum kursiert, fand der Forscher Folgendes heraus.

Der Verstoß bestand aus 319 Dateien mit einer Gesamtgröße von 104 GB, die 70.840.771 eindeutige E-Mail-Adressen (etwa 71 Millionen) enthielten. 427.308 einzelne Have I Been Pwned (HIBP)-Abonnenten waren von dem Leck betroffen. Hunt verwendete einen 1K-Stichprobentest und kam zu dem Schluss, dass 65 % der Adressen bereits in HIBP enthalten waren. Viele dieser Konten werden für beliebte Webdienste wie Facebook, eBay, Roblox, Yahoo, Coinbase, Yammer usw. verwendet. Die Zahl 65 % ist hier von entscheidender Bedeutung, da sie zeigt, dass die anderen 35 % oder ein Drittel der Zugangsdaten in der geleakten Liste noch nie zuvor gesehen wurden.

Hunts Artikel, der von Ars Technica entdeckt wurde, geht ausführlich auf das Leck bei den Zugangsdaten ein. Die Liste der Zugangsdaten auf der Hacker-Webseite listet mehrere Benutzernamen zusammen mit ihren Passwörtern und der Webseite, zu der sie gehören, auf, was darauf hindeutet, dass die Zugangsdaten mithilfe von Passwort-Stealern und ähnlicher Malware beschafft wurden.

Um zu überprüfen, ob die durchgesickerten Anmeldedaten echt sind, hat Hunt einige HIBP-Abonnenten gebeten, die Richtigkeit ihrer Daten zu überprüfen. Einige von ihnen berichteten, dass die geleakten Benutzernamen und Passwörter echt sind und im Jahr 2020 oder 2021 verwendet wurden.

Hunt's eigene E-Mail-Adresse wurde mit einem Passwort geleakt, das seit einem Jahrzehnt nicht mehr verwendet worden war, und es gab keine Webseite, die darauf hindeutete, dass es durch Malware gestohlen worden war.

Wie können Sie überprüfen, ob Ihre E-Mail-Adresse und Ihr Passwort online geleakt wurden?

Have I Been Pwned bietet eine Option, die Sie benachrichtigt, wenn Ihre E-Mail-Adresse geleakt wurde. Sie müssen lediglich Ihre E-Mail-Adresse eingeben und den Dienst den Rest erledigen lassen. Alternativ können Sie Firefox Monitor ausprobieren, der das Gleiche tut, aber k-Anonymität verwendet, um Ihre E-Mails zu schützen, indem die Daten gehasht werden, bevor sie an HIBP weitergeleitet werden. Firefox Monitor nutzt HIBP als Quelle, um Datenverletzungen und -lecks im Auge zu behalten und um zu überwachen, ob Ihre E-Mail-Adresse bei einer bekannten Datenverletzung aufgetaucht ist. Sollte die der Fall sein, werden Sie darüber informiert.

Wenn Ihre E-Mail-Adresse öffentlich bekannt wird, bedeutet das nicht, dass Sie sie nicht mehr verwenden dürfen. Sie müssen lediglich das Passwort des Kontos zurücksetzen und es durch die Aktivierung der Zwei-Faktor-Authentifizierung schützen. Verlassen Sie sich nicht auf SMS-basierte Codes, da diese anfällig für Hacks sind. Verwenden Sie stattdessen eine Authentifizierungs-App oder einen physischen Sicherheitsschlüssel und nutzen Sie diese, um TOTP-Codes für Ihre Konten zu erhalten.

Verwenden Sie einen Passwort-Manager wie KeePass, um starke, einzigartige Passwörter für Ihre Konten zu erstellen.