Über 300.000 GMX-Accounts kompromittiert

Das Ausmaß des am Mittwoch bekannt gewordenen Cyber-Angriffs auf GMX-Kunden ist immens: wie das Unternehmen gegenüber heise Security erklärte, konnten sich die Spam-Versender in die Accounts von über 300.000 Kunden einloggen. GMX geht inzwischen davon aus, dass die Angreifer im Besitz einer umfangreichen Liste mit Mailadressen und den dazugehörigen Passwörtern sind. Die ursprüngliche Vermutung, dass die Accounts durch Brute-Force-Angriffe geknackt wurden, habe sich nicht bestätigt.

Der zu United Internet gehörende Mailprovider nimmt an, dass die Daten nicht von den eigenen Servern stammen, sondern anderswo entwendet wurden. Woher die Liste stammt, ist bislang noch nicht geklärt. Laut GMX hat es zu den 300.000 erfolgreichen Logins noch mal etwa doppelt so viele Versuche mit falschen Passwörtern gegeben. Das deute darauf hin, dass dass die Angreifer die Zugangsdaten anderswo erbeutet haben und nun durchprobieren, wer das Passwort auch beim GMX nutzt.

Nach Angaben von GMX wurde die Liste in alphabetischer Reihenfolge über das Webmail-Interface für Smartphones durchprobiert. Es wurden nur Logins mit E-Mail-Adressen probiert, die tatsächlich von GMX stammen. Dabei seien die Spammer jedoch nicht mal bis zu "Z" vorgedrungen, was bedeutet, dass sie vermutlich noch weitere gültige Zugangsdaten besitzen.

300.000 kompromittierte Accounts und die doppelte Anzahl Fehlschläge lassen auf rund eine Million betroffene GMX-User schließen. Bei einem geschätzten Marktanteil von 20 Prozent, wie wir ihn bei den Heise-Registrierungen sehen, könnte die Passwort-Liste rund 5 Millionen deutsche Anwender umfassen. Damit käme eigentlich nur noch ein Einbruch bei einem der wirklich großen Dienste wie Facebook, eBay, Google oder Amazon in Frage – vorausgesetzt, es steckt wie von GMX vermutet tatsächlich eine Website mit einer großen Nutzerbasis und nicht etwa ein Passwort-Trojaner oder gar ein Einbruch in die GMX-Systeme dahinter. Keiner dieser großen Anbieter hat jedoch in letzter Zeit einen derartigen Einbruch gemeldet

Der Mailprovider hat nach eigenen Angaben die Accounts der betroffenen Nutzer inzwischen gesperrt. Wenn der eigene Account zum Versand von Spam missbraucht wurde, wird man nach dem Login in die Weboberfläche dazu aufgefordert, ein neues Passwort festzulegen. Da die unbekannten Täter vermutlich noch nicht ihre gesamtes Pulver verschossen haben, sollte auch alle anderen Nutzer in Erwägung ziehen, ihre Passwörter zu ändern – insbesondere dann, wenn man das GMX-Passwort bisher auch bei anderen Webdiensten nutzt.

Ein sicheres Passwort hat mindestens acht Zeichen, enthält Ziffern und Buchstaben und ist nicht von einem realen Wort abgeleitet. Dabei gilt: Je länger, desto schwerer zu knacken. Man könnte sich zum Beispiel einen Merksatz aussuchen und die Anfangsbuchstaben der einzelnen Wörter zu einem Passwort kombinieren.

Update vom 12.07.2012, 19:50: GMX hat die Zahl der kompromittierten Accounts, die das Unternehmen gegenüber heise Security zuvor mehrfach bestätigt hatte, nach Erscheinen dieser Tickermeldung stark nach unten korrigiert. Demnach wurden lediglich 3000 GMX-Accounts gehackt und gesperrt. (rei)