Über drei Milliarden Accounts gekapert
Im Netz kursiert eine gewaltige Menge an Zugangsdaten aus Raubzügen bei Yahoo, LinkedIn und Co. c't hat die Spur der Daten-Hehler verfolgt und einen Insider interviewt. Zudem liefert das Magazin Tipps, wie man sich vor Account-Missbrauch schützt.
Über drei Milliarden Datensätze mit geklauten Accounts kursieren im Netz, ein Großteil davon ist für jeden durchsuchbar. Die Daten stammen aus kleineren und größeren Einbrüchen, etwa bei Yahoo (500 Millionen Datensätze), eBay (145 Mio.) LinkedIn (177 Mio.) oder YouPorn (1,3 Mio.). Wenn Sie viele Webdienste nutzen, ist Ihr Passwort mit großer Wahrscheinlichkeit schon in den Händen von Kriminellen. Erst nach und nach wird bekannt, welche Dienste überhaupt betroffen sind. In vielen Fällen handeln Daten-Dealer jahrelang mit Zugangsdaten und persönlichen Daten, ehe die betroffenen Nutzer eines Dienstes von dem Zwischenfall erfahren.
Daten zu 2.418.493.950 Accounts für jeden durchsuchbar
Ob man betroffen ist, erfährt man über Seiten wie Haveibeenpwned.com, welche die Daten aus den Leaks indexieren. Bei LeakedSource.com kann man die Datensätze sogar direkt einsehen, wenn man ein paar Dollar in die Hand nimmt. Derzeit sind dort 2.418.493.950 Account-Daten indexiert. Jedermann kann in den Datensätzen nach seiner eigenen – oder einer beliebigen fremden – E-Mail-Adresse, Telefonnummer, IP-Adresse oder seinem Namen suchen. Als Suchergebnis bekommt man in vielen Fällen nicht nur einen Passwort-Hash, sondern auch das dazu passende Klartext-Passwort.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Im Interview mit c't erklärten die anonymen Betreiber, dass sie für die Daten keinen Cent zahlen mussten: entweder waren sie öffentlich zugänglich oder wurden den Betreibern kostenlos zugespielt. Zur Motivation der Lieferanten befragt, sagen die LeakedSource-Macher, dass sie eine Mischung aus Stolz und Neugier vermuten. Stolz, weil die Lieferanten mit ihren Datenschätzen prahlen wollen. Neugier, weil sie über Leakedsource verifizieren wollen, ob die Datensätze überhaupt echt sind.
c't verfolgt in Ausgabe 23/16 die Spur der Daten-Leaks und zeigt, wie Online-Ganoven Kapital aus den Passwörtern, Mail-Adressen und persönlichen Daten von über drei Milliarden Usern schlagen. Weitere Artikel zeigen, wie man sich auf den Fall der Fälle vorbereitet, was man bei einem Identitätsdiebstahl rechtlich unternehmen kann. (rei)
