„Credential Stuffing“: Sicherheitsproblem Bequemlichkeit
Um einen Account bei einem Online-Dienst zu übernehmen, muss ein Angreifer keine Schutzmechanismen aushebeln. Oft genügen anderswo erbeutete Zugangsdaten.
(Bild: dpa, Monika Skolimowska/Illustration)
Im April meldeten Nintendo-Nutzer aus der ganzen Welt verdächtige Zugriffe auf ihre Accounts. Nintendo untersuchte den Fall und stellte fest, dass seine Systeme nicht kompromittiert waren. Vielmehr handele es sich um einen Fall von Credential Stuffing.
Diese Angriffsmethode steckte offenbar auch hinter einem Datensatz mit gestohlenen Zoom-Accounts, der ebenfalls im April im Darknet kursierte. Die IT-Sicherheitsfirma Cyble hatte die Sammlung mit mehr als 530.000 Zugangsdaten à 0,0020 US-Cent gekauft.
Massenhaftes Rumprobieren
Credential Stuffing greift die technische Infrastruktur eines Dienstes nicht an. Die Angreifer versuchen gar nicht erst, Sicherheitslücken in den Anmeldeskripten, Firewalls oder anderen technischen Systemen aufzuspüren und auszunutzen.
Vielmehr setzen sie auf eine sehr menschliche Schwäche der Anwender. Angesichts oft dutzender genutzter Online-Dienste machen es sich viele nämlich einfach und benutzen nicht für jeden Dienst individuelle Zugangsdaten. Stattdessen melden sie sich bei mehreren Diensten mit derselben Kombination aus Benutzername und Passwort an. Als Benutzername fungiert oft die E-Mail-Adresse.
Dieselben Zugangsdaten bei mehreren Diensten einzusetzen, geht aber nur so lange gut, wie keiner der Dienste einer Attacke zum Opfer fällt. Sobald es einem Angreifer gelingt, bei einem Dienst gewissermaßen die Schlüssel zu erbeuten, kann er sie auch bei anderen Diensten ausprobieren. Dass Nutzer Zugangsdaten mehrfach verwenden und dass Angreifer das ausnutzen, ist alles andere als neu. Etliche in letzter Zeit bekannt gewordene Fälle scheinen aber darauf hinzudeuten, dass Credential Stuffing als Angriffsmaßnahme derzeit besonders beliebt ist.
Man muss sich die Angreiferszene als sehr ausdifferenziertes, arbeitsteiliges Geschäftsfeld vorstellen: Da gibt es Hacker, die sich darauf spezialisiert haben, die Sicherheitsinfrastruktur bestimmter Dienste auszuhebeln und Zugangsdaten zu erbeuten. Diese verkaufen die Daten dann an andere Akteure, die dann etwa versuchen, aus den Accounts persönliche Informationen wie Kreditkartennummern zu stehlen oder Zugriff auf Streaming-Accounts bei Netflix, Spotify oder anderen Diensten zu erlangen, die sich für ein paar Dollar weiter verkaufen lassen.
Brisanter Zufallsfund
Ein Zufallsfund ermöglicht einen Blick darauf, wie die zweite Kategorie Angreifer vorgeht. Ein Leser hat die c’t auf einen offen zugänglichen Webserver aufmerksam gemacht, auf dem mehrere Dateien mit Zugangsdaten der Online-Handelsplattform Kleiderkreisel im Klartext lagen. c’t hat die Dateien heruntergeladen und analysiert.
Noch während unserer Recherche wurde der Server, dessen IP-Adresse bei einem französischen Provider registriert ist, abgeschaltet und war nicht mehr erreichbar. Wir wissen nicht, wie lange das Problem bestand und ob Dritte auf die Dateien zugreifen konnten.
Die Sammlung enthält ein Verzeichnis mit einer knappen Million Zugangsdaten deutscher Accounts. Die Struktur der Dateien deutet darauf hin, dass sie jemand aus verschiedenen Quellen aufbereitet hat: Zu manchen E-Mail-Adressen sind mehrere Passwörter verzeichnet, zudem gibt es mehrere Listen mit Zugangsdaten, die sich teilweise überlappen.
Neben den nackten Accountdaten fanden sich in einem Verzeichnis ausführlichere Datensätze mit einem Datumsfeld namens last_msg_date. Demzufolge scheinen einige Daten recht aktuell zu sein, die Zeitstempel reichen bis in den Februar.
Erfolgreicher Einbruch
Zwei Dateien mit insgesamt 193 Datensätzen enthalten außerdem ein Feld credit_cards, das offenbar den Ablaufmonat der Kreditkarte enthält – mehr nicht. Der Angreifer scheint also nicht nur Zugangsdaten gehortet, sondern in die Accounts eingedrungen zu sein. Neben den deutschen Zugangsdaten gibt es ein Verzeichnis mit 38 Millionen Zugangsdaten französischer Nutzer. Zeitstempel und Kreditkartendaten finden sich dort nicht.
Wir haben das Mutterunternehmen von Kleiderkreisel, vinted.com, auf das Problem hingewiesen, ihm die Daten zur Verfügung gestellt und eine Reihe von Fragen dazu gestellt. Das Unternehmen hat innerhalb eines Tages ausführlich geantwortet.
Vinted konnte demzufolge die IP-Adresse des von unserem Leser aufgefundenen Servers einem Spammer und Dictionary Attacker zuordnen. Kleiderkreisel/Vinted und deren Kunden waren nach eigenen Angaben „in den letzten fünf Monaten des Jahres 2019“ einem Credential-Stuffing-Angriff ausgesetzt. Angreifer hätten ein Botnet genutzt, um zu versuchen, in Accounts der Plattform einzudringen. Das sei in 2843 Fällen gelungen. Man habe die Accounts gesperrt und die Kunden informiert.
Vinted beteuert, dass niemand deren Infrastruktur kompromittiert habe. Dafür sprechen auch die gefundenen Daten. So ergab der stichprobenartige Abgleich mit Accounts aus der c’t-Redaktion, dass der Datensatz nicht vollständig ist.
Mehr Passwort-Diversität!
Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen: Niemand versucht, mit irgendwelchen technischen Tricks hintenrum einzubrechen, sondern kommt mit den Zugangsdaten wie ein ganz normaler Nutzer durch die Vordertür. Hierbei kommen häufig Botnetze zum Einsatz. Dabei gehen die Login-Versuche von beliebig vielen verschiedenen IP-Adressen aus. Das macht gängige Abwehrmaßnahmen schwer, etwa eine bestimmte IP-Adresse nach x fehlgeschlagenen Login-Versuchen auf eine Blacklist zu setzen. Das entlässt die Betreiber eines Dienstes nicht aus ihrer Verantwortung, zu versuchen, solche Angriffe aufzuspüren und zu blockieren.
Am besten hat es aber jeder Nutzer selbst in der Hand, seine Accounts zu schützen: Er sollte für jeden Dienst ein anderes Passwort nutzen. Passwort Manager wie KeePass unterstützen ihn dabei gleich in doppelter Weise: Sie lagern die Zugangsdaten sicher und generieren für neue Dienste hinreichend sichere Passwörter neu.
Wer überprüfen will, ob sein Passwort bereits kompromittiert wurde, dem empfehlen wir den Identity-Check des HPI. Last, not least bieten immer mehr Dienste eine Zwei-Faktor-Authentifizierung an: Ein wirksamer zusätzlicher Schutz gegen den Fremd-Zugriff auf den eigenen Account.
Viele der c’t-Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln.
Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
Dieser Artikel stammt aus c't 12/2020. (jo)
