1,2 Milliarden geklaute Profil-Daten: Sicherheitsfirma lÀsst Opfer im Dunkeln tappen
Russische Hacker haben Online-Profile gleich milliardenfach abgegriffen. Die Security-Firma, die das Leck publik machte, will Nutzer nun fĂŒr die Gewissheit, ob ihre Daten kompromittiert sind, zur Kasse bitten.
Die Meldung des wohl bisher gröĂten IdentitĂ€tsdiebstahls im Internet [1] durch Hold Security aus Milwaukee hat eingeschlagen wie eine Bombe: Sage und schreibe 1,2 Milliarden Profildaten sollen russische Hacker erbeutet haben.
Dass die Nachricht gerade jetzt auftaucht, ist wohl alles andere als ein Zufall, denn noch bis Donnerstag lĂ€uft mit der Black Hat in Las Vegas eine der weltweit renommiertesten Hacker-Konferenzen der Welt. So wollte Hold Security dann auch prompt aus dem Scoop Kapital schlagen [2] und bot zeitgleich mit der Veröffentlichung in der New York Times einen Dienst an, der Seitenbetreiber gegen eine jĂ€hrliche GebĂŒhr von 120 US-Dollar warnt, wenn ihre WebprĂ€senz zu einer der 420.000 in dem Riesenleck betroffenen zĂ€hlt.
(Bild:Â Forbes)
Wer Gewissheit will, muss zahlen
Breach Notification Service nennt Hold dieses Angebot. Kunden sollen in Zukunft gewarnt werden, falls ihre Daten in einem von der Sicherheitsfirma aufgedeckten Datenklau auftauchen.
Aber natĂŒrlich warb Hold auch damit, dass potentielle Opfer aus dem gerade aufgedeckten Riesenleck ebenfalls gewarnt werden wĂŒrden. Und das hatte die Firma zuvor möglichst bedrohlich erscheinen lassen: Sowohl die gröĂten amerikanischen Unternehmen des Fortune 500 als auch "jede andere Webseite, welche die Hacker in die Finger bekommen konnten" sei bedroht. Und die meisten davon hĂ€tten immer noch offene SicherheitslĂŒcken. Nachdem ein Journalist des Wall Street Journal ĂŒber Twitter Fragen zu dem Dienst gestellt hatte [3], verschwand die Beschreibung des Produktes von der Hold-Security-Seite.
Angesichts der Versuche von Hold Security, mit dem Riesenleck Geld zu machen, muss sich die Firma fragen lassen, ob sie die Ergebnisse der eigenen Untersuchung nicht ĂŒbertrieben dargestellt hat. Ohne Zugriff auf die Rohdaten ist die tatsĂ€chliche Brisanz des Falls schwer einzuschĂ€tzen. Hat Hold tatsĂ€chlich alle Dubletten in den Daten entfernt und wie alt sind die Zugangsdaten? Ist vielleicht ein altes Passwort betroffen, das ich schon beim letzten Datenleck geĂ€ndert hatte?
Sicher ist nur, dass Institutionen wie das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) oder das Hasso-Plattner-Institut mit solchen Daten deutlich verantwortungsvoller umgehen. Sie ermöglichen Opfern kostenlos eine ĂberprĂŒfung ihrer Zugangsdaten.
BSI arbeitet "mit Hochdruck" an der AufklÀrung
Beim BSI prĂŒft man derzeit "mit Hochdruck zusammen mit den zustĂ€ndigen deutschen und amerikanischen Behörden, ob deutsche Internetnutzer und Online-Anbieter von dem Vorfall betroffen sind", erklĂ€rte die Behörde in einer Stellungnahme. Noch hat das BSI keine BestĂ€tigung dafĂŒr, dass tatsĂ€chlich 1,2 Milliarden IdentitĂ€ten betroffen sind.
Sollten die Angaben zutreffen, sei mit hoher Wahrscheinlichkeit davon auszugehen, dass deutsche Nutzer betroffen seien, meint man beim BSI. Ohne die Daten von Hold kann aber auch das BSI diese nicht informieren. (fab [4])
URL dieses Artikels:
https://www.heise.de/-2287238
Links in diesem Artikel:
[1] https://www.heise.de/news/Sicherheitsforscher-Russische-Hacker-erbeuten-1-2-Milliarden-Profildaten-2285655.html
[2] http://www.forbes.com/sites/kashmirhill/2014/08/05/huge-password-breach-shady-antics/
[3] https://twitter.com/dannyyadron/status/496803485292462080
[4] mailto:contact@fab.industries
Copyright © 2014 Heise Medien