Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned, hat der Datensammlung inzwischen 1,3 Milliarden einzigartige Passwörter hinzugefügt. Sie stammen aus der erweiterten Datensammlung „Synthient“.
Lesen Sie mehr nach der Anzeige
Synthient hat öffentlich zugängliche Daten in über das Internet zugänglichen Cloud-Speichern oder Telegram-Gruppen gesammelt, von denen auch Troy Hunt sie bezogen hat. Hunt hat den ersten Teil dieser Daten gefiltert und vor etwa zwei Wochen rund 183 Millionen Zugriffsdaten zur HIBP-Sammlung hinzugefügt. Dabei handelte es sich insbesondere um Daten, die Infostealer preisgegeben hatten.
Infostealer sind Trojaner, die auf Computern oder Smartphones installiert werden und aufzeichnen, wann sich Opfer bei Diensten anmelden. Sie leiten diese Zugangsdaten an Command-and-Control-Server weiter. Diese Daten sind oft öffentlich im Internet sichtbar. Solche Informationsdiebe installieren Opfer als Bonus für vermeintliche Cracks beliebter Software, können aber auch über Sicherheitslücken in installierter Software auf Geräte gelangen.
Missbrauch wegen versuchter Angriffe mit „Credential Stuffing“
Allerdings hat Synthient weitaus mehr Datensätze gesammelt, die Sammlung besteht aus Daten aus verschiedenen Datenlecks – Hunt bezeichnet sie auch als „Credential Stuffing“-Einträge. Insgesamt umfasst die Datensammlung rund 2 Milliarden eindeutige E-Mail-Adressen. Wie Troy Hunt bei der Bekanntgabe der inzwischen hinzugefügten 1,3 Milliarden Passwörter erläuterte – 625 Millionen davon sind bisher unbekannt – nutzen Angreifer diese Daten, um die Konten anderer Opfer zu knacken, die dieselben Passwörter (wieder)verwenden. Das Testen dieser Zugangsdaten wird Credential Stuffing genannt.
Hunt konnte bei der Überprüfung der Daten bestätigen, dass dies eine erfolgreiche Taktik war. Seinem Bericht zufolge fragte er einige HIBP-Abonnenten, ob die Daten echt seien. Die erste Antwort sorgte für Klarheit: „(Passwort) Nr. 1 ist ein altes Passwort, das ich nicht mehr verwende. Nr. 2 ist ein aktuelleres Passwort. Vielen Dank für den Hinweis, ich habe die Passwörter für alle kritischen Zugriffe geändert, die eines davon verwendet haben.“ Ein anderer Benutzer berichtete, dass es sich um ein Wegwerfpasswort für unwichtige Konten handele, die er vor 20 bis 10 Jahren verwendet habe. Auch andere Antworten weisen auf alte Passwörter hin, die schon lange nicht mehr verwendet wurden. Die Datensammlung umfasst auch sehr alte Einträge.
Interessierte können auf der eigenen HIBP-Website überprüfen, ob ihre Passwörter in einem Datenleck aufgetaucht sind. Eine schnelle Überprüfung mit „123456“ ergibt 178.863.340 Einträge, in denen diese Zahlenfolge als Passwort vorkam.
Lesen Sie mehr nach der Anzeige
(dmk)