Die heutige Datensammlung „Have I Been Pwned“ des Sicherheitsforschers Troy Hunt 1,3 Milliarden Es wurden weitere Zugänge gelandet, die gestohlene Passwörter und E-Mail-Adressen enthielten. Diese stammen wie die 183 Millionen zuvor gemeldeten Daten aus einer Synthient-Sammlung, die Informationen aus verschiedenen Datenlecks zusammenfasste.
Nach der Verarbeitung umfasst dies nur noch eindeutige Zugriffe, also keine doppelten Kombinationen, die von Infostealer-Software abgefangen wurden. Diese waren entweder im Internet frei verfügbar oder konnten über Telegram-Gruppen gesammelt werden.
Mit dem zweiten Satz Passwörter entsteht nun die Sammlung 2 Milliarden eindeutige E-Mail-Adressen, die kompromittiert wurden. Hinzugefügt 625 Millionen neue Passwörter. Schauen Sie daher unbedingt auf der HIBP-Website nach, ob Sie betroffen sind!
Tipp: Dort können Sie auch überprüfen, ob Ihre E-Mail-Adresse bei früheren Datenlecks missbräuchlich verwendet wurde, und sich dann schützen.
So wurden die Daten überprüft
In einem Blogbeitrag beschreibt Troy Hunt, wie er die Datensätze auf Richtigkeit und Genauigkeit überprüft hat. Zunächst gab er seinen eigenen Namen ein und fand eine alte E-Mail-Adresse aus den 90er-Jahren, die er tatsächlich nutzte. Es gab auch mehrere verknüpfte Passwörter, von denen jedoch nur eines tatsächlich zu seinem Konto gehörte.
Anschließend kontaktierte er mehrere Personen, die seiner E-Mail-Liste folgten, um ebenfalls deren Daten zu überprüfen. Einige gaben an, alte Passwörter gefunden zu haben, die nicht mehr verwendet wurden, während andere auch aktuelle Anmeldedaten für ihre Konten entdeckten. Einige der Daten reichen mehrere Jahrzehnte zurück, andere sind neu.
Auch Hacker nutzen dieses Verfahren, um verschiedene Kombinationen zu testen. Beim „Credential Stuffing“ (so nennt sich diese Methode) spielt es keine Rolle, wie alt die Daten sind. Da viele Menschen ihre Passwörter nur selten ändern, können Angreifer verschiedene, bekannte Zugangsdaten ausprobieren, bis ihnen schließlich etwas gelingt. Selbst unsichere Passwörter wie „12345“, Geburtsdaten oder Namen können schnell geknackt werden.
Hunt hat die Passwörter auf den Dienst Pwned Passwords hochgeladen, mit dem man auch überprüfen kann, ob ein bestimmtes Passwort bereits geknackt wurde. Da die Passwörter ohne zugehörige E-Mail-Adresse gespeichert werden, kommt es auf die Sicherheit des Passworts selbst an.
Dabei spielt es übrigens keine Rolle, ob Sie bereits ein unsicheres Passwort verwendet haben oder jemand anderes:
Geben Sie das Passwort „Fido123!“ ein. und feststellen, dass es bereits offengelegt wurde (was auch der Fall war), wobei es keine Rolle spielt, ob es im Zusammenhang mit Ihrer E-Mail-Adresse oder der einer anderen Person offengelegt wurde; Es ist immer noch ein schlechtes Passwort, weil es nach Ihrem Hund benannt ist und einem sehr vorhersehbaren Muster folgt. Wenn Sie ein wirklich sicheres Passwort haben und dieses in Pwned Passwords aufgeführt ist, können Sie ziemlich sicher sein, dass es wirklich Ihres war. Auf jeden Fall sollten Sie dieses Passwort nie wieder verwenden und Pwned Passwords hat seine Aufgabe erfüllt.
Hunt empfiehlt, Ihre Passwörter und E-Mail-Konten regelmäßig zu überprüfen (auch wenn es sich nur um Wegwerf-E-Mail-Adressen handelt). Denn Sie wissen nie, wer sonst noch an Ihre Daten gelangen könnte.