Bereits Mitte Januar berichtete der IT-Sicherheitsforscher, Troy Hunt, in seinem Blog von einem der größten Datenlecks der vergangenen Jahre.
Mit rund 773 Millionen E-Mail-Adressen und mehr als 21 Millionen Passwörter im Klartext, ist eine beträchtliche Sammlung an gehackten Zugangsdaten unter dem Namen “Collection #1” , veröffentlicht worden. Bereits einige Tage später sind wieder neue E-Mail-Adresse samt Passworte im Klartext ins Netz gelangt. Jetzt kursieren sogar zusätzlich die weiteren Collections #2, #3, #4 und 5# im Internet, mit insgesamt 2,2 Milliarden E-Mail-Adressen und Passwörtern.
Bei den Collections #1 – #5 handelt es sich auch um bereits ältere Leaks, die schon veröffentlicht wurden. Insgesamt soll der Datenbestand der Collecton #1 bis Collection #5 über 500 Gigabyte groß sein und 2,2 Milliarden Datensätze an Nutzerdaten enthalten.
Die Gefahr, dass man selbst von diesem Datenleck betroffen sein könnte, ist bei der großen Anzahl also sehr wahrscheinlich. Ob man selbst Opfer dieses Datendiebstahls geworden ist, kann man mit dem Online-Sicherheitscheck vom Hasso-Plattner-Institut (HPI) selbst überprüfen.
Bereits seit 2014 bietet HPI auf seiner Webseite den “Identity Leak Cheaker” an. Dort kann jeder Internetnutzer durch die Eingabe seiner “E-Mail-Adresse” überprüfen lassen, ob seine Daten bereits frei im Internet veröffentlicht wurden. Die jüngsten Collection-Leaks sind laut HPI-Direktor Christoph Meinel, bereits eingepflegt worden.
Auch der IT-Sicherheitsforscher Troy Hunt hat einen Überprüfungsdienst entwickelt. https://haveibeenpwned.com/ , die sofort Auskunft darüber gibt, ob die E-Mail-Adresse betroffen ist.
Woher weiß ich, ob ich betroffen bin?
Nachdem Ihr auf der Webseite des HPI eure E-Mail Adresse in das Formular eingegeben habt, erhaltet Ihr nach kurzer Zeit eine E-Mail vom System, an die geprüfte Adresse, die aussagt ob die E-Mail-Adresse betroffen ist oder nicht.
In meinem Fall sah die Antwort leider nicht sehr positiv aus, denn laut HPI ist die von mir geprüfte Adresse bereits geleakt und somit kursieren für einige Dienste, meine eigenen Zugangsdaten bereits im Internet. Wenn alles gut läuft, dann steht in der Ergebnis-Mail auch bei welchem Dienst der Leak und vor allem wann der Abgriff der Daten stattgefunden hat.
Was ist jetzt zu tun ?
Zuerst einmal die Webseiten und Dienste, die in der HPI-Mail angezeigt werden, angehen und die Passworte ändern. Sollte da allerdings auch ein Maildienst wie GMail, GMX, Web.de, T-Online oder andere von betroffen sein, wird es etwas komplizierter, da ein Hacker die Mails evt. auch lesen könnte.
In meinem Falle war das glücklicherweise nicht der Fall! Allerdings sind neben den eindeutig zu identifizierenden Diensten, wie DropBox und Linkedin, auch noch jede Menge unbekannte Dienste und Webseiten betroffen. Besonders beunruhigend ist zudem der Fund in der ersten Zeile “Unknown (Collection #1-#5), was auf den aktuellsten Datendiebstahl hinweist. Das erschwert die ganze Sache natürlich um einiges, den jetzt heißt es:
Bei allen Webseiten und Diensten, wo die geleakte E-Mail-Adresse hinterlegt ist, muss jetzt unbedingt das Passwort geändert werden. Natürlich geht das auch bei Webseiten, die ich eigentlich schon lange nicht mehr benutzt habe und ich das Passwort schon gar nicht mehr weiß. In den Falle hilft es beim Einloggen, “Passwort vergessen” anzuwählen um eine Mail zur neuen Passwort Vergabe zu erhalten. Das ist zwar sehr mühsam, aber leider zwingend erforderlich, da niemand so genau sagen, was die Onlinediebe mit den Zugangsdaten so alles anstellen könnten.
Noch viele weitere Gefahren lauern!
Ebenfalls besteht natürlich die Gefahr, dass die Onlinekriminellen versuchen werden, sich mit den ergaunerten Zugangsdaten auch bei anderen Diensten wie Faceboook, oder Amazon usw. einzuloggen. Ist also die Kombination aus Passwort und E-Mail-Adresse einmal geleakt, sollten alle Dienste so schnell wie möglich ein neues Passwort bekommen, anderfalls könnte man schnell mal eine Rechnung von Ebay, Amazon oder anderen Online-Shops bekommen, für eine Bestellung die man selbst nie aufgegeben oder dessen Warenwert man je erhalten hat.
Das kann natürlich noch viel weitreichende Folgen haben, auf diese Weise könnten Bankkonten geplündert werden, Identitätsdiebstahl vorgenommen, Social Media Account gestohlen werden, Online Bestellungen oder gar Straftaten im fremden Name durchgeführt werden. Und wer hat schon Lust stundenlang bei der Polizei oder Staatsanwaltschaft Erklärungsversuche abzuliefern, dass man doch eigentlich unschuldig sei.
So finden Sie heraus ob Ihre Daten bereits im Netz zur Verfügung stehen
HPI Identity Leak Checker des Hasso Platner Institut
Habe ich oben schon beschrieben. Hier reicht es aus einfach die zu prüfende Mail-Adresse in das Formular einzugeben. Im Anschluß kommt dann eine Antwort per Mail mit der Auskunft ob man bestroffen ist, oder nicht.
HPI Identity Leak CheakerFirfox Monitor
Auch der Firefox-Monitor ist kostenlos und natürlich auch für jeden Nutzer eines anderen Internet-Browser zugänglich. Nach Eingabe der E-Mail-Adresse sieht man sofort ob und wo man von dem Datenleck betroffen ist. Praktischerweise kann man sich her auch gleich eine automatische Benachrichtigung aktivieren.
Firefox Monitor starten‚;–have i been pwned? von Troy Hunt
Wie oben schon beschrieben hat auch der IT-Sicherheitsforscher Troy Hunt, der sich sehr intensiv mit IT-Sicherheit und Sicherheit im Internet beschäftig, auf seinem Blog seinen ‘;–have i been pwned? Dienst gestartet. Auf seiner eigens dafür erstellen Webseite bietet auch er den kostenlosen Check für geleakte E-Mail-Adressen an. Seine Datenbank umfasst mehr als 6,4 Milliarden Accounts und sollte in jedem Falle berücksichtigt werden.
‘;–have i been pwned? startenNoch mal ein Hinweis zu “sicheren Passwörter”
Zuerst einmal gilt der feste Grundsatz: Jeder Dienst und jede Webseite sollte ein eignes Passwort haben. Es gilt zu vermeiden immer das gleiche Passwort zu verwenden. Ebenfalls sollten die gewählten Passwörter auch komplex sein und nicht zu einfach zu erraten sein. Damit scheiden schon mal alle Vornamen und Geburtsdaten aus. Um zu überprüfen, wie sich das gewählte Passwort ist, kann man auf der Webseite von Experte.de, das Passwort mal prüfen lassen.
Dabei sieht mal sofort, das ein weit verbreitetes und sehr beliebtes Passwort wie “P@ssw0rd” mit einem eizelnen Computer innerhalb von 8 Stunden zu knacken ist und das es bereits über 51.000 mal in Passwort-Leaks aufgetaucht ist.
Password-Check startenlink zum BSI zum Thema Sichere Passwörter
Bildquellen
- Datenleak 2019: @http://pixabay.com/
