Gestern tauchte ein riesiger Datensatz mit zahlreichen Mail-Adressen und Passwörtern im Internet auf. Entdeckt wurde er vom Sicherheitsexperten Troy Hunt, der die Internetseite „Have I Been Pwned“ betreibt. Laut Troy Hunt umfasst der Datensatz insgesamt 2,6 Milliarden Zeilen mit Kombinationen aus Mailadressen und Passwörtern.
Mit insgesamt mehr als 772 Millionen Mail-Adressen und 20 Millionen Passwörtern handelt es sich um den bisher größten Datensatz mit gestohlenen Informationen, der jemals im Internet auftauchte. Hunt bezeichnete den Datensatz aus diesem Grund als „Collection #1“.
Allem Anschein nach stammen die Daten, die in Hacker-Foren gefunden wurden, aus unterschiedlichen Angriffen. IT-Sicherheitsexperte Hunt geht von der Echtheit der Daten aus. So ist auch er selbst betroffen gewesen – seine Mailadressen mitsamt älteren Passwörtern tauchen in der Liste auf.
Der gesamte Datensatz wurde mittlerweile zur Seite „Have I Been Pwned“ hinzugefügt, sodass dort überprüft werden kann, ob die eigenen Daten ebenfalls gestohlen und verbreitet worden sind. Registrierte Nutzer des Dienstes, deren Daten betroffen sind, wurden bereits per Mail informiert. Es bietet sich nun also an, zu überprüfen, ob auch die eigenen Mailadressen betroffen sind.
Genutzt werden könnten die Daten vor allem für eine Praxis, die als „Credential Stuffing“ bekannt ist. Bei derartigen Angriffen versuchen die Angreifer nicht, einzelne Konten zu übernehmen, sondern möglichst viele auf einmal zu knacken. Hierzu lassen sie alle möglichen einzigartigen Kombinationen, die sich aus dem Datensatz ergeben, durch einen Algorithmus laufen – passt eine Kombination aus Mail-Adresse und Passwort erhalten die Angreifer Zugang zum Account. Derartige Praktiken haben häufig Erfolg, da viele Nutzer ihre Kombination aus Mail-Adresse und Passwort bei unterschiedlichen Diensten verwenden. So könnten zahlreiche Konten bei unterschiedlichsten Webdiensten übernommen werden.
Hunt empfiehlt, einen Passwort-Manager zu nutzen, und für jeden Dienst ein eigenes Passwort anzulegen. Darüber hinaus sollten Passwörter regelmäßig gewechselt werden.
