Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), Troy Hunt hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Darin finden sich insgesamt knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter.

Insgesamt umfasst die Sammlung über eine Milliarde Kombinationen aus beidem. Der Datensatz wurde in dem Untergrund-Forum, in dem Hunt ihn entdeckte, unter dem Namen "Collection #1" gehandelt. Es sieht so aus, als wären die Daten aus den unterschiedlichsten Quellen zusammengetragen worden und alle Passwörter liegen im Klartext vor.

Die Anbieter der Sammlung haben laut Hunt die Daten so strukturiert, dass sie vor allem für "Credential Stuffing" zu gebrauchen sind. Der Angreifer versucht bei dieser Art Angriff auf eine Webseite nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste. Die in dem Datenleck enthaltene Liste stellt fast 2,7 Milliarden solcher Kombinationen zur Verfügung. Sie könnte von Angreifern genutzt werden, um massenweise Konten bei Webdiensten zu übernehmen. Da sehr viele Nutzer dieselben Kombinationen von Mailadressen und Passwörtern bei vielen Diensten wiederverwenden, hat dies oft Erfolg.

Dass die Angaben der Verkäufer in dem Untergrund-Forum stimmen, hält Hunt für plausibel, genauso, dass die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden. Es lassen sich aus der Verzeichnisstruktur des Datensatzes Schlüsse über Webseiten ziehen, aus denen die Daten stammen könnten. Bei allen diesen Diensten Nachforschungen anzustellen, ob und wann sie gehackt wurden, scheint aber eine fast unlösbare Aufgabe zu sein. Vor allem weil dafür die Kooperation jedes einzelnen Dienstes nötig wäre.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE