Bisher größte Sammlung von E-Mail-Adressen & Passwörtern aufgetaucht

Bei dem bekannten Cloud-Anbieter MEGA wurde die bisher umfangreichste Zusammenstellung von veröffentlichten Login-Credentials gefunden inklusive Passwort-Sammlung im Klartext. Welche Auswirkungen hat die Veröffentlichung der Datensätze und was ist jetzt zutun?

Was ist passiert?

Die gefundenen Datensätze befinden sich in einer Sammlung, die sich aus mehreren Archiven zusammensetzt und die sich zu einer gesamten Liste zusammenfassen lassen. Die Datensätze bestehen aus den Inhalten bereits erfolgter Data Breaches und enthalten insgesamt 1,160,253,228 individuelle E-Mail/ Passwort-Kombinationen. Sie wurden beim Cloud-Service mittlerweile gelöscht.

Bildquelle: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

772,904,991 E-Mail-Adressen davon wurden bereits in die Datenbank von Have I Been Pwned (HIBP) übernommen. Hier können Nutzer regelmäßig prüfen, ob sie von Datenpannen betroffen sind.

Mehr Infos zur Herkunft der Sammlung finden Sie hier:  The 773 Million Record „Collection #1“ Data Breach

Die Daten wurden nach Einschätzung von Troy Hunt zu über 80% schon einmal veröffentlicht. Nun wurden sie jedoch für Angreifer relativ bequem an einer Stelle zusammengefasst. Außerdem ist die Wahrscheinlichkeit hoch, dass ein Nutzer, der bei drei Portalen mit gleicher E-Mail/ Passwort-Kombo in der Liste auftaucht, auch auf anderen Portalen die gleichen Credentials nutzt.

Im oben erwähnten Blog-Beitrag von Troy Hunt wird auch erwähnt, dass der Aufbau der Datensätze vermuten lässt, dass die Daten zum sogenannten „Credential Stuffing“ genutzt werden. Bei dieser Art Angriff wird nicht versucht einen bestimmten Account zu hacken, sondern auf Basis einer Liste wird der Login-Mechanismus automatisiert ausgefüllt. Somit kann möglichst schnell Zugriff auf möglichst viele Accounts einer Website erlangt werden.

Was kann ich tun, wenn ich in der Passwort-Sammlung auftauche?

Sie haben den Link zu Have I been Pwned genutzt und haben herausgefunden, dass Sie von der Veröffentlichung der Passwort-Sammlung betroffen sind?

Das ist kein Grund zur Panik. Ändern Sie Ihre Passwörter und nutzen Sie auch die neuen Passwörter nicht mehrfach. Wenn Sie, wie üblicherweise empfohlen, einen Passwort-Manager nutzen, dann müssen Sie sich auch nicht alle neuen Passwörter merken, sondern nur noch das Master-Passwort:  Passwörter sicher verwalten.

Wie Sie ein zuverlässiges Passwort ganz schnell selbst erstellen können, hat unser Kollege hier erklärt: Passwörter entwickeln leicht gemacht.

Auf einen Blick: Tipps zu sicheren Passwörtern

  • Verwenden Sie Passwörter nicht mehrfach
  • Prüfen Sie regelmäßig auf Have I Been Pwned, ob Sie von einem Data Breach betroffen sind
  • Schreiben Sie Ihr Passwort nicht auf
  • Passwörter sollten möglichst lang und komplex sein
  • Nutzen Sie einen Passwort-Manager
  • Teilen Sie Passwörter nicht mit anderen
  • Schulen Sie auch Ihre Mitarbeiter regelmäßig im Umgang mit Passwörtern
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *