Aus Hackerforum: Have I Been Pwned erfasst Millionen neuer Zugangsdaten

Marc Stöckel
174 Kommentare
Aus Hackerforum: Have I Been Pwned erfasst Millionen neuer Zugangsdaten
Bild: pixabay.com / Mohamed_hassan

In einem Hackerforum ist ein Datensatz mit fast 71 Millionen E-Mail-Adressen inklusive zugehöriger Passwörter aufgetaucht. Der Betreiber von Have I Been Pwned hat diese in seine Datenbank übernommen. Für Anwender könnte es sich lohnen, ihre Anmeldedaten auf eine mögliche Kompromittierung hin zu überprüfen.

Kompromittierte Zugangsdaten erkennen

Bei Have I Been Pwned (HIBP) handelt es sich um einen Dienst, der Anmeldeinformationen aus bekannten Datenlecks zusammenträgt. Besucher des Webportals können dort beispielsweise ihre E-Mail-Adresse oder ihr Passwort eintragen und prüfen lassen, ob ihre Zugangsdaten schon mal irgendwo im Netz aufgetaucht sind. Ist dies der Fall, so gelten die Anmeldedaten als unsicher. Ein Passwortwechsel ist dann anzuraten, da Cyberkriminelle häufig auf Zugangsdaten aus bekannten Datenlecks zurückgreifen, um fremde Nutzerkonten zu infiltrieren. Diese Angriffsmethode ist bekannt unter dem Begriff Credential Stuffing.

Millionen neuer Zugangsdaten bei Have I Been Pwned

Die Datenbank von Have I Been Pwned wurde erst kürzlich um einen neuen Datensatz mit der Bezeichnung „Naz.API“ erweitert – bestehend aus 319 Dateien mit einer Gesamtgröße von 104 GB. Darin enthalten sind insgesamt 70.840.771 eindeutige E-Mail-Adressen sowie rund 100 Millionen eindeutige Passwörter. In vielen Fällen ist auch die URL des Webdienstes angegeben, bei dem das jeweilige Konto registriert ist.

Wie aus einem Blogbeitrag von Troy Hunt, dem Gründer des HIBP-Projektes, hervorgeht, waren rund 35 Prozent der fast 71 Millionen E-Mail-Adressen zuvor noch gar nicht in der Datenbank von Have I Been Pwned enthalten. „Das ist eine erhebliche Menge neuer Daten“, warnt der Sicherheitsforscher. Festgestellt wurde dies wohl anhand einer Stichprobe im Umfang von 1.000 Adressen.

Daten per Malware eingesammelt

Als Herkunft der Daten nennt Hunt „Stealer Logs“, also Protokolle von Infostealern – einer bestimmten Klasse von Schadsoftware, die darauf spezialisiert ist, von infizierten Systemen Anmeldeinformationen aus Webbrowsern und anderen Quellen zu sammeln und an einen vom Angreifer kontrollierten Server zu übertragen. Aufgetaucht ist der Datensatz schon vor Monaten in einem Hackerforum. Ein von Hunt geteilter Screenshot zeigt einen Forenbeitrag von September 2023, in dem die Daten angeboten wurden.

Um eine Fälschung scheint es sich bei dem Datensatz nicht zu handeln. Hunt erklärt, er habe sich von einigen Nutzern seines Dienstes die Echtheit ihrer darin enthaltenen Zugangsdaten bestätigen lassen. Anwendern empfiehlt der Sicherheitsforscher daher, seine Plattform zu nutzen, um ihre Anmeldeinformationen auf eine mögliche Kompromittierung hin zu überprüfen und gegebenenfalls einem Missbrauch vorbeugende Maßnahmen wie Passwortänderungen einzuleiten.

Verbesserungswürdiger Umgang mit Passwörtern

Hunt nutzt die Gelegenheit aber auch, um vor unsicheren und dennoch gängigen Praktiken im Umgang mit Passwörtern hinzuweisen. Untersuchungen des neuen Datensatzes hätten etwa gezeigt, dass eine große Anzahl von Nutzern dasselbe Passwort für unterschiedliche Dienste verwende. Obendrein gebe es aber auch einige Passwörter, die von mehreren verschiedenen Personen verwendet würden. „Es gibt eine endliche Anzahl von Hundenamen und Geburtsjahren da draußen“, erklärt Hunt angesichts dieser Auffälligkeit.

Ganz gleich, ob die Zugangsdaten der Anwender bereits kompromittiert wurden oder nicht, empfiehlt der Forscher einige anerkannte Maßnahmen, mit denen sich Zugänge zu Onlinediensten effektiv absichern lassen. Dazu zählt nicht nur die Vergabe sicherer und eindeutiger Passwörter, sondern auch der konsequente Einsatz von Zwei-Faktor-Authentifizierungen (2FA) sowie von Passwortmanagern. Ein Leitfaden für die Erstellung sicherer Passwörter ist beispielsweise auf der Webseite des BSI zu finden.

Passwortmanager sollten derweil mit Bedacht gewählt werden, da diese aufgrund der vielen dort gespeicherten Anmeldedaten für Cyberkriminelle ein besonders attraktives Angriffsziel sind. Der webbasierte Passwortmanager LastPass wurde beispielsweise im Jahr 2022 zum Ziel eines Cyberangriffs. Damals sind persönliche Daten der Nutzer abgeflossen – auch verschlüsselte Passworttresore waren dabei. Unsichere Master-Passwörter sowie zu einem späteren Zeitpunkt möglicherweise als unsicher eingestufte Verschlüsselungsalgorithmen können in einem solchen Fall dazu führen, dass böswillige Akteure auf die darin gespeicherten Anmeldeinformationen zugreifen können.

Finden sich Zugangsdaten von dir in der Datenbank wieder?
  • Ja
    66,6 %
  • Nein
    33,4 %