Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen

Michael Günsch 296 Kommentare
Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen
Bild: Pexels | CC0 1.0

Troy Hunt betreibt die Website Have I Been Pwned (HIBP), auf der Internetnutzer prüfen können, ob ihre E-Mail-Adresse schon einmal Teil eines Datenlecks gewesen ist. Jetzt wurde mit 773 Millionen Adressen die bisher größte Datensammlung in HIBP aufgenommen. Der Leak enthalte auch über 21 Millionen Passwörter.

Auf die aus diversen individuellen Leaks stammende und über eine Milliarde Kombinationen aus E-Mail-Adressen und Passwörtern umfassende Liste wurde in einem „beliebten Hacking-Forum“ hingewiesen. Der mehr als 87 GB große Datensatz mit über 12.000 Dateien stand zwischenzeitlich über einen Cloud-Dienst zum Download zur Verfügung. Das Hauptverzeichnis trägt den Namen „Collection #1“ (siehe Screenshot), weshalb Hunt dem Vorfall diesen Namen gab.

Das Hauptverzeichnis der Datensammlung lautet „Collection #1“
Das Hauptverzeichnis der Datensammlung lautet „Collection #1“ (Bild: Troy Hunt)

Listen wie diese können Angreifer für das sogenannte Credential Stuffing nutzen. Bei dieser Art von Cyberangriff wird auf einer Website der Login-Vorgang über Tools automatisiert mit durchgesickerten Zugangsdaten gefüttert. Dass viele Anwender auf verschiedenen Webseiten dieselbe Kombination aus E-Mail-Adresse und Passwort verwenden, spielt den Hackern in die Hände.

Wer ist betroffen?

Auf der Website Have I Been Pwned kann bei Eingabe der eigenen E-Mail-Adresse geprüft werden, ob diese in der Collection #1 oder einem vorherigen Datenleck, das Hunt in seine Datenbank aufgenommen hat, vorkommt. Sollte dies der Fall sein, ist es ratsam, bei dazugehörigen Online-Accounts das Passwort zu ändern. Die entsprechenden Dienste oder Seiten werden dabei direkt aufgezeigt.

Von den 773 Millionen E-Mail-Adressen sind laut Hunt aber bereits knapp 82 Prozent HIBP bekannt gewesen, etwa 140 Millionen seien neu hinzu gekommen.

Beispiel für die Auflistung von Datenlecks
Beispiel für die Auflistung von Datenlecks

Mit Pwned Passwords bietet Hunt auch eine Abfrage nach kompromittierten Passwörtern an. Angeblich enthält Hunts Datenbank auch hier nur Hashes und keine Passwörter im Klartext, dennoch sollte im Zweifel das eigene Passwort auf keiner Website für die es nicht bestimmt ist, eingegeben werden.

Einzigartiges Passwort für jeden Account

Wie bei allen Datenlecks dieser Art raten Sicherheitsexperten zur Verwendung einzigartiger Passwörter für jeden einzelnen Account. Bei der Verwaltung helfen Passwortmanager wie KeePass oder 1Password, den Hunt ebenso anbietet.

Downloads

  • KeePass Password Safe Download

    4,8 Sterne

    KeePass Password Safe ist ein sicherer Passwort-Manager: Ein einziges Passwort für alle.

    • Version 2.41
    • Version 1.37