Hackerangriff
13.02.2019, 14:36 Uhr
Hunderte Millionen Zugangsdaten zum Kauf angeboten
Im Internet sind mehrere hundert Millionen Zugangsdaten zu diversen Online-Diensten aufgetaucht. Die Datensätze bestehen aus Benutzernamen beziehungsweise E-Mail-Adressen sowie kryptografisch verschleierten Passwörtern. Diese Daten werden aktuell im Darkweb zum Kauf angeboten.
(Quelle: shutterstock.com/Elnur)
Im Netz sind erneut mehrere hundert Millionen Zugangsdaten zu diversen Online-Diensten entdeckt worden, die zum Verkauf angeboten werden. Ein Teil geht auf bereits gemeldete Datendiebstähle zurück, andere stammen aus bisher nicht bekannten Hackerangriffen.
Die rund 617 Millionen Datensätze bestehen aus Benutzernamen bzw. E-Mail-Adressen sowie kryptografisch verschleierten Passwörtern, wie die Website "The Register" berichtete. Bei dem sogenannten "Hashing" werden die Passwörter mit einem Algorithmus unkenntlich gemacht. Bei einigen Varianten des Verfahrens oder einer fehlerhaften Umsetzung durch die Anbieter kann es nach Einschätzung von Experten jedoch möglich sein, sie zu entziffern.
Im Darkweb-Bereich zum Verkauf angeboten
Die Datensätze werden in einem sogenannten Darkweb-Bereich zum Verkauf angeboten, der nur über das anonymisierte Tor-Netzwerk zu erreichen ist. Dem "Register"-Bericht zufolge geht es unter anderem um Zugangsdaten zu 161,5 Millionen Accounts der App Dubsmash, bei der Nutzer in Lipsync-Videos zu populären Songs posieren können. Ein Anwalt von Dubsmash erklärte "Register", man prüfe die Angelegenheit und werde die Nutzer unterrichten. Der Foto-Marktplatz 500px, bei dem rund 15 Millionen Accounts betroffen sein sollen, benachrichtigte in der Nacht zum Dienstag die Nutzer, dass ihre Passwörter zurückgesetzt werden.
Die rund 92,3 Millionen Zugangsdaten des DNA-Analyse-Dienstes MyHeritage stammen hingegen genauso wie die 150,6 Millionen Login-Informationen der Diät-App MyFitnessPal aus bereits bekannten Hackerattacken.
Zahlung in Bitcoin
Der Verkäufer will für die Daten einige hundert US-Dollar bis zu knapp 2.000 US-Dollar pro Firma - in der Digitalwährung Bitcoin, die weitgehend anonymisierte Zahlungen ermöglicht. Auch mit nicht lesbaren Passwörtern können Daten wie E-Mail oder Name für Phishing-Mails zum Abgreifen anderer Daten verwendet werden. Gelingt es, die Passwörter aus den Hashes herauszulesen, könnten Angreifer sie auch bei anderen Online-Diensten ausprobieren, in der Hoffnung, dass Nutzer sie mehrfach verwendet haben.
In den vergangenen Jahren kam es immer wieder vor, dass im Netz in grossem Stil Zugangsdaten zu diversen Diensten auftauchten. Zuletzt waren in einer grossen Sammlung auch Passwörter im Klartext enthalten.
Jeremy Jaynes Jeremy Jaynes war für den ersten amerikanischen Strafprozess gegen das Versenden von unerlaubten Werbemails verantwortlich. Mit Hilfe einer gestohlenen AOL-Datenbank, welche die Kontaktadressen von mehr als 90 Million Anwendern enthielt, belästigte er die Mitbevölkerung mit Spam-Mails. Monatlich verdiente er mit dieser illegalen Tätigkeit zwischen 400.000 und 750.000 US-Dollar. Schlussendlich wurde er im November 2004 schuldig gesprochen und sollte für neun Jahre ins Gefängnis. 2008 wurde er frühzeitig entlassen. Vielleicht bekommen Sie heute noch eine Mail von Jeremy, alias Gaven Stubberfield.
