Sicherheitsforscher haben ein riesiges Passwörter-Datenleck verarbeitet, das insgesamt bis zu 1,3 Milliarden Login-Daten öffentlich ins Netz gebracht hat. Erfahrt jetzt, was passiert ist und was ihr jetzt direkt tun könnt, um eure eigenen Daten zu überprüfen.
Die Hiobsbotschaft mit erschreckendem Ausmaß kam vor einigen Tagen vom Sicherheitsforscher Troy Hunt, einem der Betreiber hinter dem Daten-Leak-Checker "haveibeenpwned". Seinen Aussagen zufolge habe er vor kurzem mit rund 1,3 Milliarden einzigartigen Passwörtern (ohne Dopplungen) und knapp 2 Milliarden E-Mail-Adressen den größten Datensatz des Projekts jemals verarbeitet. 625 Millionen der Passwörter existierten bis dahin noch nicht in der Datenbank und waren komplett neu.
Mit dem Apple AirTag trackt ihr Koffer, Schlüssel und andere Objekte kinderleicht und sicher per Smartphone. Der Apple-Tracker ist wassergeschützt und glänzt mit starker Akkulaufzeit.
Mega-Passwort-Leak: Login-Daten mittels "Credential Stuffing" erbeutet
Die von Hunt verarbeiteten Daten stammen von der Threat-Intelligence-Seite "Synthient". Über sie wurden Hacker-Daten aus verschiedenen, öffentlich zugänglichen Quellen zusammengetragen. Bei den Passwörtern und E-Mails handle es sich nicht um durch Schadsoftware gestohlene Daten. Stattdessen wurden die Login-Daten über sogenanntes "Credential Stuffing" enthüllt.
Dabei werden Passwörter und E-Mails früherer Leaks einfach bei anderen Diensten (automatisiert) ausprobiert, um so an weitere funktionierende Konten-Zugänge zu gelangen. Diese Methode funktioniert deshalb, weil viele Menschen ihre Passwort-Mail-Kombinationen gerne bei völlig unterschiedlichen Webseiten oder Diensten mehrmals nutzen.
Hunt betont zudem im Post auf seiner eigenen Webseite, dass es sich bei dem Leak nicht um einen gezielten Angriff oder einen Datendurchbruch bei Google Mail handle, wie manche Portale bei einem vorausgegangenen Leak berichteten.
Das könnt ihr tun: Mails und Passwörter prüfen
Wie eingangs erwähnt, wurden die Daten auf der Seite "haveibeenpwned.com" verarbeitet. Die Seite gibt es schon sehr lange. Über sie könnt ihr prüfen, ob eure Daten in dem Leak enthalten sind. Gebt einfach eure E-Mail-Adresse oder unter "Passwords" ein Passwort ein, um die Datenbank zu durchsuchen. Gebt ihr eine E-Mail ein, seht ihr, bei welchen Datenlecks eure Adresse betroffen war. Um Sicherheit zu gewährleisten, sind die Passwörter nicht mit E-Mail-Adressen verknüpft.
Was ihr danach tun solltet: Ist eines eurer Passwörter enthalten, solltet ihr dieses möglichst schnell ändern. Falls ihr noch keinen Passwortmanager habt, raten wir euch außerdem, einen Dienst wie etwa 1Password, Bitwarden oder andere zu nutzen. Damit könnt ihr komplizierte (sichere) Passwörter erstellen und speichern. So vermeidet ihr auch die Mehrfachnutzung von einfachen Login-Daten. Viele der Dienste lassen euch außerdem überprüfen, ob eure Daten von einem Leck betroffen sind.
Transparenz:Wir verwenden sog. Affiliate-Links. Kauft ihr etwas, erhalten wir ggf. eine Provision. Ihr zahlt dafür keinen Cent extra, unterstützt aber die Arbeit der CURVED-Redaktion.