Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
73.356
Einige haben es vielleicht vorgestern in den Nachrichten gehört, dass wieder Datensätze mit geklauten Passwörtern aufgetaucht sind. Auch Heise berichtet darüber:
Eine riesige Sammlung mit Zugangsdaten zu Online-Diensten zirkuliert in Untergrund-Foren. Die Passwörter von Millionen Nutzern sind betroffen.

Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Insgesamt finden sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem. In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen "Collection #1" gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.

Wer wissen will, ob seine Mailadresse mit zugehörigem Passwort davon betroffen ist, kann die bei https://haveibeenpwned.com/ nachprüfen.

Umgekehrt lassen sich zwar auch Passwörter daraufhin überprüfen (https://haveibeenpwned.com/Passwords), nur erfährt man (ais verständlichen Gründen) zu zugehörige Mailadresse nicht. Im ungünsigsten Fall können zig-Tausende das gleiche Passwort verwendet haben (z.B. "123456").
Hierbei beachten:
Auch hier speichert Hunt nur Hashes und keine Passwörter im Klartext und überträgt nur Teile der Hashes, damit er selbst und ein mithörender Angreifer nicht auf das eingegebene Passwort schließen können. Trotzdem sollten Sie abwägen, ob Sie dort ein Passwort eingeben wollen. Hunt gibt sich alle Mühe, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen. Trotzdem gilt eigentlich die Regel: Gib niemals ein Passwort irgendwo auf einer Webseite ein, außer es handelt sich um das Passwort-Feld der Seite, zu der es gehört.

Mir persönlich reicht die Abfrage der Mailadresse.

Sehr wahrscheinlich sind geleakte Passwörter bei Adobe, LinkedIn, Dropbox und anderen Diensten, die in den letzten Jahren wegen gehackter Nutzeraccounts in der Presse aufgetaucht sind. - Zumindest hat dies die Stichprobe einiger Firmen-Emailadressen in "meiner" Firma ergeben.

Von welchen Webseiten die Datensätze entwendet sein könnten, kann man lau dem o.a. Heise-Artikel hier nachsehen:
https://pastebin.com/UsxU4gXA
 
Ich nutze einen Mooltipass, sehr entspannt (ist ein kleines Hardwaregeräte: https://www.themooltipass.com/).

Ich müsste auch mal bei meiner Spamadresse aufräumen, wusste garnicht, wie viel da gehackt wurde (CD Projekt, Dropbox, Nexus mods ...)
 
Bevor ihr orakelt, aus welcher Quelle die 773 Millionen Datensätze stammen, schaut euch lieber diese Liste an:
https://pastebin.com/UsxU4gXA
Das ist die Liste aller Domains, von denen die Daten stammen. Teilweise sind die Breaches wohl auch schon von 2008, teilweise aber auch von 2015. Ob auch noch älteres oder noch neueres dabei ist, habe ich so nicht rauslesen können. Kann also sein. Muss aber nicht.

Die Hacks von Adobe, Dropbox und Co. sind schon länger in der HIBP-Datenbank drin und sollten in der Regel auch mit der entsprechenden Quelle angezeigt werden.

Weitere Infos über diese Sammlung gibt's dann auch noch hier: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

//EDIT: Ich habe über die automatisch E-Mail-Benachrichtigung von HIBP übrigens auf den meisten meiner gängigen Mail-Adressen eine Benachrichtigung bekommen. Ich habe die Domain-Liste mal überflogen und mir insbesondere mal alle .de-Domains rausgesucht. Da sind zwar "interessante" Domains dabei (hamburg.de, informatik.haw-hamburg.de, tu-chemnitz.de) aber bisher habe ich keine gefunden, die mich betrifft... Die anderen Domains habe ich aber halt auch nur überflogen. Und irgendwo her müssen meine Daten ja kommen ;)
 
Zuletzt bearbeitet:
Haveibeenpwned zeigt dir an, aus welcher Liste der Treffer für deine Email-Adresse stammt.

Viel schlauer werde ich daraus nicht, zumindest nicht ohne tiefer in die Materie einzusteigen. Dafür mangelt es mir an Zeit und auch Lust.
Onliner Spambot (spam list): In August 2017, a spambot by the name of Onliner Spambot was identified by security researcher Benkow mo?u?q. The malicious software contained a server-based component located on an IP address in the Netherlands which exposed a large number of files containing personal information. In total, there were 711 million unique email addresses, many of which were also accompanied by corresponding passwords. A full write-up on what data was found is in the blog post titled Inside the Massive 711 Million Record Onliner Spambot Dump.
Compromised data: Email addresses, Passwords

Ich stehe also in eine Spam-Datenbank mit Email-AdresseN (plural, betroffen ist aber nur eine meiner Adressen!?) mit PasswortEN (plural, ok ich hab ein System, wonach ich das Passwart jeweils modifiziere). Wozu Passwöter in einer Spam-Liste?
Und nun?
Aber immerhin bestätigt das meine Einschätzung: Meine Daten stammen nicht von Internet-Größen.

Grüße Thomas
 
Zuletzt bearbeitet:
A full write-up on what data was found is in the blog post titled "Inside the Massive 711 Million Record Onliner Spambot Dump".

Google es, dann kommt: https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/
und verrät dir, dass die Daten quasi "aus" dem Spambot gezogen wurden. Wo er die her hat, kann man natürlich nicht genau sagen. Die Passwörter scheinen aber zum Teil aus einem LinkedIn-Leak zu kommen, die dort verwendeten Hashes wurden halt "zurückgerechnet". Aber auch andere Quellen wurden wohl genutzt. E-Mail-Adressen wurden/werden genutzt, um Spam dorthin zu schicken. E-Mail/Passwort Kombis wurden benutzt, um Spam zu verschicken.
 
Eine Emailadresse kannst ja nie für immer geheim halten, das ist mir auch egal wer die hat. Da kannst dich in meinen Augen nie und nimmer schützen. Mir geht es mehr das meine Emailadresse nicht gekappert wird.
 
Ich stehe also in eine Spam-Datenbank mit Email-AdresseN (plural, betroffen ist aber nur eine meiner Adressen!?) mit PasswortEN (plural, ok ich hab ein System, wonach ich das Passwart jeweils modifiziere).
Diese Aussage bezieht sich nicht speziell auf dich. Wie sollte die Datenbank wissen, welche Emailadressen außer der von dir angefragten dir gehören?
Das ist ein Hinweis, daß diese Sammlung Emailadressen und Passwörter enthält. Andere enthalten nur Emailadresse, oder auch Namen und Postadressen und Kreditkarteninformationen etc.
 
Besten Dank an auch für eure erklärenden Kommentare. Ist schon klar, dass sich eine Email-Adresse nicht geheim halten lässt, darum geht's mir auch nicht.
Bei LinkedIn bin ich selbst nicht vertreten. Es mag natürlich sein, dass irgendjemand dort meine Daten in seinen Kontakten führt, was man ebenso nicht verhindern kann. Im großen und ganzen nehme ich das als Denkanstoß, mehr Wegwerf-Adressen einzusetzen und mehr werde ich nicht unternehmen. Ich hoffe bei Euch ist das alles ähnlich "unkritisch".

Grüße Thomas
 
Du Thomas, ich habe mal eine Zeit lang WhatsApp um jeden Preis gemieden. Dann wollte mein Sohn unbedingt sich dort anmelden, dann kamen noch einige Familienmitglieder dazu und am Ende bin ich dann auch dabei gewesen weil es völlig egal ist ob ich meine Handynummer dort angebe oder ob alle Freunde die mich in ihrem Adressbuch haben dort preisgeben.
Mich kotzt es einfach an wenn solche Idioten mit dem Netz solche Sachen betreiben, das Internet wäre so genial wenn es nur vernünftige Leute geben würde.
 
+1

Grüße Thomas

- - - Beitrag zusammengeführt - - -

Besten Dank an auch für eure erklärenden Kommentare. Ist schon klar, dass sich eine Email-Adresse nicht geheim halten lässt, darum geht's mir auch nicht.

Noch als Ergänzung: Dass meine Email-Adresse in irgendwelchen Spam-Listen bekannt ist, ist mir ja bereits bekannt seit dem die erste Spam-Mail eingetroffen ist. Das ist schon lange her …

Grüße Thomas
 
In diesem Fall nicht vergessen, dass eventuell nicht nur eure E-Mail-Adresse im Umlauf ist, sondern ggf. auch inklusive dem dazugehörigen Passwort! Daher empfiehlt es sich dringend, das Passwort zu den betroffenen E-Mail-Adressen auch zu ändern. Eventuell auch nicht nur beim Mail-Konto, sondern überall dort, wo die gleiche Kombination bestehend aus der gleichen Mail-Adresse und dem gleichen Passwort benutzt wird.

Außerdem sinnvoll: 2-Faktor-Authentifizierung aktivieren, wo es möglich ist und am besten überall unterschiedliche Passwörter benutzen und diese mit einem Passwortmanager (im Zweifel tut es auch ein handschriftliches Buch, welches sicher verwahrt wird) verwalten.
 
Außerdem: Ist die Adresse einmal bei haveibennpwned.com gelistet, dann bleibt sie es auch. Man kann also durch eine erneute Prüfung nicht sicher sein, ob es sich noch um den alten Fall handelt oder die Adresse (und Passwort) irgendwann erneut kompromittiert wurde. Da hilft dann nur, immer schön in regelmäßigen Abständen vorsorglich das Passwort zu wechseln. Was aber natürlich auch generell angeraten ist.
 
Außerdem: Ist die Adresse einmal bei haveibennpwned.com gelistet, dann bleibt sie es auch. Man kann also durch eine erneute Prüfung nicht sicher sein, ob es sich noch um den alten Fall handelt oder die Adresse (und Passwort) irgendwann erneut kompromittiert wurde.
Diese Aussage verstehe ich nicht.
Haveibeenpwned zeigt dir an, in welchen Leaks die Emailadresse enthalten war. Wenn die Seite neue Leaks aufnimmt, in der dieselbe Emailadresse enthalten ist, wir die Liste länger.
Es wird auch angegeben, von wann der Leak war. "Collection #1" von 2019 muss zwangsläufig neu sein.

Konkretes Beispiel: Als ich meine "Wegwerfadresse" vor einem Jahr geprüft habe, wurden 6 oder 7 Leaks angezeigt, in denen sie enthalten war.
Wenn ich sie jetzt prüfe, sind es 8.

Bei einigen Kommentaren hier bekomme ich den Eindruck, daß derjenige die Seite nicht kennt oder nie nach unten gescrollt hat.
Beispiel: Im Screenshot sieht man unten 3 der 8 Leaks, die diese Emailadresse betreffen, aufgelistet.
pwnd.JPG
 
@moronoxyd: Du hast recht, mea culpa! Lag wohl mal wieder an meinem Scriptblocker bzw. irgendwelchen Zusatzeinstellungen des selbigen. Da wurde mir nur "Oh no — pwned! Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)" angezeigt, nix näheres. Blocker ausgeschaltet ließ mich dann auch sehen, dass es nur der Adobe-Breach von Oktober 2013 war, wo es auch das erste Mal anschlug! 5 Jahre immer nur mit Blocker getestet. :facepalm:
Nun weiß ich jetzt zumindest dass die Adresse seitdem (hoffentlich) nicht mehr gehijacked wurde. War aber sowieso nur die Vorsichtsmaßnahme-Adresse für Seiten mit Adress-Zwangsangabe. Die normalen Adressen für den seriösen Verkehr sind offenbar bis heute nicht kompromittiert. :)

Naja, auch wenn der erste Teil meiner Aussage offensichtlich falsch war, so gilt der letzte dennoch, dass regelmäßiges Ändern von Passwörtern generell eine gute Vorsichtsmaßnahme ist.
 
Zuletzt bearbeitet:
Danke für die genaue Erklärung. Bei mir war es auch Adobe, hatte mir da mal eine Trial geholt, vor langer Zeit mal.
 
Jetzt hat es eine meiner Mailadressen "erwischt".

collectionmail.jpg

Der Betreiber der Webseite sollte mal seine Mailsignatur mit Zertifikat überprüfen, das Zertifikat existiert nämlich nicht (mehr). Habe ihnen mal eine diesbezügliche Mail geschrieben.
 
Wie im Heise-Artikel zu lesen scheint die Seite vom Hasso-Plattner-Institut tatsächlich derzeit aktuellere Informationen eingepflegt zu haben als haveibeenpwned.com. Beim HPI erscheint eine meiner Adressen als kompromittiert, die bei der anderen Seite noch als sauber ausgegeben wird.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben