Bei der Datensammlung Have I Been Pwned des Sicherheitsforschers Troy Hunt sind heute 1,3 Milliarden weitere Zugänge gelandet, die gestohlene Passwörter und E-Mail-Adressen enthalten. Wie auch die 183 Millionen zuvor gemeldeten Daten stammen diese aus einer Synthient-Sammlung, die Informationen aus diversen Datenlecks zusammenfasste.
Darin enthalten sind nach der Aufbereitung jetzt nur noch einzigartige Zugänge, also keine doppelten Kombinationen, die durch Infostealer-Software abgefangen wurden. Diese waren entweder frei im Internet verfügbar oder konnten über Telegram-Gruppen gesammelt werden.
Durch den zweiten Satz an Passwörtern kommt die Sammlung nun auf 2 Milliarden einzigartige E-Mail-Adressen, die kompromittiert wurden. Hinzu kamen 625 Millionen neue Passwörter. Sie sollten also unbedingt auf der Seite von HIBP prüfen, ob Sie betroffen sind!
So wurden die Daten überprüft
In einem Blogbeitrag beschreibt Troy Hunt, wie er die Datensätze auf Richtigkeit und Genauigkeit geprüft hat. Zunächst gab er seinen eigenen Namen ein und fand eine alte E-Mail-Adresse aus den 90ern, die er tatsächlich genutzt hatte. Hinzu kamen mehrere, verknüpfte Passwörter, von denen aber nur eines tatsächlich zu seinem Account gehörte.
Daraufhin kontaktierte er mehrere Personen, die seinem E-Mail-Verteiler folgten, die ebenfalls ihre Daten prüfen sollten. Einige gaben an, dass sie alte, nicht mehr genutzte Passwörter wiederfanden, andere entdeckten auch aktuelle Zugangsdaten ihrer Accounts. Die Daten reichen also teilweise mehrere Jahrzehnte zurück, andere sind neu.
Dieses Vorgehen, verschiedene Kombinationen auszutesten, verwenden übrigens auch Hacker. Beim “Credential Stuffing” (so nennt sich diese Methode) ist es unerheblich, wie alt die Daten sind. Da viele Menschen ihre Passwörter nur selten ändern, können Angreifer verschiedene, bekannte Zugangsdaten austesten, bis sie irgendwann Erfolg haben. Auch unsichere Passwörter wie “12345”, Geburtsdaten oder Namen können dadurch schnell geknackt werden.
Hunt lud die Passwörter in den Dienst „Pwned Passwords“ hoch, bei dem Sie ebenfalls prüfen können, ob ein bestimmtes Passwort bereits geknackt wurde. Die Passwörter werden ohne dazugehörige E-Mail-Adresse gespeichert, es geht hier also nur um die Sicherheit des Passworts selbst.
Dabei ist es übrigens egal, ob Sie ein unsicheres Passwort bereits verwendet haben oder eine andere Person:
Wenn Sie das Passwort „Fido123!” haben und feststellen, dass es bereits offengelegt wurde (was der Fall ist), spielt es keine Rolle, ob es in Verbindung mit Ihrer E-Mail-Adresse oder der einer anderen Person offengelegt wurde; es ist dennoch ein schlechtes Passwort, da es nach Ihrem Hund benannt ist und einem sehr vorhersehbaren Muster folgt. Wenn Sie ein wirklich starkes Passwort haben und es in Pwned Passwords aufgeführt ist, können Sie mit einiger Sicherheit davon ausgehen, dass es wirklich Ihres war. In jedem Fall sollten Sie dieses Passwort nie wieder verwenden, und Pwned Passwords hat seine Aufgabe erfüllt.
Hunt empfiehlt die regelmäßige Überprüfung der eigenen Passwörter und E-Mail-Zugänge (selbst wenn es sich nur um Wegwerf-Mail-Adressen handelt). Denn Sie können nie wissen, wer sonst alles an Ihre Daten kommen könnte.
