{"id":204742,"date":"2025-06-20T08:35:13","date_gmt":"2025-06-20T08:35:13","guid":{"rendered":"https:\/\/www.europesays.com\/de\/204742\/"},"modified":"2025-06-20T08:35:13","modified_gmt":"2025-06-20T08:35:13","slug":"16-milliarden-zugangsdaten-kein-neuer-leak-viele-alte-daten","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/204742\/","title":{"rendered":"16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten"},"content":{"rendered":"
    \n
  1. \n

    16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten<\/p>\n<\/li>\n<\/ol>\n

    Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu „Apple, Facebook, Google und anderen“ (so titelt etwa die Forbes<\/a>) in falsche H\u00e4nde geraten seien. Quelle ist einmal mehr Cybernews \u2013 die bereits in der Vergangenheit mit massiven \u00dcbertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits l\u00e4ngst bekannt geleakten Daten<\/a> auffielen. Auch in diesem Fall ist Aufregung \u00fcber vermeintliche Datenlecks deplatziert.<\/p>\n

    Nun schreibt Cybernews<\/a> unter dem fast passenden Titel „Das 16-Milliarden-Eintr\u00e4ge-Datenleck, von dem niemand je geh\u00f6rt hat“, dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Eintr\u00e4gen gefunden h\u00e4tten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zug\u00e4ngen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.<\/p>\n

    Inhalt der Datenfunde<\/p>\n

    „Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datens\u00e4tzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind“, beschreibt das Unternehmen die Datenfunde selbst. Die Daten h\u00e4tten sie gar nicht effektiv abgleichen k\u00f6nnen, aber „es ist sicher anzunehmen, dass \u00fcberlappende Eintr\u00e4ge definitiv vorhanden sind. Mit anderen Worten ist es unm\u00f6glich zu sagen, wie viele Menschen oder Zug\u00e4nge tats\u00e4chlich exponiert wurden“.<\/p>\n

    Die Forscher h\u00e4tten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passw\u00f6rtern, wie sie „moderne Infostealer“ sammeln und ablegen. Die Datenbanken seien namentlich etwa „Logins“ oder „Credentials“, aber auch geografische Zuordnungen wie „Russian Federation“ oder Dienste wie „Telegram“ haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.<\/p>\n

    Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten<\/a> inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der „Mutter aller Datenlecks“ (MOAB, „Mother of all Breaches“), wie Cybernews einen Datenfund Anfang 2024 \u00fcbertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung l\u00e4ngst bekannter Daten<\/a>. Auf unsere Anfrage zur Einsch\u00e4tzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.<\/p>\n

    Breach, Leak oder schlichtes Einsammeln?<\/p>\n

    In der Berichterstattung zu derlei Begebenheiten unterliegt die Genauigkeit bisweilen der Sehnsucht nach einer griffigen \u00dcberschrift. Titeln englischsprachige Medien von einem „Breach“, ist \u00fcblicherweise ein Datenklau durch einen Einbruch direkt bei einem Unternehmen oder Seitenbetreiber gemeint, wie etwa Google oder Apple. Das ist hier offenkundig nicht der Fall \u2013 obgleich die Autoren das schlagzeilentr\u00e4chtig suggerieren. Allenfalls um ein „Leak“ k\u00f6nnte es sich der medialen Schilderung zufolge handeln, also um versehentlich durch Kriminelle \u00f6ffentlich gemachte Daten.<\/p>\n

    Die „klare Struktur“ der Daten ist in der Szene ebenfalls \u00fcblich und jedem halbwegs seri\u00f6sen Akteur im Infostealer-Umfeld sattsam bekannt: Es handelt sich um sogenannte „txtbases“, also im Textformat getauschte Zugangsdaten. \u00dcblicherweise verwendet die Szene das Format „Dienst|Benutzername|Passwort“, txtbase-Dateien sind etwa in offen zug\u00e4nglichen Messenger-Gruppen Gigabyte-weise kostenlos herunterladbar.<\/p>\n

    Als kurze Finger\u00fcbung f\u00fcr den Br\u00fcckentag haben wir uns an einem bekannten Tauschplatz f\u00fcr derlei Datens\u00e4tze eingeloggt und knapp 70 Textdateien mit einem Gesamtvolumen von ca. 7 GByte heruntergeladen. Diese enthalten etwa 122 Millionen Eintr\u00e4ge, darunter allein 4 Millionen Eintr\u00e4ge zu Metas sozialem Netzwerk Facebook. Die \u00dcberlappung ist jedoch erheblich: Die H\u00e4lfte der Facebook-Kontonamen taucht in unserer Stichprobe zwei- oder mehrfach auf.<\/p>\n

    W\u00e4hrend die heise-security-Redaktion mit Kommandozeilenwerkzeugen wie grep und awk hantiert (und die gewonnenen Daten nicht in einer Leak-Datenbank speichert), geht Zugangsdaten-Experte Troy Hunt wesentlich professioneller zu Werke. Er verarbeitete im vergangenen Februar eine Datenbank aus 23 Milliarden Eintr\u00e4gen und dokumentierte den Prozess minuti\u00f6s in seinem Blog<\/a>.<\/p>\n

    Insgesamt stehen auf der von uns angesteuerten txtbase-Tauschb\u00f6rse \u00fcber 10.200 Dateien zum Download bereit, unserer Stichprobe zufolge mit durchschnittlich 1,8 Millionen Zeilen pro Datei. Das bedeutet: Allein in dieser einen Quelle finden sich \u00fcber 19 Milliarden Zugangsdaten \u2013 fast 20 Prozent mehr als im schlagzeilentr\u00e4chtigen „Mega-Leak“. Und das ohne Darknet-Brimborium und Zahlungen an Cyberkriminelle, sozusagen ohne Leak und doppelten Boden.<\/p>\n

    Panik erneut unangebracht<\/p>\n

    Mit diesem Wissen zeigt sich: Panik anhand der „neuen Enth\u00fcllung“ ist unangebracht. Cyberkriminelle versuchen wie in der Vergangenheit, alte Datenfunde zu qualifizieren und etwa mittels Credential-Stuffing in Dienste einzubrechen. Internetnutzer m\u00fcssen weiterhin achtsam bleiben, ob m\u00f6glicherweise ungew\u00f6hnliche Zugriffe auf von ihnen genutzte Dienste erfolgen und gegebenenfalls bei Verdacht Passw\u00f6rter \u00e4ndern. Das Aktivieren von Mehrfaktorauthentifikation oder sogar die Nutzung von Passkeys empfiehlt sich f\u00fcr besseren Schutz.<\/p>\n

    Infostealer bleiben zudem ein weit verbreitetes Ph\u00e4nomen. Erst k\u00fcrzlich stie\u00dfen wir auf Malvertising mit macOS-Tipps<\/a>, die Malware-Autoren verstecken Schadsoftware jedoch auch in Spiele-Betas<\/a> und gef\u00e4lschten Apps. Strafverfolger konzentrieren sich daher in der „Operation Endgame<\/a>“ auf die Cyberkriminellen, die rund um die Infostealer ein eintr\u00e4gliches \u00d6kosystem betreiben.<\/p>\n

    (dmk<\/a>)<\/p>\n

    \n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n

    Links zu verschenkten Artikeln werden ung\u00fcltig,
    \n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n

    Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten Viele Medien berichten derzeit von einem angeblichen massiven Datenleck,…\n","protected":false},"author":2,"featured_media":204743,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[50407,66655,66656,66657,13,196,14,15,27971,12,1687,10,8,9,11],"class_list":{"0":"post-204742","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-nachrichten","8":"tag-alt","9":"tag-cybernews","10":"tag-dataleak","11":"tag-elasticsearch","12":"tag-headlines","13":"tag-it","14":"tag-nachrichten","15":"tag-news","16":"tag-remix","17":"tag-schlagzeilen","18":"tag-security","19":"tag-top-news","20":"tag-top-meldungen","21":"tag-topmeldungen","22":"tag-topnews"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114714780080505381","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/204742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=204742"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/204742\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/204743"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=204742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=204742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=204742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}