Massives Datenleck war offenbar größtenteils gefälscht

8. Mai 2016 Kategorie: Backup & Security, Internet, geschrieben von: André Westphal

3d illustration of a large brass padlock floating in a transparent think tank over a dark reflective surface

Anfang der Woche begannen viele von uns mal wieder sicherheitshalber alle Konten und Passwörter zu überprüfen: Reuters trommelte laut und wusste von einem massiven Datenleck zu berichten. 272 Mio. Kontoinformationen zu Gmail, Microsoft Yahoo und anderen Diensten sollten durchgesickert sein. Google und andere Anbieter wollten allerdings nicht unbesehen Panik schieben, sondern haben sich die vermeintlichen Kontoinformationen genauer angeschaut. Mehr als 98 % der Kontodaten sollen dabei blanker Unsinn sein. Auch der Anbieter Mail.ru ist zu einem ähnlichen Ergebnis gekommen.

Laut Mail.ru seien mehr als 99,98 % der veröffentlichten Kontodaten Unfug: 23 % der ausgeplauderten Kontodaten existieren gar nicht und weitere 65 % gibt es zwar, die veröffentlichten Passwörter sind aber falsch. Nochmals 12 % der Konten waren ohnehin bereits gesperrt, da sie entweder schon vor längerer Zeit gehackt wurden oder von Bots missbrauch worden waren. Yahoo geht zwar nicht derart ins Detail, hat gegenüber Ars Technica aber ebenfalls bestätigt, dass man das angebliche Datenleck geprüft habe und keine Bedrohung für die eigenen Kunden feststellen könne.

Android Security Guard

Microsoft schweigt zwar, doch bestünde tatsächlich ein Risiko für die Nutzer, hätten die Redmonder mit Sicherheit bereits reagiert und z. B. festgelegt, dass alle Anwender sich beim Einloggen neue Passwörter anlegen müssten. Am Ende scheinen die Hacker also an die Kontodaten nicht durch direkte Hacks der E-Mail-Anbieter gekommen zu sein, sondern haben vermutlich eher kleinere Webanbieter angegriffen und dort über mehrere Jahre Adressen gesammelt. Das würde erklären, warum zwar teilweise die E-Mail-Adressen existieren, die Passwörter aber fast alle falsch sind.

Dies liegt auch nahe, da das Unternehmen Hold Security, welches das Datenleck entdeckte bzw. die Informationen von einem Hacker erwarb, nur 1 US-Dollar dafür zahlen sollte. Am Ende rückte der Hacker die Daten sogar kostenlos heraus und wollte nur positiv in Social Media erwähnt werden. Es stecken also keine professionellen Angreifer dahinter, sondern ein einzelner Amateur, der sich etwas Aufmerksamkeit gewünscht hat. Hold Security bleibt dennoch bei der Aussage, dass rund 12 % der veröffentlichten Daten zu Mail.ru-Konten korrekt seien und den Zugang ermöglichten. Es sollte sich hier wohl um Fälle handeln, in denen die Anwender die selben Passwörter bei ihren E-Mail-Konten sowie den gehackten Drittanbieter-Diensten verwendet haben.

Ars Technica übt nun harsche Kritik an Hold Security: Das Unternehmen habe Panik geschürt und indirekt den Eindruck erweckt, Google und Co. seien direkt gehackt worden. Offenbar war dies aber nicht der Fall. Am Ende ist es natürlich wichtig auf Sicherheitsprobleme im Net aufmerksam zu machen, gerade da jüngst der World Password Day stattfand – unnötig Angst zu schüren, sei aber kontraproduktiv, wenn am Ende nur ein Skriptkiddie nach Aufmerksamkeit gegiert habe.


Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

André hat bereits 2250 Artikel geschrieben.