Massives Datenleck war offenbar größtenteils gefälscht
von André Westphal | 14 Kommentare
Anfang der Woche begannen viele von uns mal wieder sicherheitshalber alle Konten und Passwörter zu überprüfen: Reuters trommelte laut und wusste von einem massiven Datenleck zu berichten. 272 Mio. Kontoinformationen zu Gmail, Microsoft Yahoo und anderen Diensten sollten durchgesickert sein. Google und andere Anbieter wollten allerdings nicht unbesehen Panik schieben, sondern haben sich die vermeintlichen Kontoinformationen genauer angeschaut. Mehr als 98 % der Kontodaten sollen dabei blanker Unsinn sein. Auch der Anbieter Mail.ru ist zu einem ähnlichen Ergebnis gekommen.
Laut Mail.ru seien mehr als 99,98 % der veröffentlichten Kontodaten Unfug: 23 % der ausgeplauderten Kontodaten existieren gar nicht und weitere 65 % gibt es zwar, die veröffentlichten Passwörter sind aber falsch. Nochmals 12 % der Konten waren ohnehin bereits gesperrt, da sie entweder schon vor längerer Zeit gehackt wurden oder von Bots missbrauch worden waren. Yahoo geht zwar nicht derart ins Detail, hat gegenüber Ars Technica aber ebenfalls bestätigt, dass man das angebliche Datenleck geprüft habe und keine Bedrohung für die eigenen Kunden feststellen könne.
Microsoft schweigt zwar, doch bestünde tatsächlich ein Risiko für die Nutzer, hätten die Redmonder mit Sicherheit bereits reagiert und z. B. festgelegt, dass alle Anwender sich beim Einloggen neue Passwörter anlegen müssten. Am Ende scheinen die Hacker also an die Kontodaten nicht durch direkte Hacks der E-Mail-Anbieter gekommen zu sein, sondern haben vermutlich eher kleinere Webanbieter angegriffen und dort über mehrere Jahre Adressen gesammelt. Das würde erklären, warum zwar teilweise die E-Mail-Adressen existieren, die Passwörter aber fast alle falsch sind.
Dies liegt auch nahe, da das Unternehmen Hold Security, welches das Datenleck entdeckte bzw. die Informationen von einem Hacker erwarb, nur 1 US-Dollar dafür zahlen sollte. Am Ende rückte der Hacker die Daten sogar kostenlos heraus und wollte nur positiv in Social Media erwähnt werden. Es stecken also keine professionellen Angreifer dahinter, sondern ein einzelner Amateur, der sich etwas Aufmerksamkeit gewünscht hat. Hold Security bleibt dennoch bei der Aussage, dass rund 12 % der veröffentlichten Daten zu Mail.ru-Konten korrekt seien und den Zugang ermöglichten. Es sollte sich hier wohl um Fälle handeln, in denen die Anwender die selben Passwörter bei ihren E-Mail-Konten sowie den gehackten Drittanbieter-Diensten verwendet haben.
Ars Technica übt nun harsche Kritik an Hold Security: Das Unternehmen habe Panik geschürt und indirekt den Eindruck erweckt, Google und Co. seien direkt gehackt worden. Offenbar war dies aber nicht der Fall. Am Ende ist es natürlich wichtig auf Sicherheitsprobleme im Net aufmerksam zu machen, gerade da jüngst der World Password Day stattfand – unnötig Angst zu schüren, sei aber kontraproduktiv, wenn am Ende nur ein Skriptkiddie nach Aufmerksamkeit gegiert habe.
Wird geladen ...
Dies ist der obligatorische, selbstgefällige „War doch klar“-Kommentar.
Ich habe trotzdem mein Passwort vorsichtshalber von 123456 auf 654321 geändert.
Nur Zahlen war mit schon immer zu unsicher, ich nutzer daher noch Klein- und Großbuchstaben: „Passwort123“. Hat noch keiner geknackt;)
@Bernd,
das ist sehr vernünftig!
Spaß beiseite:
Langsam geht mir dieses ganze Sicherheitsleckgetue ganz schön auf den Geist.
Ich habe seit 2000 ca. 10 Mailaccounts für unterschiedliche Anwendungen und habe nicht einmal die Passwörter geändert. Ich glaube schon lange NICHTS mehr was so über Sicherheitslücken bekannt wird, sucht man zu einem bestimmten Thema bei Google, beziehen sich die ersten 1000 Seiten auf Viren Würmer und Trojaner, obwohl der Fehler eigentlich ein ganz anderer ist, der mit einem Befall des Systems rein gar nichts zu tun hat.
Das Sicherheitsdenken einzelner ist schon krankhaft Paranoid.
@Tom
Ist wie mit den Jobangeboten, bei denen man mit nur fünf Stunden Arbeit im Internet am PC pro Monat 4.500,-€ verdienen kann. Man sollte stutzig werden und mal den logischen Verstand benutzen.
Ich bin nicht vom Fach, sondern gehe einfach von dem aus, was man auf einschlägigen Tech-Seiten in Fällen von Datendiebstählen so liest: Direkte, zumindest zeitnahe, Meldung der Anbieter an die Nutzer, mit der Bitte, ihre Passwörter zu ändern. Berichte von Nutzern, offizielle – kleinlaute – Statements der Anbieter. Meist unvollständige Datensätze ohne Passwörter, wenn mit Passwörtern, dann zumindest entsprechend verschlüsselt.
All das hat mich zu dem Schluss gebracht, dass die 272 Mio Datensätze entweder Fake oder zu einem sehr großen Teil einfach zu alt sind, um valide zu sein. Aktuelle und valide Daten in dem Umfang unbemerkt abgegriffen, wären sicherlich so einiges Wert. Das verschenkt man jedenfalls nicht, wenn man rechtschaffen ist. Und rechtschaffene Menschen kommen sicherlich nicht in den Besitz von 272 Mio aktuellen Datensätzen, ohne selbst ordentlich Geld dafür auf den Tresen gelegt zu haben. Und staatliche Institutionen hätten das entweder geheim gehalten und selbst genutzt, oder eben publik gemacht. Egal in welche Richtung ich denke, es will mir nicht logisch vorkommen, dass diese Daten ALLE korrekt wären.
Sichere Passworte sind absolut notwendig bei Diensten, die dem Nutzer Geld kosten (können). Klassisches Beispiel wäre hier das Online-Banking.
Bei „sozialen Netzwerken“ wäre zu fragen, ob es dem Nutzer schadet, wenn jemand Fremdes seinen Account „kapert“, da er sein Passwort kennt, und nun in fremdem Namen loslegt. Wer damit leben kann, der belässt es bei einem „einfachen“ Passwort. Ich frage mich nur, warum dieser Nutzer dann an „sozialen Netzwerken“ teilnimmt…
Letztendlich gibt es so viele Tools (KeePass oder andere), die das Erzeugen und Verwalten von Passworten so einfach macht, dass ich nicht verstehen kann, warum man selbige nicht nutzt. So weit sollte die „Bequemlichkeit“ (Dummheit) doch nicht gehen, dass man simple oder sogar identische Passworte (überall) verwendet.
Darüberhinaus gilt für mich: Verschlüsselung von E-Mails ist ein Muss. Ich schreibe auch keine Postkarten (außer Grußpostkarten), sondern Briefe und verlasse mich auf die virtuelle Verschlüsselung via juristischem Briefgeheimnis.
Wo ist das Problem beim „Dazulernen“? Ich hatte anfangs ebenfalls einfache Passworte, achtete nur darauf, dass ich bei kostenträchtigen Diensten andere, etwas kompliziertere Passworte verwendete. Dann bekam ich vom ZDF aus Köln eine E-Mail, die mir klar machte, dass eine von mir verwendete User/Passwort-Kombination auf einem fremden Server gefunden worden war. Holla, ich schaute mich um und bin bei Roboform gelandet (kostenpflichtig). War zugegebenermaßen etwas voreilig, da ja Open-Source-Lösungen verfügbar (aber nicht so komfortabel) waren/sind.
Verschlüsselung von E-Mails betreibe ich mit einigen Bekannten, denen ich die entsprechenden Tools (portable Thunderbird/GnuPG/Enigmail) gerne konfiguriere.
So gerüstet, kann man obigen „Nachrichten“ gelassen gegenübertreten. (Ein Problem bleibt mir aber immer noch, für das ich bisher keine Lösung habe: Wie ändere ich in regelmäßigen Abständen meine Passworte?)
@friddes: Dem Nutzer schaden? Wer weiß denn schon wirklich, was mit den Daten aus sozialen Netzwerken geschieht, selbst, wenn das nur durch Kapern des Accounts geschehen ist? Falls jemand deshalb einen schlechteren Score bei der Schufa bekomm, kostet das diesem Jemand bares Geld, ohne dass er das mitbekommt, denn wie der Score ermittelt wird, ist ja Geschäftsgeheimnis. Ansonsten stimme ich Ihnen zu.
Es ist ganz einfach. Mein Passwort ist „invalid“. Wenn ich es vergesse, sagt mir das System jedesmal, wie mein Passwort lautet: Your Password is invalid.
@dervergessliche
Mein Passwort ist „again“.
Superleicht zu merken:
Your password is invalid. Try again.
Es gibt so viele Sicherheitsfeatures die Angeboten werden, warum nutzt man die nicht einfach?
Ich glaub ich weiß es … pure Faulheit.
Wer am Anfang faul ist, der muss später halt dafür um so mehr arbeiten.;)
@friddes: „Bei „sozialen Netzwerken“ wäre zu fragen, ob es dem Nutzer schadet, wenn jemand Fremdes seinen Account „kapert““ – Ist das Dein Ernst?
Lass uns mal sehen – erst mal kann er Dich von Deinem Netzwerk ausschließen. Dan kann er es zerstören oder missbrauchen, Deine Freunde beschimpfen – immer in Deinem Namen. Mit geeigneten Schlüsselwörtern in Fake-Postings kommst Du dann auch noch ins Raster der Geheimdienste…
@effbee:
Ich hoffe die Bedeutung deiner Beispiele ist reziprok zur Aufzählungsreihenfolge 😉 Ausschluß aus einem Netzwerk dürfte nämlich nicht wirklich schlimm sein, die anderen Dinge hingegen schon, da stimme ich Dir zu. Eigentlich umso schlimmer, daß soviele soziale Netzwerke nutzen.
Komische Kommentare hier. Auch wenn die Daten falsch sind. Das ändern ist doch deswegen keine falsche Idee?
Gerade wenn man ein schwaches Passwort hat.
Es gibt ja keinen Schaden.Wenn man ab und zu mal das ganze ändert. Vorsicht ist immer gut,
Eine genaue Recherche der Berichterstattung auf verschiedenen seriösen Medien zeigt schnell, ob etwas dran ist und wenn ja bei welchem System – und somit ob man selbst betroffen ist: Denn wer hat nicht mindestens 50 Passwörter, die man nicht einfach mal eben wechseln kann.