Troy Hunt ist vielleicht vielen unserer Leser bekannt. Er betreibt die Seite „Have I Been Pwned„. Sie benachrichtigt auf Wunsch Nutzer, wenn ihre Mail-Adresse in Zusammenhang mit einem Datenleck irgendwo auftauchte. Einige Sicherheitslösungen setzen mittlerweile auf die gesammelten Werke von Troy Hunt, beispielsweise 1Password, Firefox Monitor, Enpass oder auch Bitwarden. Diese Lösungen warnen dann, wenn ein Passwort in irgendeiner Datenbank gefunden wurde.
Denn es ist wie folgt: Es geht nicht immer nur im die reinen Konstellationen von Nutzername und Passwort, sondern oftmals werden diese Sachen von Angreifern getrennt behandelt. Man hat einen Zugangsnamen und probiert automatisiert Passwörter aus. Oder noch schlimmer: Es gab irgendwo einen Einbruch und die Angreifer konnten unverschlüsselte Passwörter und den Login-Namen abgreifen. Da werden diese dann sicherlich auch andere Dienste mit der Konstellation ausprobieren. „Cool, der loggt sich mit diesen Daten bei Facbook ein, dann probiere ich das auch mal bei Gmail, Amazon, eBay und Co.„.
Der neue Fund ist riesig und wird von Troy Hunt nach seinem Ordnernamen bezeichnet. #Collection1 – nicht eine Sicherheitslücke oder gedumpte Datenbank aus irgendeinem Angriff, es handelt sich wohl um eine Sammlung von Sammlungen. Zahlreiche Datenbanken zusammengetragen und als kompaktes Paket geschnürt. Problem: Die Kiste war (oder ist) jedermann zugänglich gewesen – das große Paket wurde also nicht unter der Hand in irgendwelchen Foren gehandelt. 772.904.991 einzigartige E-Mail-Adressen und über 21 Millionen einzigartige Passwörter, so einmal die nackte Zahl (rund 140 Millionen der Mail-Adressen tauchten schon einmal im Vorfeld bei Have I Been Pwned auf).
Woher all diese Daten stammen, ist unbekannt, allerdings gab es ja schon oft die großen Hacks – und wenn man alles zusammensammelt, dann kommen viele Accounts dabei heraus. Die gesammelten Listen scheinen laut Troy Hunt für die Verwendung bei so genannten Credential Stuffing-Angriffen konzipiert zu sein, hierbei werden automatisiert die möglichen Kombinationen ausprobiert.
Die neuen Datensätze wurden bereits eingepflegt und ihr könnt wie immer überprüfen, ob ihr in irgendeiner Form mit von der Partie seid.
Grundsätzliche Empfehlung unsererseits? Eigentlich die gleiche wie immer: Sofern ihr einen Passwort-Manager mit Integration von Have I Been Pwned nutzt, dann schaut rein. Sorgt dafür, dass ihr einzigartige Passwörter nutzt, die ihr eben nicht bei x Diensten einsetzt. Fast jeder Passwort-Manager generiert euch sichere Passwörter und sichert diese auch – selbst der Browser. Nutzt, wo immer möglich, die Zwei-Faktor-Authentisierung (2FA).