Russische Hackergruppe stiehlt 1,2 Milliarden Nutzerdaten von zahlreichen Webseiten
Wieder einmal geht es um gestohlene Daten verschiedener Webseiten. Dieses Mal aber in unvorstellbarem Ausmaß. Russische Cyberkriminelle sollen nicht weniger als 1,2 Milliarden Logininformationen (Name + Passwort) und über 500 Millionen E-Mail-Adressen von über 420.000 Webseiten gestohlen haben. Entdeckt wurde dies von Hold Security, eine Firma, die auch direkten Kontakt zu der kleinen Gruppe hat. Hold Security ist nicht unbekannt, auch den Adobe Hack letztes Jahr deckte die Firma auf.
Hold Security nennt weder betroffene Nutzer, noch die betroffenen Webseiten, beruft sich hierbei auf NDAs und den Schutz vor weiteren Angriffen, da viele Seiten weiterhin angreifbar wären. Die New York Times hat die Daten von einer unabhängigen Person prüfen lassen, das Ergebnis bestätigt eine Echtheit der Daten. Ein weiterer Sicherheitsexperte sagt aus, dass mehrere große Firmen von dem Diebstahl betroffen sind und diese auch Bescheid wissen.
Insgesamt gibt es in den gestohlenen Daten 4,5 Milliarden Einträge, nach Bereinigung von Mehrfacheinträgen bleiben 1,2 Milliarden Datensätze übrig. Diese wiederum beinhalten 542 Millionen einzigartige E-Mail-Adressen. Selbst, wenn diese Daten nicht mehr völlig aktuell sind, bleibt sicher immer noch eine Größenordnung zurück, die bisher nicht erreicht wurde.
Da noch nicht bekannt ist, welche Webseiten betroffen sind und über welche Lücke die Hacker an die Daten kamen, kann man sich aktuell auch nicht wirklich schützen. Klar, eine Änderung der Logininformationen macht zumindest die Einträge der jetzigen Sammlung unbrauchbar, aber die Änderung könnte ebenso wieder abgegriffen werden.
Es wird sicher nicht lange dauern, bis es eine Flut an „Ändere Dein Passwort, wir wurden gehackt“-Mails in den Mailboxen der Nutzer ankommt. Wird echt langsam Zeit, dass es neue, einfach nutzbare Login-Systeme gibt. Eine 2-Faktor-Authentifizierung ist zwar schön und gut, für die Masse aber viel zu aufwändig, als dass sich das großflächig durchsetzen würde.
(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)
Wird geladen ...
@Sascha: „Wird echt langsam Zeit, dass es neue, einfach nutzbare Login-Systeme gibt.“
Einverstanden. Und wie stellst Du Dir die vor?
Bezüglich Zwei-Faktor-Authentifizierung:
Sofern das Passwort halbwegs sicher und ordentlich gesalzen ist, ist es ohnehin sicher. Je nachdem wie der zweite Faktor im Backend umgesetzt ist erhöht er den Aufwand auch nur im niedrigen polynominalen Bereich. Der zweite Faktor schützt vor Leuten die dir beim Passwort eingeben zuschauen – nicht vor Leuten die die entsprechende Datenbank klauen.
Wirklich wertvoll (aus Sicht des Ganoven) ist ohnehin eher der Rest des Datensatzes (echte Mails, Kreditkartendaten, Namen, Adressen, Telefonnummern), den man entweder weiterverkaufen kann – oder den Identitätsdiebstahl selber aufziehen kann.
@Tia Peopleman
eBay hat das gehackt worden sein Ende Mai zugegeben – wobei der Hack an sich wohl schon deutlich länger her ist, und auf Heartbleed beruhte. Böse Zungen behaupten eBay wollte den Vorfall totschweigen.
Tut mir leid das sagen zu müssen: aber wem die 2-Faktor-Authentifizierung so kompliziert ist ja muss gehackt werden! Einfacher als das kurze Token einzugeben nach dem regulären Passwort geht es wirklich nicht.
Langsam nervt dieser Putin -_-
Was hat Putin damit zutun?