Und wieder einmal ist ein neues Datenleck im Internet aufgetaucht, das inzwischen mehr als 2 Milliarden unterschiedliche Datensätze aus E-Mail-Adressen, Passwörtern und personenbezogenen Daten wie Namen, Anschriften oder Bankverbindungen enthält. Sicherheitsexperte Troy Hunt, Betreiber der Website Have I Been Pwned, hat nach seiner Recherche am 17. Januar 2019 bereits die von Ihm getaufte „Collection 1“ in bekannten Hacker-Foren entdeckt, die als Datensammlung aus 773 Millionen Mailadressen und rund 21 Millionen Passwörtern zusammengestellt ist.
Die neue Datensammlung ist bisher noch nicht in seine Security-Dienste importiert, was vermutlich an der gigantischen Datenmenge von rund 0,7 Terabyte liegt. Nach der letzen Recherche des Hasso Plattner Instituts grassieren inzwischen mehr als 2,2 Milliarden Datensätze aus E-Mail und Passwort-Kombinationen im Netz und stellen damit eine ernsthafte Gefahr für Privatpersonen und Unternehmen dar. Aber wie hoch ist die Gefahr wirklich?
Inhalt
Collection #1 – Prävention statt Panik
Wi so oft ist Panik der falsche Weg. Während sich die Medien über großangelegte Hacker-Angriffe, Verschwörungstheorien, Datenmissbrauch, katastrophale Sicherheitsbedingungen bei Plattform-Anbietern und die digitale Macht der Nordkoreaner zerreissen, wirkt die Problematik in IT-Kreisen nur wie ein aufgewärmter Apfelstrudel.
Denn die Daten aus der Collection 1 und den weiteren Collections 2-5 sind alles andere als brandaktuell. Im Wesentlichen wurden hier nur umfangreiche Datensätze aus älteren Leaks kombiniert und zu einem neuen, gigantischen Datenpaket zusammengeschnürt. Die zeitgleiche Veröffentlichung wird durch die Medien brisanter gemacht, als sie ist.
Das heißt aber nicht, dass die geleakten Daten nicht brisant sind. Nach eigener Recherche von betroffenen Konten sind die Daten vollkommen echt und enthalten zum Teil vollständige Mail/Passwort-Kombinationen aus nicht explizit nachvollziehbaren Quellen.
Jedoch stammen die verwendeten Daten primär aus Leaks, die bereits im Jahr 2013, 2014 und 2015 veröffentlicht wurden und demnach auch in die „Collection 1“ aus 2019 geflossen sind. Da hat sich jemand also verdammt viel Mühe gemacht und zum Teil alten Müll zusammengestellt, der noch immer giftig ist.
Credential Stuffing als Gefahr
Und aus dieser Mühe wächst die wesentliche Gefahr, die aus so umfangreichen Datenlecks entsteht. Genau genommen bieten die Leaks den idealen Ansatzpunkt für sog. „Credential Stuffing„, das als Angriffsmethode mit vorgegebenen E-Mail/Passwort-Kombinationen sehr effizient ablaufen kann.
Im Gegensatz zu konventioneller „Brute-Force„-Methodik, bei der ein automatisiertes Skript alle möglichen Login/Passwort-Kombinationen mit „roher Gewalt“ durchkombiniert, bis der Login seinen Zugang sperrt oder die richtige Kombination gefunden ist, werden bei der Credential-Stuffing-Methode nur Login/Passwort-Kombinationen verwendet, die aus einer vorgegebenen (selektierten) Liste stammen.
Enthält diese Liste nun ausreichend umfangreiche und aktuelle Datensätze mit echten Login/Passwort-Kombinationen, steigt die Wahrscheinlichkeit für eine erfolgreiche Kompromittierung erheblich an.
Und genau das ist die Gefahr der aktuellen Leaks. Denn da draußen fühlen sich so einige virtuelle Ganoven durch derartige Datenlecks zusätzlich motiviert, um den ein oder anderen Account für etwaige Erpressungsversuche oder Datenmissbrauch zu übernehmen.
Laut Troy Hunt ist die Datenstruktur der Collection 1 optimal für Angriffe via Credential Stuffing vorbereitet, wie der nachfolgende Screenshot zeigt:
Für Credential Stuffing vorbereitete Datenstruktur der Collection 1 (Troy Hunt)
Wie so ein einfallsloser Erpressungsversuch aussehen kann, der uns zur Zahlung von 1000$ an eine Bitcoin-Wallet ermutigen will, zeigt der folgende Auszug:
You may not know me and you are probably wondering why you are getting this e mail, right? I'm a hacker who cracked your devices a few months ago. I sent you an email from YOUR hacked account. I setup a malware on the adult vids (porno) web-site and guess what, you visited this site to have fun (you know what I mean). While you were watching videos, your internet browser started out functioning as a RDP (Remote Control) having a keylogger which gave me accessibility to your screen and web cam. after that, my software program obtained all of your contacts and files. You entered a passwords on the websites you visited, and I intercepted it. Of course you can will change it, or already changed it. But it doesn't matter, my malware updated it every time. What did I do? I created a double-screen video. 1st part shows the video you were watching (you've got a good taste haha . . .), and 2nd part shows the recording of your web cam. Do not try to find and destroy my virus! (All your data is already uploaded to a remote server) – Do not try to contact with me – Various security services will not help you; formatting a disk or destroying a device will not help either, since your data is already on a remote server. I guarantee you that I will not disturb you again after payment, as you are not my single victim. This is a hacker code of honor. Don’t be mad at me, everyone has their own work. exactly what should you do? Well, in my opinion, $1000 (USD) is a fair price for our little secret. You'll make the payment by Bitcoin (if you do not know this, search "how to buy bitcoin" in Google). My Bitcoin wallet Address: XXXXXXyRZviUxoBaCU1pJM5m7C1XXXXXX (ANMERKUNG: Zur Sicherheit haben wir diese Bitcoin-Wallet anonymisiert) (It is cAsE sensitive, so copy and paste it) Important: You have 48 hour in order to make the payment. (I've a facebook pixel in this mail, and at this moment I know that you have read through this email message). To track the reading of a message and the actions in it, I use the facebook pixel. Thanks to them. (Everything that is used for the authorities can help us.) If I do not get the BitCoins, I will certainly send out your video recording to all of your contacts including relatives, coworkers, and so on. Having said that, if I receive the payment, I'll destroy the video immidiately. If you need evidence, reply with "Yes!" and I will certainly send out your video recording to your 6 contacts. It is a non-negotiable offer, that being said don't waste my personal time and yours by responding to this message. Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Bye!
Der Versuch war durchaus gut, aber leider zu penetrant. Vielleicht klappt es ja beim nächsten Mal! ;-)
Bin ich betroffen? HPI Identity Leak Checker
Zunächst sollte man herausfinden, ob die verwendeten E-Mail Adressen in den aktuellen Leaks auftauchen. Dazu hat das Hasso Plattner Institut mit dem HPI Identity Leak Checker ein geeignetes Tool geschaffen, dass die aktuell bekannten Datensätze in isolierter Datenbank-Umgebung automatisch nach dem Vorkommen der angefragten E-Mail Adresse durchsucht.
Eine Suchanfrage kann jedoch mehrere Stunden in Anspruch nehmen, je nach Auslastung des Servers und dem Umfang der durchsuchten Tabellen. Im Anschluss sendet das Tool an die angefragte Adresse einen automatisierten Bericht, der über das Vorkommen der Datensätze berichtet.
Wer in’s Schwarze trifft, freut sich über den nachfolgenden Bericht:
HPI Bericht über betroffene E-Mail Adresse
Übrigens: Hasso Plattner ist SAP-Vorsitzender und Mitbegründer des Softwarekonzerns aus Walldorf. Den wesentlichen Anteil an der Finanzierung des HPI übernimmt der Mäzen und Unternehmer Plattner aus eigener Tasche, die entsprechend gut gefüllt sein dürfte. Aber das nur am Rande.
Ich bin betroffen – Abhilfe und Prävention
It’s a Match! Wer diese Nachricht nicht in Zusammenhang mit seinem kontaktfreundlichen Smartphone-App erhält, sondern durch einen der vielseitigen Password-Leak-Detektoren, der sollte die folgenden Maßnahmen verfolgen:
(1) E-Mail Adresse identifizieren und betroffene Accounts ermitteln
Ist eine betroffene E-Mail Adresse über das Tool identifiziert, müssen nun alle potentiell betroffenen Accounts ermittelt werden. Grundsätzlich sind das alle, die einen Account unter der ermittelten E-Mail Adresse unterhalten. Dabei sollte man auf folgende Account-Arten besonders achten:
- Zahlungsanbieter wie PayPal
- Shopping und E-Commerce-Accounts (Amazon, eBay etc.)
- Soziale Netzwerke (Facebook, Twitter etc.)
- Telekommunikations-Anbieter (z.B. T-Mobile)
Alle ermittelten Accounts könnten potentiell von dem Collection 1 Leak oder den Collections 2 – 5 betroffen sein.
(2) Passwörter ändern
Schritt 2 sollte einleuchten: es müssen alle Passwörter der betroffenen Accounts geändert werden, mindestens nach der jeweils gültigen Strong-Password-Richtlinie oder darüber hinaus.
Es kann sinnvoll sein, für unterschiedliche Dienste unterschiedliche Passwörter zu nutzen, um die Wahrscheinlichkeit für erfolgreiches „Credential Stuffing“ zu minimieren.
(3) Passwörter absichern und 2-Faktor Authentifizierung aktivieren
Jetzt, wo alle Kennwörter geändert sind, ist ein unberechtigtes Eindringen von Dritten in die betroffenen Accounts unwahrscheinlicher, aber nicht ausgeschlossen. Denn mit der bekannten E-Mail Adresse ist ja grundsätzlich 50% eines möglichen Angriffs bereits erledigt.
Deshalb sichern wir Passwörter und alle möglichen Konten via Zwei-Faktor Authentifizierung ab. Apple bietet dazu beispielsweise eine Zwei-Faktor-Authentifizierung für die Apple-ID an, mit der wichtige Dienste wie die iCloud und persönliche Apple-Geräte doppelt geschützt werden können.
Zudem kann der Einsatz von Passwort-Management-Tools sinnvoll sein, wenn die darin verwendeten Sicherheitsbarrieren hinreichend sind. Auch hier wird i.d.R. eine Zwei-Faktor-Authentifizierung für die Absicherung der gespeicherten Login/Passwort-Kombinationen eingesetzt.
(4) Präventiv denken, vorsichtig handeln
Eine Vielzahl der Passwort/Login-Kombinationen ist nur deshalb gefährlich, weil viele Nutzer für unterschiedliche Dienste ein und dieselbe Login-Konfigurator aus Mail-Adresse und Passwort nutzen. Damit haben Angreifer ein leichtes Spiel beim Exploit der Datenlecks.
Im Umkehrschluss heißt das, dass wir durch eine weitestgehende Entkopplung der verwendeten Login-Informationen von sicherheitsrelevanten Accounts eine höhere Sicherheit im täglichen Umgang mit dem Web erfahren können.
Oder im Klartext: Wir nutzen für Social Media, PayPal, Online-Banking und Co. sehr sichere Passwörter und besonders geschützte oder geheimgehaltene E-Mail Adressen. Für alle weiteren Dienste wie Online-Communities, Dating-Portale, einfache Websites und kleinere Shopping-Portale ohne hinterlegte Zahlungs-Informationen nutzen wir eine separate E-Mail- und Passwort-Kombination, die bei einem Hack der eher schwach gesicherten „0815-Websites“ kein Risiko im Falle eines Datenlecks verursacht.
Collection 1 und Datenlecks – Ein Fazit
Natürlich lassen sich nicht alle Risiken gänzlich auf Null fahren, es sei denn, wir verweigern die Nutzung des Internets. Um den Anschluss an die digitale Welt nicht zu verlieren, sollten wir uns zumindest über effektive Sicherheitskonzepte für den Alltag Gedanken machen und die mit Technologie verbundenen Sicherheitsrisiken nicht vernachlässigen.
Die strikte Trennung von sicherheitsrelevanten Accounts zu alltäglichen Internet-Accounts ist ein erster Schritt, der durch eine klares Verständnis von Passwortsicherheit unterstützt werden sollte. Damit wird auch das größte Sicherheitsrisiko eliminiert, das auch die Collection 1 so gefährlich macht: Die selbe Kombination von E-Mail-Adressen und Passwörtern in unterschiedlichen Logins.
Wir können nicht verhindern, dass Webseitenbetreiber unsichere Passwort-Hashes verwenden oder Passwörter gar im Klartext speichern. Wir können lediglich wachsam sein und müssen stets damit rechnen, dass Dritte mit unseren Daten nicht immer sorgfältig umgehen.
