Datenklau: Russische Hacker erbeuten 1,2 Milliarden Passwörter [UPDATE]
Kommentare

Russischen Cyber-Kriminellen ist ein Angriff auf Profildaten gelungen, der durch seine Dimensionen einen neuen Rekord aufstellt. Über eine Milliarde Datensätze, genauer gesagt satte 1,2 Milliarden Kombinationen aus Passwörtern und Benutzernamen, landeten in den Händen der Hacker-Gruppe. Stimmen die Zahlen, wäre fast jeder zweite Internet-Nutzer von dem Angriff betroffen. Noch lässt sich nicht feststellen, welche Logins erbeutet wurden. Klar ist allerdings, wer die Täter sind.

Hacker erbeuten Datensätze von 420.000 Websites

Sieben Monate lang hatte die US-amerikanische Sicherheitsfirma Hold Security versucht, kriminelle Cyber-Aktivitäten einer russischen Hacker-Gruppierung zu identifizieren. Dies ist den IT-Experten nun gelungen. Hold Security entdeckte die gestohlenen Datensätze in den Untergrundkanälen im Internet und hat auch schon Kontakt mit der verantwortlichen Hacker-Gruppe aus Zentral-Russland aufgenommen, berichtet die New York Times.

500 Millionen E-Mail-Adressen betroffen

Hold Security nennt die Cyberkriminellen „CyberVor“. „Vor“ bedeutet im Russischen „Dieb“. Die entwendeten Login-Daten stammen von circa 420.000 Websites, inklusive einiger bekannter Namen. Um welche Websites es sich genau handelt, geben US-amerikanische Sicherheitsexperten nicht an. Von dem Angriff der Cyber-Kriminellen sind nach Einschätzung der Experten über 500 Millionen E-Mail-Adressen betroffen. Da viele User die gleichen Login-Daten für mehrere Accounts nutzen, kann diese Zahl noch deutlich höher sein, berichten die Sicherheitsexperten auf ihrer Website:

The CyberVor gang amassed over 4.5 billion records, mostly consisting of stolen credentials. 1.2 billion of these credentials appear to be unique, belonging to over half a billion e-mail addresses. To get such an impressive number of credentials, the CyberVors robbed over 420,000 web and FTP sites.

Momentan nutzen die Cyberkriminellen die erbeuteten Daten zum Versand vom Spam-Mails mit Werbung oder mit integrierten Links, die Viren oder Schadsoftware beinhalten. Der CEO von Hold Security Alex Holden betonte gegenüber New York Times, dass die meisten Websites noch angreifbar wären. Die Betreiber der Websites sowie Behörden hätte man entsprechend informiert. 

Deutschland mit großer Sicherheit betroffen

Auch Deutschland dürfte bei dem Ausmaß des Hacker-Angriffs betroffen sein. Da allerdings die Daten noch zu vage wären, macht das Bundesamt für Sicherheit den deutschen Internet-Nutzern noch keine konkreten Ratschläge bezüglich des Cyberkriminellen-Angriffs. Jedenfalls empfehlen wir, alle Online-Passwörter dringend zu ändern.

 

UPDATE: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile Stellung zu dem Vorfall bezogen. Die Umstände wurden bestätigt. Man arbeite derzeit Seite an Seite mit amerikanischen und deutschen Sicherheitsbehörden mit Hochdruck daran festzustellen, ob auch deutsche Nutzer betroffen sind. Ob die astronomische Zahl von 1,2 Milliarden Identitäten stimmt, ist derzeit noch unklar. Sollte sie zutreffen, sei mit hoher Wahrscheinlichkeit damit zu rechnen, dass auch deutsche Nutzer und Anbieter unter den Opfern sind. Es gibt für Privatanwender derzeit keine Möglichkeit herauszufinden, ob sie betroffen sind. Das BSI rät Nutzern, sich an die hauseigenen Tipps zum sicheren Surfen im Internet zu halten.

Der Angriff zielte vor allem auf Webseiten und Datenbanken von Anbietern im Internet, heißt es weiter im Bericht. Allzu viel weiß man bei der Behörde offenbar nicht. Der müde Ratschlag des BSI latet: Kundendaten in Datenbanken stets verschlüsselt aufzubewahren, bekannte Lücken schnellstmöglich schließen und dem Kunden sichere Authentifizierungsmöglichkeiten anbieten. Eine sichere Authentifizierungsmöglichkeit sei beispielsweise eine Zwei-Faktor-Authentifizierung, wie sie unter anderem PayPal nutzt und die mittlerweile von siebzehnjährigen Nachwuchshackern geknackt wird. Am Ende der Stellungnahme wird auf die ebenfalls hauseigenen Mindestanforderungen für Sicherheit im eCommerce von 2011 (!) verwiesen.

Aufmacherbild: no face hacker and binary code von Shutterstock/ gualtiero boffi

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -