Nach dem ersten Leck der Passwort Collection #1 sind die Collections #2 bis #5 mit 2,2 Milliarden Kontendaten im Internet aufgetaucht.
Anzeige
Mitte Januar 2018 stieß der australische Sicherheitsforscher Troy Hunt im Internet auf eine Sammlung mit 773 Millionen E-Mail-Datensätzen. Das war die größte Sammlung an geleakten E-Mail-Konten/Passwörter-Kombinationen, die jemals gefunden wurde. Dem Datensatz wurde die Bezeichnung Collection –1 gegeben – ich hatte im Blog-Beitrag Passwort-Collection mit 773 Millionen Einträgen im Netz berichtet.
Neue Collections aufgetaucht
Wie diverse Medien (u.a. der heise.de Newsticker) berichten, wurden inzwischen auch die Collections 2-5 im Netz gesichtet. heise.de bezieht sich auf Angaben des Hasso-Plattner-Instituts, wonach mit den Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter im Internet kursieren.
Das Material wurde dabei aus verschiedenen Leaks zusammen gestellt und anfangs in einschlägigen Foren gehandelt. Inzwischen ist das Material wohl auch auf der Plattform Mega frei verfügbar.
Bin ich betroffen?
Ob eine E-Mail-Adresse in den Listen auftaucht, lässt sich auf der von Troy Hunt betriebenen Seite Have I been pwned abfragen. Ob ein Passwort schon mal in einer Liste aufgetaucht ist, lässt sich auf dieser von Troy Hunt betriebenen Seite abfragen.
Anzeige
Nicht jeder möchte aber seine Daten auf einer der oben verlinkten, ausländischen Webseiten eingeben. Das Hasso Plattner Institut bietet auf dieser Webseite ebenfalls eine Prüfmöglichkeit für E-Mails über den Identity Leak Checker. Dort wird das Prüfergebnis per Mail mitgeteilt.
Blog-Leser Oli weist in seinem Kommentar hier (danke dafür) darauf hin, dass Troy Hunt auch eine Lösung für die Offline-Abfrage anbietet. Mit Keepass und dem Plugin HIBPOfflineCheck lassen sich z.B. die Kennwörter überprüfen (Details gibt es auf der verlinkten GitHub-Seite).
Zudem wurde ich von Janis von Bleichert kontaktiert, nachdem ich die Beitrag Passwort-Collection mit 773 Millionen Einträgen im Netz veröffentlicht hatte. Janis schreibt:
Ich habe gesehen, dass Sie in Ihrem Beitrag auf das Security-Tool von haveibeenpwned.com hinweisen. Ich halte das Tools ebenfalls für sehr nützlich, aber leider war es bisher nur auf Englisch verfügbar.
Um ein Anlaufstelle für deutschsprachige Nutzer zu schaffen, habe ich alle Informationen zu den mehr als 300 Daten-Leaks auf Deutsch übersetzt (die Informationen stehen unter einer offenen Lizenz). Zudem habe ich ein Tool programmiert, mit dem die Nutzer einfach überprüfen können, ob ihre E-Mail-Adresse von einem Datenleck betroffen ist.
Ich habe das Tool unter https://www.experte.de/email-check [GB: das ist ein Vergleichsportal] veröffentlicht. Ich würde mich sehr freuen, wenn Sie in Ihrem Beitrag neben haveibeenpwned.com auch auf die deutschsprachige Version verweisen könnten. Weitere Informationen zum Tool finden Sie auch in einem aktuellen WDR Blog-Beitrag.
Vielleicht hilft es weiter. Ergänzung: Zum 30. Januar 2019 hat auch Wired diesen Artikel zum Thema veröffentlicht.
Anzeige
Kleine Korrektur:
Die aktuelle TroyHunt downloadbare Datei enthält noch nicht den neuen Leak!:
"version 4 came in January 2019 along with the "Collection #1" data breach to bring the total to over 551M."
Wir müssen also auf Version 5 warten.
Ebenso muss ich von dem Email Check von TroyHunt abraten. Er selbst bindet Google auf seiner Test Seite ein und verkauft somit die Userdaten an Google!
Siehe https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fhaveibeenpwned.com%2FPasswords#requests
Die Testseite von Herrn Bleichert ist nicht besser: https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fwww.experte.de%2Femail-check#requests
Und das obwohl er unter Datenschutz
"Wir nehmen den Schutz Ihrer Daten sehr ernst."
Schreibt. Entweder ist das Betrug oder Unwissenheit. Beides jedoch traurig.
Google verseucht sicher 90% aller Seiten im Internet, sei es mit Werbung oder mit so tollen Features wie Maps oder Webfonts. Und wenn man die Webmaster (oder Seitennutzer) darauf anspricht, wird man zum Aluhutträger ernannt.
Allerdings behauptet die Testseite, TroyHunt würde Googles ReCaptcha auf seiner Seite laden. Ich habe dort kein Captcha gesehen und man braucht auch keinen dieser Deppentests durchführen, um seine Anfrage senden zu können.
Google-Elemente auf der Seite bedeuten auch nicht zwangsläufig, dass Eingaben auf dieser Seite an Google übermittelt werden.
Nichtsdestotrotz: Für solche Sachen ist ein Adblocker wie uBlock gut. Dort bekommt man auch ohne Dataskydd aufgelistet, welche Fremdseiten beteiligt sind.
Da hast du leider Recht und es liegt an uns User den Webmaster zu erzählen wie kacke Google ist und das sie die alternativen dazu nutzen.
Siehe dazu: https://www.kuketz-blog.de/kommentar-das-bullshit-web/
Und ja, man muss davon ausgehen das Daten an Google gehen wenn diese als Script etc. Eingebaut sind. Alles andere ist naiv
PS: uBlock ist nicht das Original. Dieses heißt uBlock Origin ;)
In der Tat, welch eine Ironie. Ist wenigstens das Angebot vom Hasso Plattner Institut annehmbar?
an user123
Danke für den Link. Lesenswert!
Aber die meisten scheint es einfach nicht zu stören.
Wieso gibt es eigentlich diese Google Webfonts?
Welchen Sinn hat es, aus der Ferne Fonts zu laden, statt diese auf einem PC vorzuhalten (im Fonts-Ordner)?
Ich bin froh, dass es die Suche nach Passwörtern gibt (https://haveibeenpwned.com/Passwords), sonst wäre der Aufwand für mich nicht zu stemmen, da ich haufenweise Email-Adressen mit Hunderten Passwörtern habe (die verwalte ich mit einem Passwortmanager).
Ich bin mit zwei Email-Adressen auch drin – das sind aber uralte Passwörter, die damals von der Länge und Komplexität noch gingen, heute natürlich nicht mehr und die ich selbstverständlich auch nicht mehr nutze. Ein kompromittiertes Kundenkonto ist nicht löschbar oder das Passwort änderbar. Ich werde den Betreiber, der in UK sitzt, mal anschreiben.
Dann habe ich noch einen seltsamen Eintrag bei hauppauge.co.uk von 2013, inkl. Namen, Geburtsdatum und IP. Wahrscheinlich habe ich mich damals dort im Forum angemeldet – das Forum existiert nicht mehr, der Schaden wird demnach gering bis vernachläßigbar sein.
Vor vielen Jahren gab es einmal einen Hack bei Mindfactory.de – daher ist wohl eine der beiden Adressen mit komplettem Namen und Anschrift. Ab und zu bekomme ich noch SPAM, der wahrscheinlich auf diesen Hack zurückzuführen ist.
Nichtdestotrotz: Ich habe dies zum Anlass genommen, bei verschiedenen Kundenkonten die alten, z.T. nicht so sicheren Passwörter mit besseren zu aktualisieren.
Die veröffentlichten Datenbestände reichen sicherlich 10 Jahre zurück, wenn nicht noch länger, vermute ich mal.
Ich bin wie immer nicht betroffen, da ich ausschließlich sichere Verbindungen zur Kommunikation verwende und mit meine 500 Passwörter alle im Kopf merke, den kann man zwar auch "knacken" nur dann hat man als Hacker nicht mehr viel davon :D .
Ich rate allen von jeglichen Passwort-Verwaltungstools und Co ab.
Ich bezweifle das du dir 500 sichere Passwörter merken kannst.
Ein Passwort-Manager wie KeePass ist heutzutage Pflicht.
KeePass… und am besten noch in der "Klaut" hinterlegt ;-)
Ein sehr gut versteckter USB Stick mit einem Live slax drauf, wird auf altem Laptop (der nie mehr ins Internet geht), als reiner Datenspeicher verwendt.
Kein copy und paste!
Du weißt schon dass KeePass lokal, also offline funktioniert?
Bitte vorher informieren bevor so ein Unsinn geschrieben wird.
Danke
So ein Blödsinn! Ich habe früher meine Kennwörter ohne Hilfe verwaltet, und ich kann das auch heute noch. An dem Tag, an dem ein Kennwortverwaltungsprogramm Pflicht wird, verabschiede ich mich aus dem Netz.
Du kannst also für jede Seite ein einzigartiges Passwort mit mindestens 20, besser 30 stellen merken was neben klein- und Großbuchstaben auch Zahlen und Sonderzeichen enthält?
Kann ich mir nicht vorstellen.
Und für mehrere Seiten das gleiche- meist unsichere Passwort merken ist fatal. So entstehen diese großen Leaks.
2Faktor nutzt du sicher auch nicht
Man kann es auch übertreiben. Nicht für jeden Anlass braucht man ein Hochsicherheitspasswort.
Meiner Bank reichen 6 lumpige Ziffern PIN, um immerhin meine Kontenübersicht freizugeben. An der Stelle fühle ich mich nackter, als wenn jemand mit meinem Standardpasswort bei einem kleinen Webshop in ein uraltes Kundenkonto von mir kommt.