Datendiebstahl Cyber-Kriminelle klauen 272 Millionen Passwörter

Cyber-Kriminelle haben die E-Mail-Adressen und Zugangsdaten von mehr als 272 Millionen Benutzern weltweit gestohlen. Laut IT-Experten sollen sich darunter auch einige Hunderttausend Konten aus Deutschland befinden.

Sicherheitsexperten wollen herausgefunden haben, dass weltweit 272 Millionen Passwörter gestohlen wurden. Quelle: dpa

Sicherheitsexperten haben den Diebstahl von E-Mail-Adressen und Zugangsdaten von mehr als 272 Millionen Benutzerkonten aufgedeckt. Darunter sei mit 57 Millionen Adressen die Mehrheit aller Nutzer von Russlands führendem E-Mail-Dienst Mail.ru, wie die Nachrichtenagentur Reuters von Alex Holden erfuhr, Gründer von Hold Security.

Auch Yahoo, Microsoft und Google seien millionenfach betroffen, einige Hunderttausend Konten stammten auch aus Deutschland. Mail.ru erklärte, es werde geprüft, wie viele der Adressen noch in Gebrauch seien. Hold Security hatte die betroffenen Unternehmen nach eigenen Angaben vor zehn Tagen von dem Fund unterrichtet.

Holden ist Experte für Online-Verbrechen in Osteuropa. Vor zwei Jahren deckte er eine Datenbank mit 1,2 Milliarden gestohlenen Login-Zugängen auf, der weltgrößte Fund dieser Art.

Die dümmsten Passwörter der Welt
"Dadada"Nein, die Rede ist hier nicht von dem Neue-Deutsche-Welle-Song von Trio, sondern dem Passwort des Facebook-Gründers Mark Zuckerberg in Netzwerken wie Twitter, LinkedIn und Pinterest - zumindest wenn man den Hackern Glauben schenkt, die im Anfang Juni 2016 mehrere seiner Profile gehackt haben. Beim Foto-Dienst Pinterest gelang es den Hackern mithilfe des Passworts, das sie nach eigener Auskunft in den gestohlenen des Karriere-Netzwerks LinkedIn gefunden haben, den Profiltext für kurze Zeit durch den Text „gehackt vom OurMine Team“ zu ersetzen. Bei Twitter gab es eine verdächtige Aktivität auf Zuckerbergs Account mit dem Namen „@finkd“, in dem er seit Januar 2012 nichts mehr veröffentlicht hatte. Und bei Pinterest wurde das angebliche Passwort sogar öffentlich gemacht: "dadada". Damit wählte der Facebook-Entwickler scheinbar nicht nur ein ziemlich simples Passwort (übrigens nicht besser als "12345" oder "password"), sondern benutzte das Passwort gleich für mehrere Profile - ebenfalls absolute No-Gos, die aber immer wieder vorkommen, wie die folgenden Beispiele zeigen. Quelle: Screenshot
Simple Zahlen- oder BuchstabenfolgenSicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort "password". "Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln", sagte HPI-Direktor Christoph Meinel. Dass Passwörter dieser Art überhaupt nicht sicher sind, ändert nichts an ihrer Beliebtheit: Schon 2014 wurden mehr als 3,3 Millionen Passwörter geknackt, auf dem ersten Platz landet auch da schon "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567". Nachfolgend ein Überblick der meistgeknackten Passwörter 2014: Quelle: dpa
Passwort: "Password"Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter. Quelle: dpa
FantasiewörterSie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz". Quelle: REUTERS
Das sportliche PasswortSport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball". Quelle: AP
Mystische GestaltenAuch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun. Quelle: REUTERS
Sport, die zweiteAnhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten. Quelle: AP

Quelle des neu entdeckten Diebesgutes ist Holden zufolge ein junger russischer Hacker, der sich in einem Online-Forum zur Weitergabe von 1,17 Milliarden Datensätzen bereiterklärt habe. Da diese aus verschiedenen Quellen stammten, gaben ihm die Experten den Spitznamen "The Collector" (der Sammler). Nach der Aussortierung von Doppelnennungen seien 272 Millionen Sätze übrig geblieben.

Erstaunlicherweise habe der Hacker zunächst nur 50 Rubel – weniger als ein Euro – für alles verlangt. Allerdings habe er die Daten dann kostenlos übergeben, als ihm zugesagt worden sei, ihm in einem Forum für Hacker zu loben. "Diese Person hat gezeigt, dass sie bereit ist, die Daten an Leute zu verschenken, die nett zu ihm sind", warnte Holden.

Neben den Mail.ru-Adressen stammen den Angaben zufolge 40 Millionen von Yahoo, 33 Millionen von Microsoft und fast 24 Millionen von Google. Ein Microsoft-Sprecher verwies auf Vorkehrungen des Unternehmens, um gehackte Konten zu entdecken. Eine Stellungnahme von Yahoo und Google lag zunächst nicht vor.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%