Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

3 Min Lesezeit 39 Kommentare

773 Millionen E-Mail-Adressen und Passwörter öffentlich gemacht

Daten-Leaks sind heute leider nichts Neues mehr, aber die schiere Anzahl, der nun aufgetauchten Email-Adressen und Passwörter übertrifft alles bisher gesehene. Ein neue Sammlung an wohl größtenteils alten Daten ist aufgetaucht, die in einem Hackerforum gepostet wurde, und sie bricht alle Rekorde. Bekannt als Collection #1, enthält sie erstaunliche 772.904.991 einzigartige E-Mail-Adressen und über 21 Millionen einzigartige Passwörter, im Klartext für alle sichtbar.

Die gehackten Daten wurden erstmals vom Sicherheitsforscher Troy Hunt ans Licht gebracht. Hunt betreibt die beliebte Webseite Have I Been Pwned, auf der Ihr überprüfen könnt, ob Eure eigene E-Mail-Adresse oder sogar Euer Passwort bei einem Daten-Leak aufgetaucht ist. Die Chancen, dass es auch Euch erwischt hat, stehen nach all den Leaks in den letzten Jahr ziemlich hoch.

Laut Hunt ist Collection #1 die größte Sammlung an gehackten Informationen. Allerdings muss dazu gesagt sein, dass es sich eher um eine Zusammenstellung von vielen verschiedenen Datenbanken handelt, sozusagen eine Art Masterliste. Die Leaks selber sind bis zu 4 Jahre alt. Unter den fast 773 Millionen Daten sind schon die doppelten Einträge herausgezählt, die Hunt allesamt gelöscht hat, bevor er die Daten in die Datenbank für seine Webseite hochgeladen hat.

pwnd
Collection #1, wie auf der Website von Troy Hunt zu sehen / © Troy Hunt (Screenshot)

Die ursprüngliche Datenerhebung hatte erstaunliche 2,7 Milliarden Reihen an E-Mail-Adressen und Passwörtern, darunter über eine Milliarde einzigartige Kombinationen von E-Mail-Adressen und Passwörtern. Bedenkt man nun, dass die Daten in einem Hackerforum verbreitet und auf der File-Sharing-Site MEGA hochgeladen worden sind, ist von eventuellen Missbräuchen natürlich auszugehen.

Wofür werden meine Daten verwendet?

Eine Masterliste wie diese wird allen voran bei "Credential Stuffing"-Angriffen zum Einsatz gebracht, bei denen Hacker einen automatisierten Prozess ausführen, der E-Mail- und Passwortkombinationen bei einem Online-Dienst ausprobieren, bis eine passt. Wenn Ihr das gleiche Passwort für verschiedene Internetdienste verwendet, ist das Risiko natürlich erheblich größer, dass sich jemand letztlich mit Euren Daten bei einem Dienst einloggen kann.

Und was jetzt?

Als erstes sollte Ihr die genannte Webseite Have I Been Pwned besuchen und überprüfen, ob Eure Daten auch in dem Leak auftauchen. Die Webseite zeigt Euch direkt an, ob und bei welchem Leak Eure Daten betroffen waren. In diesem Fall sollte Ihr entsprechend Eure Passwörter ändern. Empfehlenswert ist immer ein Passwort Manager, der sowohl Eure Passwörter sicher abspeichert, und Euch auch bei der Wahl eines neuen Passworts mit einem Generator unterstützt. Wir möchten Euch an dieser Stelle Dashlane empfehlen, es gibt aber auch weitere sehr gute Dienste wie z.B. 1Password, die mit Have I Been Pwned zusammenarbeiten, und nicht zuletzte LastPass.

Quelle: Troy Hunt

Dank ist diese Seite frei von Werbebannern

39 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Ich habe noch nichts über Dashlane gehört. Benutzt es schon jemand? Ist es besser als LastPass?


  • Die genannte Seite "Have I been prwnd" ist nicht wirklich gut, da sie keine weitern Angaben OHNE Registrierung macht. Besser ist folgende Webseite:

    monitor.firefox.com

    Hier muss man sich nicht registrieren um zu erfahren, wann z.B. die Mailadresse gehackt wurde.


  • Eine Credential Stuffing Angriff. Ick dachte immer den Angriff auf einen Account mit einer Liste nennt man Brute Force Attacke.


  • warum sollte ich dort meine E-Mail Adressen überprüfen lassen. ist bestimmt schlimmer als gehackt zu werden.


  • schon merkwürdig , mein Google Account ist safe (Nutz den aber auch nur mit Android) , bei Web.de...tiefschwarz, Nunja..ist auch ~30Jahre alt


    • Ich vermute mal, die Web.de-Adresse hast Du auf diversen Sites als Login genutzt und mindestens einer davon wurde gehackt. Vielleicht war die Adresse aber auch irgendwo öffentlich ersichtlich. Spam-Versendern reicht das Wissen, dass es eine E-Mail-Adresse gibt.


  • Super Bericht.Alles okay.

    Und nun soll ich auch bei Androidpit mein Profil löschen und mir ein neues zulegen? Kennt ja nun jeder die Zugangsdaten.....
    Mir aber Rille. Der Aufwand zu groß. Das hieße neue E-Mail, Telefonnummer, neue Bankdaten, allen Geschäftspartnern und allen mit denen ich zu tun habe müsste ich bescheid geben🙄.... was bringt das? In einem Moment später schlagen die Hacker wieder zu. Also hilft nur eins: Gesunden Menschenverstand einschalten und aufpassen ob sich in nächster Zeit was verändert. Wer kein Online-Banking macht dürfte zumindest beim Konto etwas weniger zu befürchten haben außer Versandhändler wurden auch gehackt.


    • APit hat deine Telefonnummer und deine Bankdaten? Alle kennen deine APit-Zugangsdaten? Bei einem Passwortklau würdest du dir eine neue E-Mail Adresse, ein neues Bankkonto und eine neue Telefonnummer besorgen? Weil es dir bisher nicht gelungen ist, deine Passwörter zu schützen, wird dir das auch in Zukunft nicht gelingen?

      Junge, Junge, du hast echt verstanden, wie das mit dem Zugangsschutz funktioniert :-(


      • Wer deine E-Mail hat und deine Passwörter hat auch Zugang zu allen was du im Internet machst. Die meisten haben nur eine E-Mail für alles. Soziale Netzwerke, Shopping und so weiter...


      • Ja, sie finden es ziemlich praktisch und können es selber einfacher merken als 10000 neue Passwörter. Aber das ist aus gefährlich.


  • E-Mail Adresse eingeben und überprüfen lassen...

    Ein Schelm wer Böses dabei denkt 😉


  • Alles im grünen Bereich 🤗 (bisher, muss man wohl sagen).
    Danke für den Artikel.


  •   37
    Gelöschter Account vor 1 Monat Link zum Kommentar

    Was hilft nun dagegen ?

    Monatliche Patches sind wirkungslos und sonst so ? 🤔🙄

    Software einsetzen ,die wiederum neue Lücken auftun könnten für Schadware ,oder die anfällig und verbugt sind ?

    Eigentlich sollten es die Hersteller selbst in den Griff bekommen ,ihre Programme dicht zu machen ,das kein Dritter an meine Daten und auch nicht an sensiblen Daten eines jeden anderen herankommen.

    Aber klar ist auch und das sollte jedem einleuchten ,Daten sind heutzutage kein heiliges Gut mehr ,da es sich prima verkaufen lässt und man damit Geld machen kann .


  • C. F.
    • Blogger
    vor 1 Monat Link zum Kommentar

    Zum Thema fällt mir ganz spontan die Aussage von dem einen oder anderen hier ein:

    "Datenschutz? Ich hab doch nichts zu verbergen, ihr Aluhut-Träger!"

    Echt nicht?


    • Bastian Siewers
      • Admin
      • Staff
      vor 1 Monat Link zum Kommentar

      Da gebe ich dir an sich ja Recht, allerdings gibt es schon einen Unterschied zwischen bekannter Datensammelei und Hacks, die Email-Adressen und Passwörter freilegen. Letzteres kennen zumindest die Anbieter an sich ja sowieso.

Zeige alle Kommentare
Dank ist diese Seite frei von Werbebannern