Passwort Diebstähle und Account Diebstähle sowie gehackte Foren oder Online Shops gibt es immer wieder. Oft bekommen es Betreiber von Shops oder Dienstleistungen im Internet erst gar nicht mit das sie gehackt wurden. Ebenso oft wird versucht alles zu vertuschen oder zu verharmlosen, selbst wenn Passwörter im Klartext in einer Datenbank stehen.
Am Donnerstag wurde ein neuer Skandal vom Sicherheitsexperte Troy Hunt, der auch Have I Been Pwned betreibt, berichtet. Er fand in Kreisen von Hackern eine neue Datenbank mit der erstaunlichen Größe von 87GB, der er „Collection #1“ getauft hat. Der Datensatz enthält laut Troy Hunt über 2,6 Milliarden Zeilen mit Kombinationen aus Mail-Adressen und Passwörtern. Die Anzahl der einzigartigen Kombinationen von Mail-Adressen und Passwörtern liegt bei 1,16 Milliarden Daten. Eine erstaunliche Menge. Insgesamt enthält der Datensatz 772.904.991 unterschiedliche Mail-Adressen sowie 21.222.975 einzigartige Passwörter. Dieser Datensatz ist damit der bisher größte Datensatz mit gestohlenen Informationen von Userdaten und Passwörtern. Der bis dato jetzige Spitzenreiter war laut Troy Hunt der Vorfall „Onliner Spambot Accounts“ vom August 2017. Hier würden von einem Bot über 711 Millionen Mail-Adressen gestohlen.
Bin ich vom Hack betroffen?
Troy Hunt hat diesen riesen Datensatz genommen und alles zum Überprüfen auf seine Webseite Have I Been Pwned eingespielt. Hier kann man schnell schauen ob seine eigenen Mail Adressen in der Datenbank für geklaute Mail Adressen und Passwörter sind. Ebenso bietet die Webseite hier die Option um zu schauen ob irgendeins seiner Passwörter betroffen ist und es in die Datenbank geschafft haben. Leider kann man aber nicht genau sehen von wo oder von welcher Webseite die Daten stammen.
Empfohlener Schutz?
Einen 100% Schutz gibt es nicht, wird es wohl auch nicht geben. Man sollte nun nicht paranoid werden, aber schon aufpassen wo und wie man seine Daten bekannt gibt. Brauche ich wirklich bei jedem Online Shop einen eigenen Account oder bietet der Shop auch eine Bestellung ohne Account an. Ändert eure Passwörter regelmäßig und gerade bei E-Mail Account benutzt andere und verschiedene Passwörter.
Wer eine eigene Mail Domain besitzt sollte vielleicht auch die Option in Erwähnung ziehen für jede Anmeldung eine nur für diese Webseite erstellte Mail Adresse zu nutzen. Gerade über eine Catch-All Funktion lässt sich das gut lösen ? Ich möchte auf Amazon einen Account, nutze ich dafür doch einfach den Alias amazon@meinedomain.de, bei einem Account auf Twitch die Mail Adresse twitch@meinedomain.de. Über die im Mail Server eingestellte Catch-all Funktion bekommt man so immer alle Mails an eine Mail Adresse zugestellt. Natürlich erhölt man so auch den ganzen Spam.
Dazu solltet ihr heutzutage einen Passwort Manager benutzen. Gerade 1password stellt sich hier als gute Option dar. Über eine API ist 1password bereits mit Have I Been Pwned verbunden und warnt bei unsicheren Passwörtern. Der Vorteil ist auch das man seine Passwörter immer und überall an jedem Gerät nutzen kann. So entfällt auch das unsichere Speichern von Passwörtern im Browser. Ist für viele vielleicht erst eine Umstellung, aber es lohnt sich.
Leben wir bald in einer gehackten Welt?
Als Abschluss noch, wer eine nette Serie über Hacker sucht die drauf ausgelegt ist was passiert bei einem Globalen Black Out, dem kann ich die Amazon Serie Mr Robot ans Herz legen. Viel Spaß beim schauen. Klasse gemacht, gute Schauspieler und lasst euch von der etwas schwächeren Staffel 2 nicht verunsichern, mit Staffel 3 erwartet euch ein Feuerwerk!