2020-01-09 7 Minuten

Databreaches: Warum dein Passwort wahrscheinlich schon bekannt ist

Deine Zugangsdaten schwirren sehr wahrscheinlich schon im Internet herum. Lerne hier, wie es dazu kommt, und was du dagegen tun kannst.

Elf. 11. So viele meiner Zugangsdaten sind schon bekannt. Sozusagen ins Internet entwichen.

Warum?

Weil ein paar Unternehmen nicht aufgepasst haben. Die Liste enthält auch ein paar große Namen: LinkedIn (2012), Adobe (2013), UnderArmour (MyFitnessPal, 2018).

Bei MyFitnessPal bin ich direkt zwei mal in der Liste. Irgendwann habe ich anscheinend meinen Accountzugang vergessen, und einen neuen angelegt.

Das sind jedoch alles Accounts, die ich nicht mehr verwende. Kann mir also egal sein?

Wenn ich meine Passwörter schon seit jeher richtig gewählt hätte: Ja.

Realistischerweise: Nein.

Collection 1 bis 5

773 Millionen Username-Passwort-Kombinationen. In einem einzigen Leak. Securityforscher Troy Hunt hatte viel zu tun. Der “Collection” getaufte Leak besteht ist riesig.

Ich hab ihn mir heruntergeladen.

Oder zumindest teilweise – die “Collection 1” ist bereits 87 Gigabyte groß.

Für “Collection 2 bis 5” habe ich mir eine neue Festplatte bestellt. Die sind nämlich ca. 800 Gigabyte groß, insgesamt.

Jetzt fragst du dich vielleicht, liebe Ursula:

Wie viel sind 87 Gigabyte?

Nun.

  • 1 Gigabyte ist 1 Stunde Netflix
  • oder 300 Fotos
  • oder 678.000 Seiten Text

Die kurze Antwort ist also: riesig. Da draußen schwirrt eine Unmenge an Daten herum, die nur aus Usernamen und Passwörtern besteht.

Und es wird immer wahrscheinlicher, dass du auch da drin bist.

Wie kommt es zu einem Data Breach / Datenleak?

Hier müssen wir zwischen einem Breach und einem Leak unterscheiden. Die Unterscheidung ist glücklicherweise simpel:

  • Bei einem Breach wurde ein Unternehmen gehackt
  • Bei einem Leak kamen durch menschliche oder technische Fehler Daten nach außen.

Wenn du meine neue Videoserie “Hacks der Woche” verfolgt hast, hast du schon einen Datenleak mitgekriegt: Wyze, eine Securitykamerafirma, hat aus Versehen eine Datenbank mit Userdaten öffentlich im Internet hängen lassen. Für circa ein Monat.

Aber egal wie – wenn Userdaten nach außen gelangen, beginnt eine Verwertungsmaschinerie.

Logindaten verkaufen

Diese Datenbanken werden auf Schwarzmarktbörsen verkauft. Und das passiert nicht im Darknet, sondern fast öffentlich. In Foren werden hier deine Logindaten verkauft, getauscht – und irgendwann vielleicht ausgenützt.

In diesem Forumspost zum Beispiel wird die Collection 1 bis 5 beworben.

Und hier verkauft jemand die gehackte LinkedIn Datenbank:

0.12 Bitcoin. Fast ein Schnäppchen.

Natürlich: Die Leaks, mit denen man noch wirklich Cybercrime betreiben kann, findet man nicht so öffentlich. Aber auch mit diesen, teilweise auf Google auffindbaren Datenbanken lässt sich ebenfalls schon viel Schaden anrichten.

Schauen wir es uns im Detail an. Mein erster heruntergeladener Datenleak.

Datenleaks durchsuchen

Es dauert schon eine Weile, bis 38 Gigabyte heruntergeladen sind. Dann dauert es noch einmal eine Weile, bis die 38 Gigabyte entpackt sind.

Doch dann bietet sich mir folgendes Bild:

Jeder dieser Ordner ist randvoll mit Textdateien, die nur Logindaten enthalten. Im Detail:

Im EU-Ordner öffne ich eine zufällige Datei, und ein komisches Gefühl stellt sich ein. Jede dieser Zeilen ist eine Person, ein User. Hat ein Privatleben, hat Stärken, Schwächen, Haustiere, Geburtstage, Freunde.

(Und ziemlich schwache Passwörter.)

Ich sitze hier und habe Login-Daten von Millionen von diesen Menschen auf meinem Bildschirm.

Die Absurdität der Zeit, in der wir leben wird mir schlagartig klar.

WER BIST DU, alcholdrinker@yahoo.com!? Ich hoffe es geht dir gut. Ich hoffe, der Alkohol hat keine negativen Folgen auf dein Leben. Ich hoffe, du bist nur ein Spaß-Account.

Ich hoffe, du hast dein Passwort inzwischen geändert.

Aber Moment!

Ist das alles eigentlich legal?

Diese Frage hätte ich mir vorher stellen können. Habe ich natürlich auch. Da diese Leaks öffentlich zugänglich sind, ist ein Download zumindest nur Grauzone. Wenn man die Logindaten hier verwendet, dann wird’s erst richtig brenzlig.

Das ist übrigens eine richtig coole Taktik, falls du in die Cybercrime einsteigen willst:

Es hält dich nichts davon ab (außer das Gesetz, das ist illegal), diese Millionen Login-Daten einfach auszuprobieren. Credential Stuffing heißt das in der Fachsprache.

Auch die Spam-Emails, die dich erpressen wollen, und dir sogar dein eigenes Passwort schicken, ziehen ihre Daten aus diesen Leaks.

Auf der anderen Seite sind solche Leaks ein interessanter Weg, die Security eines Unternehmens oder einer Person einzuschätzen. Suche ich beispielsweise nach “Haunschmid”, erhalte ich folgendes Ergebnis (Auszug):

Da sehe ich plötzlich Usernamen von Personen, die meine Verwandten sein könnten. Und die Passwörter dazu. Ein sehr komisches Gefühl. Als würde ich die Privatsphäre der Personen (nicht nur meiner Verwandten, sondern aller Personen da drin) verletzen. Richtig strange.

Man kann natürlich auch nach einer Domain suchen. So hat Addendum einfach mal nach “.gv.at” gesucht – also E-Mail Adressen von österreichischen Staatsbediensteten. Das Ergebnis ist seither in jedem meiner Workshops enthalten.

Aus Interesse habe ich auch nach meinen Kunden gesucht. Bei einem Unternehmen konnte ich sogar in der “kleinen” Collection 1 bereits 7 Login-Daten finden. Der Kunde ist informiert, ich werde hier keinen Screenshot davon posten. Ich hoffe, du verstehst. Stattdessen ein Bild eines chillenden Frosches.

In wie vielen Datenleaks warst du bis jetzt enthalten?

Aber du musst jetzt nicht alle Leaks herunterladen und nach dir selbst suchen. Das hat Troy Hunt schon für dich erledigt.

Troy hat eine Plattform programmiert, die dir sagen kann, ob du in so einem Leak bereits enthalten warst. So bin ich auf die eingangs erwähnte Zahl 11 gekommen.

Auf haveibeenpwned.com kannst du deine E-Mail Adresse eingeben, und wirst informiert in

  • wie vielen
  • und welchen

Leaks du bereits enthalten warst. Eine oft ernüchterndes Ergebnis.

Was kann man gegen Datenleaks und Data Breaches tun?

Nichts, unglücklicherweise.

Du kannst dich nicht daraus löschen, es werden immer Unternehmen gehackt werden.

Es ist einfach die Zeit, in der wir leben.

Einzig ein paar Hygiene-Maßnahmen könnten hier hilfreich sein:

Auf jeder Plattform ein anderes Passwort verwenden.

Das kann nicht oft genug gesagt werden. Wenn die Wahrscheinlichkeit hoch ist, dass dein Passwort nach außen dringen wird, bleibt eben nur, den Schaden einzuschränken.

Alte Accounts löschen

Nicht mehr verwendete Accounts kannst du durch einen Löschantrag löschen lassen. Das hat uns die DSGVO ermöglicht. Ist mir persönlich aber auch zu viel Arbeit.

Vor Allem: Wie kann man realisieren, dass man etwas vergessen hat?

Sich bei Troy Hunt eintragen, und so zumindest gewarnt werden

Auf haveibeenpwned kann man sich mit der E-Mail anmelden. Eine Art Newsletter, den du nur kriegst, wenn mal wieder ein Unternehmen gehackt wurde, und du in den Kundendaten enthalten warst.

Fazit

Databreaches sind Teil unserer Realität geworden. Das Problem werden wir nicht lösen können.

Wir können jedoch die Risiken managen.

Wenn es dich interessiert, kannst du mir gerne deine E-Mail Adresse zukommen lassen, und ich suche sie in der Collection 1-5. Könnte aber sein, dass ich dann dein Passwort weiß.

Aber das hat ja dann sowieso schon jeder Hacker da draußen. 🤡

Feedback oder Fragen?

Schreib mir auf Social Media oder E-Mail:

Keine Posts verpassen!

Jetzt eintragen und wöchentlich die Hacks der Woche, sowie neue Blogposts erhalten!

...oder direkt zum Erstgespräch:

Im Erstgespräch lernen Sie mich und meine Philosophie kennen, und wir diskutieren kurz, wie ich Ihnen helfen kann. Damit Sie und Ihr Unternehmen:

  • Sicherer werden
  • Im Extremfall schnell wieder einsatzfähig sind
  • Nicht bei jedem Artikel über Hacking froh sein müssen, dass es diesmal wieder nicht Sie erwischt hat
Jetzt gratis Erstgespräch buchen!

Hacking-
Vorfall?