Echt? Mehrere Millionen E-Mail-Adressen und Passwörter gehackt und veröffentlicht

Unter anderem mit Bezug auf das Wired-Magazin und den australischen Sicherheitsforscher Troy Hunt hat Spiegel Online über einen „Mega-Hack“ berichtet, bei dem „hunderte Millionen Zugangsdaten ins Netz“ gestellt wurden. Insgesamt soll es sich um eine Sammlung mit 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern handeln – mit 772 Millionen Adressen und 21 Millionen Passwörtern. Doch was ist dran an solchen Berichten, welchen Nutzen haben die Test-Seiten, auf denen man seine E-Mail-Adresse prüfen kann, und ist das alles am Ende nur Werbung?

Collection #1 heißt die Sammlung von hunderten Millionen E-Mail-Adressen und Passwörtern. Man kann auf entsprechenden Seiten testen, ob man betroffen ist. Doch: Cui bono?

Collection #1 heißt die Sammlung von hunderten Millionen E-Mail-Adressen und Passwörtern. Man kann auf entsprechenden Seiten testen, ob man betroffen ist. Doch: Cui bono?

„Collection #1“ und „Have I Been Pwned“

Der Hack mit Veröffentlichung der Zugangsdaten von Millionen E-Mail-Konten wurde auf den Namen „Collection #1“ getauft. Wer überprüfen möchte, ob auch das eigene Konto gehackt und die Zugangsdaten veröffentlicht wurden, kann dies auf der Seite haveibeenpwned.com tun. Die Seite wird vom Web-Sicherheitsforscher und Microsoft-Mitarbeiter Troy Hunt betreut, was eine gewisse Seriosität mitbringt. Jedoch fällt die auf der Seite eingebundene Werbung für 1Password, einen Passwortmanager mit Abo-Modell, etwas negativ auf. Nicht nur prangt sie direkt auf der Startseite, sondern 1Password wird auch noch einmal ausdrücklich nach der Überprüfung einer Mail-Adresse angepriesen.

Beim Überprüfen auf HaveIBeenPwned, einem Angebot von Troy Hunt, wird direkte Werbung für 1Password gemacht.

Beim Überprüfen auf HaveIBeenPwned, einem Angebot von Troy Hunt, wird direkte Werbung für 1Password gemacht.

Werbung und eigene Adressen-Sammlung?

Troy Hunt würde ich nicht per se unterstellen, dass er seine Seite nur deshalb betreibt, um Werbung zu schalten und vielleicht auch noch E-Mail-Adressen von Nutzern zu sammeln. Jedoch gibt es noch weitere Webseiten, die ähnliche Dienste anbieten, ebenfalls Werbung schalten und dabei nicht halb so transparent sind wie die genannte Webseite. Vielleicht will der Betreiber sie mit 1Password-Affiliates einfach nur refinanzieren und auch seinen Aufwand, der im ganzen Projekt steckt, vergütet sehen. Denn immerhin ist die Überprüfung einer Mail-Adresse auf der Seite kostenlos. Trotzdem sollte man immer auch ein bisschen vorsichtig sein, wenn ein solcher Service angeboten wird.

Einfacher Tipp: Regelmäßig die Passwörter ändern

Zumindest das Passwort zu einem wichtigen Account wie iCloud oder der hauptsächlich genutzten E-Mail-Adresse solltet ihr – unabhängig von Hack-Meldungen und dergleichen – regelmäßig ändern. Zudem sollten es lange, komplexe Passwörter sein, die keine Wörter, Namen, Datumsangaben oder dergleichen enthalten. Die Top 10 Passwörter, die ihr auf keinen Fall verwenden solltet, habe ich euch hier zusammengefasst. In dem Beitrag findet ihr auch noch ein paar Tipps für das Erstellen eines sicheren Passworts, das sich nicht so leicht hacken (oder erraten) lässt.

2 Kommentare

  1. Froyo52 sagt:

    Spiegel Online halte ich jetzt nicht für Seriös.
    Allerdings existieren zum Thema andere Quellen, wie z.B. das BSI.

    • Sir Apfelot sagt:

      Ja, ich bezweifele auch nicht unbedingt, dass solche Dateien kursieren und verkauft werden, aber ich denke, die Hacker „handeln“ da auch lustig mit uralten Daten oder Krams, den sie vielleicht aus Mailinglisten haben. Im Darknet gilt ja sicher auch: Je mehr Datensätze die Liste hat, umso mehr kann man dafür verlangen. Und wer, wenn nicht böswillige Hacker, sind in der Lage, solche Listen im großen Stil verwässern, damit sie mehr Datensätze haben.

      Ich glaube einfach nur, man sollte mit diesen Mailtestern vorsichtig sein. Ich habe damit einige meiner Mailadressen geprüft und eine, die als gehackt gemeldet wurde, ist einfach nur eine Weiterleitung. Und Weiterleitungen haben keine Zugangsdaten und können damit auch nicht gehackt werden. Soviel zum Thema, ob die Listen zuverlässige Daten enthalten. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.