300.000 deutsche Mailadressen bei Seitensprungportal entdeckt
Unter den von Hackern gestohlenen 36 Millionen Accounts des amerikanischen Seitensprungportals Ashley Madison befinden sich rund 300.000 Mailadressen mit der Endung .de. Das Hasso-Plattner-Institut (HPI) bietet einen Identitäts-Check und warnt vor leicht zu knackenden Passwörtern.
Sicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 36,4 Millionen gestohlene Identitätsdaten recherchierbar gemacht, die jetzt in einem speziellen Internetforum veröffentlicht wurden. Es handelt sich dabei um Daten von Nutzern des amerikanischen Seitensprungportals Ashley Madison. Darunter sind nach Angaben des Instituts rund 300.000 E-Mail-Adressen mit der Endung .de. Die Potsdamer Wissenschaftler integrierten den gesamten Fund in ihren HPI Identity Leak Checker (https://sec.hpi.de). Dort kann jeder Internetnutzer durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob damit verbundene Identitätsdaten, die geraubt wurden, im Internet frei kursieren und somit erneut missbraucht werden könnten.
Das amerikanische Seitensprungportal Ashley Madison wurde Opfer einer Erpressung. Hacker hatten persönliche Daten von mehr als 30 Millionen dort registrierter Kunden gestohlen, darunter E-Mailadressen, Nutzernamen, Anschrift und Telefonnummer und die Daten im Dark Internet veröffentlicht. Sie warfen dem Portal, das mit dem Motto »Das Leben ist kurz. Gönn' Dir eine Affäre« wirbt, Betrug vor und forderten die Betreiber zur Einstellung auf.
Insgesamt sind in der Datenbank des Leak Checker des HPI aktuell 216 Millionen Identitätsinformationen gespeichert. Per Datenabgleich prüft das renommierte Institut, ob die eingegebene E-Mail-Adresse in Verbindung mit anderen persönlichen Daten (z.B. Kreditkarten- oder Kontonummern bzw. Passwörtern) im Internet offengelegt wurde. Über das Ergebnis wird der Anfragende mit einer E-Mail unterrichtet, aus der er entnehmen kann, ob Daten von ihm gefunden wurden oder nicht. Details zu den betroffenen Daten und den Namen der Quelle gibt das Hasso-Plattner-Institut jedoch nicht preis. Somit müssen die vom Ashley Madison-Leak betroffenen Personen nicht fürchten, bloßgestellt oder erpresst zu werden, wenn sie eine positive Nachricht vom HPI erhalten. Entsprechende Erpressungsversuche der in diesem Kontaktportal registrierten Nutzer soll es laut Medienberichten bereits geben. Die kanadische Polizei berichtet außerdem von zwei Selbstmorden, nachdem die Namen der beiden Personen öffentlich aufgetaucht waren.
Sind bereits Daten zu einer E-Mailadresse in entsprechenden Seiten des Dark Internet aufgetaucht, sei es laut HPI wahrscheinlich, dass Angreifer auch im Besitz des Passworts sind und somit Zugriff auf die E-Mails haben und die Inhalte mitlesen können. Um zu verhindern, dass ein Angreifer weiterführende Informationen zu zusätzlichen Accounts mit der gleichen E-Mail-Adresse erhalte, gebe das HPI weder die genaue Quelle noch die konkreten Daten preis.
Wenn bei geraubten Identitätsdaten auch Passwörter im Klartext offenliegen, können die HPI-Sicherheitsforscher Rückschlüsse auf die Beliebtheit bestimmter Versionen ziehen. Die aktuelle Auswertung der Codes bestätigt leider, was IT-Sicherheitsexperten Nutzern immer wieder vorwerfen: Die sorglose Auswahl einfach zu knackender Passwörter. »Simple Zahlenfolgen wie 123456 oder der Begriff 'password' stehen immer noch auf den Plätzen 1 bis 4 der Liste der am häufigsten verwendeten Passwörter«, so das Fazit von HPI. Passwörter seien in den meisten Systemen die erste Verteidigungslinie gegen unbefugten Zugriff. Sie schützten aber nur gut, wenn sie stark seien. Doch diese Erkenntnis habe sich selbst nach 50 Jahren Entwicklung auf dem Gebiet der Computer immer noch nicht weit genug verbreitet, so HPI. Die wichtigsten Grundregeln für starke, sichere Passwörter hat HPI auf einer Webseite zusammengefasst (http://ots.de/9YvQo).
