Google, Facebook & Co: 16 Milliarden Passwörter geleakt
- Wie wurde das Datenleck gefunden?
- Sind meine Daten betroffen?
- Wie sind die Passwörter ins Netz gelangt?
- Wie hoch ist die Gefahr?
- Sind auch Unternehmen betroffen?
- Was man jetzt tun sollte
Es ist der größte Datenleak aller Zeiten: Weltweit kursieren aktuell 16 Milliarden Zugangsdaten im Netz. Betroffen sind die größten Online-Plattformen. Neben Google, Apple, Facebook und Co tauchen auch Dienste wie Telegram, GitHub und Microsoft tauchen in den Daten auf. Die Sammlung enthält E-Mail-Adressen, Benutzernamen, Passwörter und teilweise auch Cookies und Tokens. Damit lassen sich Konten direkt übernehmen.
Wie wurde das Datenleck gefunden?
Aufgespürt wurde das Datenleck von einem Team der Plattform Cybernews. Seit Jahresbeginn untersuchen die Forscher das Netz nach auffälligen Datenpaketen. Insgesamt sind sie 30 auf die Schliche gekommen, manche davon mit über drei Milliarden Einträgen. Die Pakete waren zwar nur kurzzeitig öffentlich sichtbar, lang genug aber, um von Kriminellen gesichert zu werden.
Sind meine Daten betroffen?
Das Risiko, dass eigene Daten betroffen oder Konten über Umwege gehackt werden können, ist aktuell sehr hoch.
Die Meinungen darüber, wie aktuell die Daten sind, gehen aktuell auseinander. Während einige wenige Experten optimistisch davon ausgehen, dass es sich dabei um "alte Leaks" handelt, zeichnet die Mehrheit aber ein düsteres Bild. Es dürfte sich zu einem Großteil um aktuelle, bislang unbekannte Datensätze handeln. Die Experten sprechen von einer „Blaupause für massenhafte Ausbeutung“.
Wie sind die Passwörter ins Netz gelangt?
Hauptquelle für die gestohlenen Informationen sind sogenannte Infostealer, also Schadprogramme, die unbemerkt Passwörter und Login-Daten aus Browsern, Apps und E-Mails sammeln. Die Programme durchsuchen die Geräte nach gespeicherten Zugangsdaten und senden sie unbemerkt weiter.
Besonders heikel: Viele der Datensätze enthalten neben Passwörtern auch Cookies, Authentifizierungs-Tokens und technische Informationen. Damit haben Hacker alles in der Hand, was es für eine Kontoübernahme gebraucht wird.
Wie hoch ist die Gefahr?
Sehr hoch. Mit den Daten können Kriminelle gezielt Konten übernehmen, Identitäten stehlen oder über Phishing an noch mehr Informationen kommen. Besonders gefährlich und genauso gängig ist das sogenannte Credential Stuffing: Hierbei werden bekannte Login-Daten automatisch bei verschiedenen Diensten ausprobiert. Wer für mehrere Konten dasselbe Passwort nutzt, ist besonders gefährdet.
Noch immer machen es zu viele Nutzer den Angreifern besonders leicht. Laut Studien sind über 90 Prozent der geleakten Passwörter schwach oder mehrfach verwendet. Klassiker wie „123456“ oder „passwort“ tauchen immer wieder auf.
Sind auch Unternehmen betroffen?
Ja, auch für Unternehmen wird es kritisch. Ein einziger kompromittierter Mitarbeiter-Zugang reicht, um das gesamte System angreifbar zu machen. Noch immer unterschätzen viele Unternehmen die Gefahr von Cybercrime.
Was man jetzt tun sollte
Die wichtigste Maßnahme: Sofort die Passwörter ändern! Vor allem bei E-Mail-Konten, sozialen Netzwerken, Banken oder Cloud-Diensten heißt es jetzt aktiv zu werden. Jedes Konto braucht ein eigenes, starkes Passwort. Unterstützten können hier Passwort-Manager.
Neben einem starken Passwort bieten auch zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung die Möglichkeit, den Schutz zu erhöhen. Überall dort, wo es möglich ist, sollte man diese umgehend aktivieren. Sie macht den Zugriff deutlich sicherer, selbst wenn das Passwort bekannt ist. Gerade bei wichtigen Konten wie E-Mail oder Onlinebanking sollte das Sicherheitsdenken besonders hoch sein.
