Über 23.600 gehackte Datenbanken wurden in mehreren Untergrund-Foren und per Telegram von Unbekannten zum Download angeboten. Die Daten sollen angeblich von einem von Cyberkriminellen genutzten Dienst namens Cit0Day stammen, der gegen eine monatliche Gebühr Zugang zu Nutzernamen, Email-Adressen und unverschlüsselten Passwörtern versprach.

Der Weg der Daten

Cit0Day startete im Januar 2018 kurz nach der behördlichen Schließung von LeakedSource, das auch mit gestohlenen Zugangsdaten handelte. Hacker kaufen solche Informationen für zielgerichtete Angriffe. Auch der Dienst Cit0Day wurden angeblich von Strafverfolgern dicht gemacht. Seit dem 14. September zeigt die Internetseite des Dienstes eine Meldung an, nach der die Domain vom US-Behörden (FBI und US-Justizministerium) beschlagnahmt wurde.

Allerdings fand der Threat-Intelligence-Anbieter KELA jetzt heraus, dass die Meldung gefälscht ist und von Deer.io, einer weiteren E-Commerce-Plattform für Hacker, stammte. In einem russischsprachigen Hackerforum fand das Sicherheits-Unternehmen außerdem einen Download für die insgesamt 23.618 gehackten Datenbanken, die der File Hoster Mega bereitstellte.

In diesem Forum waren die ca. 50 GByte, in denen 13 Milliarden Anmeldedaten stehen sollten, nur für ein paar Stunden verfügbar, denn nach einer Missbrauchsbeschwerde wurde der Download schnell entfernt. Die Echtheit der Daten bestätigte nicht nur KELA, sondern auch das italienische Sicherheitsunternehmen D3Lab.

Die Daten kursieren weiter im Internet

Aktuell zirkulieren die Daten in geschlossenen Telegram- und Discord-Kanälen. Ein Drittel der Daten wird seit Sonntag auch kostenlos in einem anderen Untergrundforum angeboten.

Für die meisten Nutzer dürfte die Veröffentlichung der gehackten Datenbanken kein sehr großes Sicherheitsrisiko sein, denn die meisten stammen von Internetseiten, die schon Jahre früher kompromittiert wurden. Viele der Datenbanken sollen auch nur wenige Tausend oder Zehntausend Einträge aufweisen und von kleineren und kaum bekannten Websites stammen.

Hash-Codes geknackt

Ungefähr ein Drittel der geleakten Datenbanken sollen den Vermerk „dehashed“ getragen haben – die Hacker konnten also die zunächst nur als Hashwerte vorliegenden Kennwörter entschlüsseln und im Klartext darstellen. Aber viele der Datenbanken enthielten auch gar keine Kennwörter.

Man muss jetzt schon erwarten, dass die Daten noch einmal für Spam-Kampagnen benutzt werden. Sie könnten auch helfen, eine gefälschte Email „echt“ erscheinen zu lassen. Eine größere Gefahr sollte sich daraus aber nur für Nutzer ergeben, die Passwörter für mehrere Dienste wiederverwenden und die seit Jahren ihre Kennwörter nicht mehr geändert haben.

Über Dienste wie HaveIBeenPwned.com können Nutzer recht einfach überprüfen, ob auch ihre Anmeldedaten bei einem Hackerangriff kompromittiert wurden.