Mit Begriffen wie “Mega-Cyber-Angriff” oder “Mega-Hack” wurde erst vor 14 Tagen häufig im Kontext der Datenveröffentlichungen von “0rbit” gesprochen und geschrieben. Die von diesem Pseudo-Hacker geleakten Informationen wie Adressen, Telefonnummern oder Chat-Nachrichten gehörten zu über tausend Politikern, Prominenten und Internetstars – und schon erschies der Begriff “Mega” den Schreibern offenbar angemessen.

Gestern Abend machte kam nun aber eine Meldung auf, bei der Begriffe wie “riesig”, “gigantisch” oder “Mega” wesentlich angemessener sind: In einem Hacker-Forum wurde auf einen über die Cloud-Plattform Mega veröffentlichten Datensatz aufmerksam gemacht, den jetzt das Tech-Magazin “Wired” als “Monster-Breach” vorstellt, also als eine Monster-Sicherheitslücke.

Details zu den geleakten Daten

Troy Hunt ist der Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP) und hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden.  Der Sicherheitsforscher, der auch mit Microsoft zusammenarbeitetHunt berichtet auf seiner Website,

dass sich darin insgesamt knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter darin finden.

Die Datensammlung umfasst insgesamt mehr als eine Milliarde Kombinationen aus beidem. In dem Hackerforum, in dem Hunt die Daten fand, wurde der Datensatz unter dem Namen “Collection #1” geführt. Die Daten sehen aus, als seien sie aus unterschiedlichen Quellen zusammengetragen worden, und alle Passwörter liegen im Klartext vor,

Leider keine genauen Angaben

Auf Have I Been Pwned (HIBP) kann man zwar herausfinden, ob die eigene Emailadresse mit dazugehört. Leider wird das dazu gespeicherte Passwort dann aber nicht an diese Emailadresse geschickt, um zu prüfen, ob diese Kombination überhaupt noch aktuell ist oder vielleicht sogar aus einem uralten Leak stammt – schließlich werden da Milliarden von Emailadressen auch aus teilweise schon sehr alten Hacks mit ausgewertet.

„Have I Been Pawned“ erhöht eher die Angst als die Sicherheit

Das war aber schon immer das Problem mit Have I Been Pawned – das Portal schürt die Angst und gibt keine Sicherheit. Ob das zum Geschäftsmodell des „Forschers“ gehört?