16 Milliarden Passwörter von Apple, Google und Facebook offengelegt: „Beispielloser Datendiebstahl“
Sechzehn Milliarden Passwörter für Apple, Facebook, Google und andere Online-Dienste wurden kompromittiert, wie Forscher von Cybernews enthüllten. Es handelt sich um den größten jemals entdeckten Datendiebstahl. Zu den gestohlenen Passwörtern gehören auch Passwörter für staatliche Dienste.
Das Datenleck hätte über 16 Milliarden Anmeldeinformationen und Passwörter offengelegt. Laut Forbes (das an der Untersuchung beteiligt war) forderte Google zwei Milliarden Nutzer auf, ihre Passwörter zu ändern. In den USA warnte das FBI Bürger vor verdächtigen Links per SMS.
Der größte jemals entdeckte DatendiebstahlDie Forscher fanden „30 offengelegte Datensätze mit jeweils mehreren zehn Millionen bis über 3,5 Milliarden Datensätzen“, heißt es. Alle bis auf einen waren zuvor noch nie veröffentlicht worden, daher wären die Daten neu. Es ist plausibel, dass auch italienische Konten betroffen sind, eine offizielle Bestätigung der Unternehmen gibt es jedoch derzeit nicht.
Nach den bisherigen Analysen (und wie von Experten im Interview mit Italian Tech bestätigt) ist es sehr wahrscheinlich, dass dieses Leck an Anmeldeinformationen größtenteils auf eine Sammlung von Infostealern zurückzuführen ist, also Schadsoftware, die darauf ausgelegt ist, vertrauliche Informationen von infizierten Geräten zu stehlen. Dazu gehören: in Browsern gespeicherte Benutzernamen und Passwörter, Sitzungscookies (die den automatischen Zugriff auf Websites ermöglichen), gespeicherte Bank- oder Zahlungskartendaten, lokale Dateien und sogar Screenshots.
Der Experte: „Zwei-Faktor-Authentifizierung aktivieren“„Die derzeit am weitesten verbreitete Hypothese ist, dass es sich um eine einfache Sammlung von Passwörtern handelt, die bereits bei früheren Datendiebstählen aufgetaucht sind“, erklärt Matteo Flora, IT-Sicherheitsexperte, gegenüber Italian Tech. „Aber auch wenn es sich nicht um einen neuen Datendiebstahl handelt, ist es ein guter Zeitpunkt, Ihre digitalen Sicherheitsmaßnahmen zu überprüfen: Aktivieren Sie die Zwei-Faktor-Authentifizierung, wechseln Sie vielleicht von der einfachen Handynummer-Verifizierung zu einer sichereren Authentifizierungs-App oder, noch besser, zu einem Passkey“, fügt er hinzu.
Es handelt sich um eine der wenigen wirklich wirksamen Abwehrmaßnahmen in einem Szenario, in dem Datenbanken mit gestohlenen Anmeldeinformationen immer größer und leichter zu finden sind.
„Dies ist nicht nur ein Passwortleck, sondern ein groß angelegtes Ausbeutungsprojekt“, erklärten die Forscher gegenüber Forbes. „Diese Daten bieten einen fruchtbaren Boden für Phishing-Angriffe und Kontoübernahmen. Es geht hier nicht nur um alte, wiederverwendete Datenlecks, sondern um neue, potenziell gefährliche und sofort umsetzbare Informationen.“
Welche Passwörter, welche DatenDie meisten dieser Informationen lagen im URL-Format vor, gefolgt von einem Benutzernamen und einem Passwort, die den direkten Zugriff auf fast jeden erdenklichen Onlinedienst ermöglichten: von Apple, Facebook und Google bis hin zu GitHub, Telegram und verschiedenen Regierungsportalen.
Trotz der Schwere der Entdeckung erklärten die Forscher, dass die Daten nur relativ kurz öffentlich zugänglich waren. Ein Zeitraum, der lang genug war, um von böswilligen Akteuren abgefangen zu werden, aber zu kurz, um herauszufinden, wer tatsächlich für die Daten verantwortlich war.
La Repubblica
