Das Internet vergisst nicht – schon gar nicht gestohlene Passwörter. Die US-amerikanische Cybersicherheitsfirma Synthient hat massenhaft im Internet kursierende, gestohlene Zugangsdaten ausgewertet. Dadurch hat das Unternehmen zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter ausfindig gemacht.

„Es handelt sich um den mit Abstand umfangreichsten Datenbestand, den wir jemals verarbeitet haben“, schreibt Troy Hunt, der Betreiber der Leck-Check-Plattform „Have I Been Pwned“ (HIBP), nachdem er die neuen Daten hochgeladen hat. HIBP ist eine kostenlose Webseite, auf der man prüfen kann, ob die eigene E-Mail-Adresse oder ein Passwort schon einmal in einem Datenleck – also einem Hackerangriff oder einem versehentlich veröffentlichten Datensatz – aufgetaucht sind.

Beim Abgleich mit der Datenbank kam es zu einer überraschenden Erkenntnis. Obwohl die gestohlenen Daten aus öffentlichen Quellen wie Cloudspeichern oder Telegram-Chats stammen, seien 625 Millionen Passwörter komplett neu, bei denen vorher nicht klar war, dass sie in die Hände von Hackern gefallen waren.

Bei einem Datenleak können schnell mehrere Konten betroffen sein

Hunt bezeichnet die Datensammlung als „Credential-Stuffing-Listen“. Credential Stuffing ist eine Hacking-Methode, bei der einmal bekannte E-Mail-Passwort-Kombinationen automatisiert auf anderen Plattformen ausprobiert werden. Verwendet ein Benutzer die gleichen Zugangsdaten mehrfach, erhalten die Hacker so Zugriff auf weitere Konten.

Wird zum Beispiel ein Forum gehackt, in dem Kommentare über Katzen gepostet werden, legt der Hack meist auch Daten offen, die genutzt werden können, um sich in die Shopping-, Social-Media- und sogar E-Mail-Konten der Opfer einzuloggen.

Hackerangriff auf Paypal: Millionen von Zugangsdaten zum Verkauf: Das sollten Nutzer jetzt tun

Wie kann ich prüfen, ob ich vom Datenleck betroffen bin?

• Eine Möglichkeit zu prüfen, ob Ihre E-Mail-Adresse von einem Datenklau betroffen ist, ist die Website „Have I Been Pwned“
  
• Beobachten Sie die Aktivitäten auf wichtigen Konten, wie E-Mail, Online-Banking, Social Media oder Shopping-Portalen.
• Achten Sie auf ungewöhnliche Login-Benachrichtigungen oder verdächtige E-Mails, die auf einen unbefugten Zugriff hindeuten könnten.

Was muss ich tun, wenn ich von einem Datenklau betroffen bin?

• Ändern Sie sofort alle Passwörter.
• Falls es eindeutige Hinweise auf einen Missbrauch gibt, kontaktieren Sie die Plattform bzw. das Unternehmen, bei dem Sie das Konto haben.
• Wenn Ihr Bankkonto hinterlegt ist, sperren Sie dieses ebenfalls oder informieren Sie Ihre Bank.

Wie kann ich mich vor einem Datenklau schützen?

• Aktivieren Sie die Zwei-Faktor-Authentifizierung bei allen wichtigen Konten.

• Verwenden Sie für jedes Konto ein einzigartiges Passwort.

• Erstellen Sie starke Passwörter (lange Kombinationen aus Buchstaben, Zahlen und Sonderzeichen).

Trickbetrüger am Telefon: Das sollten Sie bei der Betrugsmasche am Telefon tun