Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned, hat der Datensammlung nun 1,3 Milliarden einzigartige Passwörter hinzugefügt. Sie stammen aus der erweiterten "Synthient"-Datensammlung.
Synthient hat offen zugängliche Daten in aus dem Internet zugreifbaren Cloudspeichern oder etwa Telegram-Gruppen gesammelt, von wo Troy Hunt sie auch erhalten hat. Einen ersten Teil dieser Daten hatte Hunt gefiltert und vor etwa zwei Wochen zunächst rund 183 Millionen Zugangsdaten daraus in die HIBP-Sammlung ergänzt. Dabei handelte es sich insbesondere um Daten, die Infostealer ausgeleitet haben.
Infostealer sind Trojaner, die auf Rechner oder Smartphones installiert werden und dort mitschneiden, wenn Opfer sich in Dienste anmelden. Diese Zugangsdaten leiten sie an Command-and-Control-Server weiter. Diese Daten landen oftmals offen einsehbar im Netz. Solche Infostealer installieren sich Opfer etwa als Dreingabe zu vermeintlichen Cracks für populäre Software, sie können jedoch auch durch Sicherheitslücken in installierter Software auf die Geräte gelangen.
Synthient hat jedoch weitaus mehr Datensätze gesammelt, die Sammlung besteht aus Daten aus diversen Datenlecks – Hunt bezeichnet sie auch als "Credential Stuffing"-Einträge. Insgesamt umfasst die Datensammlung rund 2 Milliarden einzigartige E-Mail-Adressen. Wie Troy Hunt zu der Ankündigung der nun hinzugefügten 1,3 Milliarden Passwörter erörtert – davon 625 Millionen bislang unbekannte –, nutzen Angreifer diese Daten, um andere Konten von Opfern zu knacken, bei denen dieselben Passwörter (wieder-)benutzt werden. Das Durchtesten dieser Zugangsdaten nennt sich Credential Stuffing.
Dass das eine erfolgreiche Taktik ist, hat Hunt beim Verifizieren der Daten bestätigen können. Laut seines Berichts hat er einige Abonnenten von HIBP befragt, ob die Daten echt seien. Gleich die erste Antwort lieferte Klarheit: "[Passwort] #1 ist ein altes Passwort, das ich nicht mehr nutze. #2 ist ein aktuelleres Passwort. Danke für die Vorwarnung, ich bin hingegangen und habe die Passwörter für alle kritischen Zugänge geändert, die eines davon genutzt haben". Ein weiterer Nutzer berichtete, dass es sich um ein Wegwerf-Passwort für unwichtige Konten handelte, das er zwischen 20 und 10 Jahren zuvor genutzt hatte. Weitere Antworten deuten ebenfalls in die Richtung alter, lange nicht mehr genutzter Passwörter. Die Datensammlung umfasst also auch sehr alte Einträge.
Interessierte können auf einer eigenen HIBP-Webseite prüfen, ob ihre Passwörter in einem Datenleck aufgetaucht sind. Eine kurze Prüfung etwa mit "123456" liefert gleich 178.863.340 Einträge, in denen diese Zahlenfolge als Passwort auftauchte.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare