06.08.2014 15:03
Massives Datenleck
Diverse Medien berichten, dass eine kriminelle Gruppe aus Russland eine gigantische Zahl an Zugangsdaten erbeutet hat. Siehe u.a.: New York Times, Slate, WSJ, DerStandard, Futurezone, Heise, ...Woher die Credentials wirklich stammen (die Geschichte mit dem Botnet und SQL-Injection klingt ein bisschen nach einem Bericht aus 2013), ist auch nicht restlos geklärt: In anderen Fällen war das eine Mischung aus diversen Kampagnen, sowohl Einbrüchen in Webseiten als auch per Malware von PCs.Ich wurde inzwischen von mehreren Medien gefragt, was wir davon halten. Hier ist die Kurzfassung:
- Wir haben in diesem Fall keine Vorabinformation zu diesem Datenleck bekommen. Wir können daher nur aufgrund der öffentlichen Informationen Stellung beziehen.
- Ob Hold Security die Daten über die üblichen Kanäle (Law enforcement, CERTs, ...) weitergibt, bzw. weitergeben wird, ist noch nicht bekannt.
- Wir wissen nicht, inwieweit Österreich direkt betroffen ist. Aufgrund der schieren Menge an Daten ist aber davon auszugehen, dass sowohl Passwörter von Österreichern dabei sind, als auch, dass hiesige Webseiten gehackt wurden.
- Es gibt schlicht sehr viele Webseiten, auf denen eine Form von Userdatenbank verwendet wird. Das fängt bei ganz harmlosen Sachen wie Mailinglisten, Blogs oder Webforen an, geht über kleine Webshops, Webmail-Anbieter bis hin zu den großen Portalen wie Google, Apple, Yahoo, Facebook oder Twitter. Ich kann nur empfehlen, sich mal die Liste der im eigenen Browser gespeicherten Passwörter anzuschauen. Es ist erschreckend, wie viele verschiedene Accounts da zusammenkommen.
- Typischerweise fällt bei diesen Datenlecks das Paar Email-Adresse/Passwort an. Damit ist nicht notwendigerweise der Mail-Account betroffen: viele Webseiten verwenden die Email-Adresse als Usernamen. Es ist oft im Nachhinein nicht nachvollziehbar, woher die gestohlenen Credentials stammen.
- Dass in Webseiten eingebrochen wird, und Passwörter gestohlen werden, ist leider eine Tatsache. Es ist nicht zu erwarten, dass das in absehbarer Zeit besser wird.
- Wirklich gefährlich ist es, das gleiche Passwort für verschiedene Accounts zu verwenden. Wir raten dazu, sich zu überlegen, welche Accounts denn wirklich wichtig sind (typischerweise sind das: Der Mailaccount, Google, Apple, Social Media, Amazon bzw. andere Händler, die meine Kreditkartendaten haben). Diese sollten alle ein eigenes Passwort bekommen. Insbesondere sollte man ein Passwort aus dieser Gruppe nicht auch auf einer kleinen, potentiell schlecht gewarteten Webseite benutzen. Ob man im Webforum über Lomografie das gleiche Passwort verwendet, wie für Blogkommentare im Kleingartenverein, ist hingegen ziemlich egal.
- Passwort-Safes (z.B. KeePass), also Programme zur Verwaltung von Passwörtern, können das deutlich vereinfachen.
- Einige Webseiten (Google, Facebook, ...) bieten die Option an, zusätzlich zum Passwort auch einen zweiten Faktor zur Authentisierung (2FA) zu verwenden. Dazu wird typischerweise SMS oder ein zeitbasiertes Tokensystem verwendet. Dieses Angebot auch zu nutzen, können wir nur empfehlen.
- All das hilft überhaupt nichts, wenn der eigene PC nicht sauber ist, sondern mit Schadsoftware infiziert ist. Dann sind die eigenen Passwörter weg - ganz unabhängig von der Sicherheit der Portale, auf denen man Accounts hat. Hier kann nur noch 2FA etwas helfen.
- Es hat beim aktuellen Wissensstand keinen Sinn, jetzt panisch überall Passwörter zu wechseln. Es ist viel sinnvoller, seine Passwort-Strategie nach den obigen Punkten auszurichten. Dann kann man solche Meldungen viel gelassener nehmen.