BKA warnt – 500 Millionen Datensätze gefunden

Vom BKA wurde eine Sammlung von 500 Millionen Datensätzen mit Onlinezugangsdaten wie E-Mail-Adressen und Passwörtern im Darknet gefunden. Hier einige Informationen.


Anzeige

Das Leak

Auf der Webseite des BKA findet sich hier der Hinweis, dass auf einer Underground-Economy-Plattform im Internet eine Sammlung von ca. 500.000.000 ausgespähten Zugangsdaten gefunden wurden. Die Daten bestehen aus Email-Adressen mit dazugehörigen Passwörtern. V

Das BKA vermutet, dass die Daten von verschiedenen Hacker-Angriffen stammen und über einen längeren Zeitraum zusammengetragen wurden. Die aktuellsten ausgespähten Zugangsdaten sind wahrscheinlich aus Dezember 2016. Diese Art an Datensammlungen sind nicht neu und es gab häufiger solche Funde und Leaks.

Das BKA hat die betroffenen Datensätze (E-Mail-Adressen und Passwörter) beim Hasso-Plattner-Institut in den „Identity Leak Checker" integrieren lassen. Mit Hilfe eines Formulars kann jeder Nutzer überprüfen, ob seine Daten betroffen sind. Dazu soll man die E-Mail-Adresse angeben. An diese Adresse wird dann ein Datensatz geschickt, der Hinweise enthält, ob die Zugangsdaten in der Sammlung enthalten sind.

Aktuell ist die verlinkte Seite – vermutlich wegen Überlastung – aber nicht erreichbar.

Das BKA rät

In einer Stellungnahme rät das BKA zu überprüfen, ob man mit eigenen Daten betroffen ist. Falls ja, sollte man die Passwörter ändern. Zudem gilt es zu überlegen, wo diese Zugangsdaten noch verwendet werden. Dort sind die Passwörter ebenfalls zu ändern.

Generell gilt: Wenn möglich sollte man für unterschiedliche Dienste und Portale im Internet immer auch unterschiedliche Passwörter verwenden.

Allgemeine Tipps zur Passwortgestaltung und noch mehr rund um das Thema „Sicherheit im Internet" finden Sie auf den Internetseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu BKA warnt – 500 Millionen Datensätze gefunden

  1. Dekre sagt:

    Das ist mal wieder ein kritisches Ding und keiner weiß was wie. Interessant ist immer die E-Mail-Prüfadresse. Diese hatten wir hier auch schon mal thematisiert und hilft. Dann stelt man fest das man dabei ist und dann?

    Die entscheidende Frage ist: Was passiert, wenn Deine E-mail-Adresse für dich auftaucht. Ein ändern ist in bestimmten Fällen schwer möglich. Da hängt ja mehr dran. Die klugen EDV-Leute vom BKA machen es sich einfach – Adresse ändern. Gehen wir mal ins normale Leben – Wie kann ich meine normale (also nicht virtuell, tatsächlich, greiflich zum sehen und nachweisbar) Postadresse ohne Schaden für mich ändern. Es geht nicht!
    Es ist alles ein Witz. Die Lösung kann nur lauten – Stecker raus und Stift und Zettel. Da ist auch der Trump doof und abgeschaltet.

    Grüße

    • Tim sagt:

      "Dann stelt man fest das man dabei ist und dann?"

      Ändert man schnell sein Passwort und gut is…

      Eine meiner Mail Adressen war nach diesem Checker beim Adobe Hack betroffen. Adobe hatte seinerzeit 2013(? oder so) schon reagiert und von sich aus die Passwörter zurückgesetzt und ich glaube sogar direkt per Mail Kontakt aufgenommen. Wenns hochkommt gibts auf der Adresse mehr Spam und das wars dann auch.

      Ein ändern der Mail Adresse mag nicht möglich sein, oder sich schwierig gestalten, aber man kann von Anfang an verschiedene Adressen für unterschiedliche Zwecke nutzen, Aliasse nutzen etc. Grad für Gedöns wie Communities und Shops in denen man möglicherweise nur einmalig aufschlägt. Oder direkt eine Mülladresse nutzen…
      Supereinfach gehts bei Google. Adresse anlegen und frei nach wahl an den Namen mit + eine Aliasadresse zur Hand haben, die man zur Not direkt in den Mülleimer filtern kann.
      Wenn dein Konto mustermann@gmail.com lautet erreicht dich zum Beispiel eine zur Anmeldung in einem Shop eingetragene Adresse wie mustermann+istehnurspam@gmail.com genauso…

      Mal eben mit einem + seine Postanschrift zu verändern, ist natürlich schwieriger ;)

    • Ralf sagt:

      Aber man kann das Passwort eines betroffenen Accounts ändern. Leider haben es ja manche Firmen/Foren nicht nötig, eine Mail nach einem Hack zu verschicken.

      Ich habe bei der Prüfung auch einen Account gefunden, bei dem der Anbieter gehackt worden ist. Und zwar den Account zurückgesetzt hat und man jetzt ein neues Passwort eingeben musste. Was aber jeder hätte tun können, weil bei der neuen Passworteingabe keine Bestätigung per EMail-Link gefordert wurde. Fahrlässig.

      Wünschen würde ich mir eine gesetzliche Verpflichtung, dass man einen Account löschen lassen kann. In den meisten Fällen ist es tausend Mal schwieriger oder gar unmöglich, einen nicht genutzten Account wieder los zu werden.

    • Dekre sagt:

      Das Problem ist, dass viele Anbieter bei Benutzer es nur über die E-Mail-Adresse geht. Soviel E-mail-Adressen kann sich in bestimmten Fällen auch nicht angelegen. Hierbei geht es nicht um irgendwelche Foren oder Einmalbestellungen etc. Das mit Adobe hatte ich auch. Da habe ich auch eine Nachricht von Adobe bekommen.
      Die Vergabe eines neuen Passworts ist natürlich klar. Aber das kann teilweise auch sehr mühselig sein.
      Ich wollte nur mit meinen Beitrag darauf hinweisen, dass viele Leute vom BSI und BKA und sonstige mit ihren Hinweisen es sich einfach machen und teilweise nicht realisierbar ist. Mit einer E-Mail-Adresse hin ich auch drin. Das habe ich vor 3 Jahren geprüft. Da war nämlich auch so was mit zig deutscher E-Mail-Adressen. Am besten abwarten bis der Meteorit kommt und auf den Kopf einen fällt.
      Der dann auch heute (9.7.) angegebene andere Link zum überprüfen liefert auch das gleiche Ergebnis wie der vom Hasso-Platter-Institut.

  2. JohnRipper sagt:

    "Aktuell ist die verlinkte Seite – vermutlich wegen Überlastung – aber nicht erreichbar."

    Sowas hab ich noch nie verstanden. Wenn ich so etwas rausposaune, dann ist doch klar, dass viele Zugriffe in kurzer Zeit stattfinden werden.

  3. Teletom sagt:

    Knapp 10 % der Weltbevölkerung? Da braucht man ja keine Staatstrojaner und MS Zeroday-Lücken mehr, wenn man irgendwo reinwill, hehe.

  4. Auch das BKA muss mal erfolge für die Allgemeinheit vorzeigen um eine Daseinsberechtigung vorweisen zu können.

  5. Wollenweber sagt:

    @Puritaner
    fürs BKA ist es nur eine Randmeldung und ist nicht für die Dummheit der Leute auch nicht für deren -Kommentare im Netz, verantwortlich.
    Hat sich um ganz andere Dinge zu kümmern.
    "07.07.2017, 10:00 Uhr, im Bundeskriminalamt Wiesbaden"
    Quelle: http://www.presseportal.de/blaulicht/pm/7/3677700

  6. Pater sagt:

    Schneller geht die Prüfung bei https://haveibeenpwned.com/

    • Günter Born sagt:

      Aber nur, wenn die auf die BKA-Daten zugreifen können – bin aber nicht sicher, ob das zutrifft. Für einen ersten Check aber ganz gut – obwohl ich die Site hier im Blog schon vorgestellt habe und es sofort die Diskussion gab 'wie vertrauenswürdig ist die'.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.