620 Millionen Nutzerdaten im Darknet angeboten

Publiziert am 15. Februar 2019 von Günter Born

Im Darknet sind auf der Webseite Dream Market 620 Millionen Nutzerdaten (E-Mail-Adresse und Passwort) zum Verkauf angeboten worden. Die Datensätze stammen aus diversen Hacks von Websites.

Anzeige

Die Datenbank

Bei der Webseite Dream Market handelt es sich um eine Schwarzmarkt-Seite (Dark Net), die sich nicht im öffentlich zugänglichen Internet befindet. Insgesamt wurden hier Daten von rund 620 Millionen Accounts kompromittiert. Ersten Informationen der britischen News-Seite The Register zufolge sind die Quellen der Anmeldeinformationen 16 verschiedene Websites wie Dubsmash, Armor Games, 500px, Whitepages, ShareThis etc. Alle Datenbanken mit den Zugangsdaten aus der nachfolgenden Liste soll angeblich weniger als 20.000 US $ in Form von Bitcoins kosten (der Artikel von The Register nennt die Einzelpreise).

  • Dubsmash (162 Millionen),
  • MyFitnessPal (151 Millionen),
  • MyHeritage (92 Millionen),
  • ShareThis (41 Millionen),
  • HauteLook (28 Millionen),
  • Animoto (25 Millionen),
  • EyeEm (22 Millionen),
  • 8fit (20 Millionen),
  • Whitepages (18 Millionen),
  • Fotolog (16 Millionen),
  • 500px (15 Millionen),
  • Armor Games (11 Millionen),
  • BookMate (8 Millionen),
  • CoffeeMeetsBagel (6 Millionen),
  • Artsy (1 Million),
  • DataCamp (700,000).

Diese Websites wurden zwischen den Jahren 2016 und 2018 kompromittiert und die Anmeldedaten entwendet. Beispielkonten aus den Multi-Gigabyte-Datenbanken, die von The Register eingesehen wurden, scheinen legitim zu sein: Sie bestehen hauptsächlich aus Kontoinhabernamen, E-Mail-Adressen und Passwörtern. Diese Passwörter sind gehasht oder einseitig verschlüsselt und müssen daher geknackt werden, bevor sie verwendet werden könnten.

The Register hat Datenproben an die Betreiber der gehackten Sites weiter gegeben. Ein Sprecher von MyHeritage bestätigte, dass die Datenproben aus der zum Verkauf stehenden Datenbank echt sind und im Oktober 2017 von deren Servern abgezogen wurden. CoffeeMeetsBagel, 8fit, 500px, DataCamp und EyeEm bestätigten auch, dass ihre Kontodaten von ihren Servern gestohlen wurden und in der Datensammlung auftauchten.

Bei einigen der Websites – insbesondere MyHeritage, MyFitnessPal und Animoto – war bekannt, dass diese gehackt wurden. Deren Kunden wurden im vergangenen Jahr gewarnt, dass sie kompromittiert wurden. Bei anderen der oben genannten Websites war bisher nicht bekannt, dass diese gehackt wurden. Die Seite 500px (soziales Netzwerk für Fotografen, 15 Millionen Konten betroffen) hat gegenüber The Register bestätigt, dass der Hack wohl 2018 stattgefunden haben. Dort startet man, gemäß den Vorgaben der DSGVO, jetzt wohl damit eine Information an die Benutzer zu geben. The Register hat im Artikel weitere Details mit Rückmeldungen der betroffenen Seiten.

Wer kauft so etwas?

Das Angebot richtet sich an Spammer und Personen (Credential Stuffers), die auf Zugangsdaten aus sind. Die Credential Stuffers verwenden die geleakten Benutzernamen und Passwörter, um sich an Konten auf anderen Websites anzumelden, bei denen die Benutzer die gleichen Anmeldeinformationen verwendet haben.

Da die Passwörter gehasht oder einseitig verschlüsselt sind, müssen sie von den 'Käufer' geknackt werden. Bei schwachen Passwörtern, die mit dem veralteten MD5-Algorithmus gehasht wurden, könnte das gelingen. Credential Stuffers werden dann versuchen, die E-Mail-Adresse und geknackte Passwort-Kombinationen zu verwenden, um sich beispielsweise in Gmail- oder Facebook-Konten von Fremden einzuloggen, sofern die E-Mail-Adresse und die Passwörter wiederverwendet wurden.

Der Hacker gab gegenüber The Register an, dass er typischerweise Sicherheitslücken in Webanwendungen ausgenutzt hat, um die Ausführung von Remote-Code zu ermögliche und dann die Daten des Benutzerkontos zu extrahieren. Der Verkäufer, der sich vermutlich außerhalb der USA befindet, teilte The Register mit, dass die Dubsmash-Daten von mindestens einer Person gekauft wurden. Bei heise.de findet sich dieser Artikel mit einigen weiteren Hinweisen.

Das Risiko für Nutzer

Gemäß Link11, einem europäischen IT-Security-Provider mit Hauptsitz in Frankfurt am Main, sind die Folgen verheerend: Diese Datensätze können benutzt werden, um zum einen beispielsweise automatisiert Konten bei Onlinehändlern zu eröffnen. Dann ließe sich mittels gefälschter Identitäten Ware im realen Leben erwerben.

Doch noch fataler ist laut Link11 die Tatsache, dass die Käufer zum anderen ebenso automatisierte Konten bei Public Cloud Anbietern eröffnen und die Infrastruktur dieser Anbieter für Cyberangriffe missbrauchen können – Beispielsweise für Distributed-Denial-of-Service (DDoS)-Angriffe. So stieg etwa 2018 die Anzahl der DDoS-Angriffe, die alleine über Public Cloud-Dienste generiert wurden, um 35% Prozent gegenüber dem Vorjahr.

Anzeige

Nur allzu oft stehen hinter diesen Attacken also gestohlene Datensätze und unbeteiligte Personen, die letztendlich selbst Opfer einer Straftat (nämlich Datendiebstahl) wurden und somit ins Fadenkreuz von Ermittlungen geraten.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.