[English]Sicherheitsforscher Jeremiah Fowler ist im Internet auf eine frei zugängliche und ungeschützte Datenbank gestoßen. Der Fund hatte es in sich, denn dein Blick auf die Datensäte legt den Verdacht nahe, dass es sich mutmaßlich um Daten handelt, die von einer InfoStealer-Malware gesammelt wurden. Es waren Datensätze mit 184 Millionen Logins und Passwörter in der Datenbank gespeichert.
Jeremiah Fowler, der den Fund bei WebsitePlanet in diesem Blog-Beitrag dokumentierte, staunte nicht schlecht, als er im Internet auf die Datenbank stieß. Die öffentlich zugängliche Datenbank war weder passwortgeschützt noch verschlüsselt.
Millionen Anmeldedaten frei im Internet
In der Datenbank fand Fowler rohe Anmeldedaten im Umfang von insgesamt 47,42 GByte. Am Schluss stellte er fest, dass die Datenbank 184.162.718 Records mit eindeutigen Anmeldedaten und Kennwörtern enthielt.
In einer begrenzten Stichprobe der Datensätze der offengelegten Dokumente fand er dann Tausende von Dateien mit E-Mails, Benutzernamen, Passwörtern und den URL-Links zu den Anmelde- oder Autorisierungsdaten der Konten.
- Die Datenbank enthielt laut Fowler Anmeldedaten und Kennwörter für eine Vielzahl von Diensten, Anwendungen und Konten, darunter E-Mail-Anbieter, Microsoft-Produkte, Facebook, Instagram, Snapchat, Roblox und viele mehr.
- Der Entdecker konnte auch Anmeldedaten für Bank- und Finanzkonten, Gesundheitsplattformen und Regierungsportale aus zahlreichen Ländern identifizieren.
Der Entdecker geht davon aus, dass die Daten von einer Info-Stealer-Malware von den Systemen der Opfer abgezogen wurden. Für die betroffenen Personen dürfte diese Datenbank ein erhebliches Risiko darstellen.
Unbekannte Eigentümer
Die IP-Adresse zeigte an, dass die Datenbank mit zwei Domänennamen verbunden war, schreibt der Sicherheitsforscher. Aber er konnte den Eigentümer bzw. Urheber der Datenbank nicht ermitteln. Denn eine Domäne war geparkt und nicht verfügbar. Die andere Domain war nicht registriert ist und wird zum Kauf angeboten.
Die Whois-Registrierung der Domains ist privat, und es schien keine überprüfbare Methode zu geben, um den tatsächlichen Eigentümer der Datenbank mit potenziell illegalen Daten zu ermitteln.
Der Sicherheitsforscher hat dann dem Hosting-Anbieter sofort eine Mitteilung über die verantwortliche Offenlegung geschickt, und die Datenbank wurde kurz darauf für den öffentlichen Zugang gesperrt.
Leider wollte Hosting-Anbieter wollte die Daten seiner Kunden nicht preisgeben, so dass nicht bekannt ist, ob die Datenbank für kriminelle Aktivitäten verwendet wurde oder ob diese Daten zu legitimen Forschungszwecken gesammelt und anschließend aufgrund eines Versehens veröffentlicht wurden. Es ist auch nicht bekannt, wie lange die Datenbank offen lag, bevor sie entdeckt wurde. Daher lässt sich auch nicht angeben, oder ob jemand Drittes Zugang zu diesen Daten erhalten hat.
Die Datensätze weisen laut Fowler aber mehrere Anzeichen dafür auf, dass die Daten von einer Art Infostealer-Malware abgegriffen wurden. Infostealer sind eine Malware-Variante, die speziell dafür entwickelt wird, vertrauliche Informationen von einem infizierten System abzugreifen. Solche Malware zielt in der Regel auf Anmeldeinformationen (wie Benutzernamen und Kennwörter) ab, die in Webbrowsern, E-Mail-Clients und Messaging-Anwendungen gespeichert sind.
Einige Varianten der Malware können auch Autofill-Daten, Cookies und Krypto-Wallet-Informationen stehlen – einige können sogar Screenshots aufnehmen oder Tastenanschläge protokollieren.
Es ist nicht genau bekannt, wie diese spezifischen Daten gesammelt wurden, aber Cyberkriminelle verwenden eine Reihe von Methoden, um Infostealer einzusetzen. So verstecken sie beispielsweise häufig Malware in Phishing-E-Mails, bösartigen Websites oder geknackter Software. Sobald der Infostealer aktiv ist, werden die gestohlenen Daten oft entweder auf Dark-Web-Marktplätzen und Telegram-Kanälen verbreitet oder direkt für Betrugsversuche, Identitätsdiebstahl oder weitere Cyberangriffe verwendet. Weitere Details sind dem betreffenden Blog-Beitrag zu entnehmen.
Benutzern von Online-Konten wird in diesem Zusammenhang geraten, ihre Passwörter zu ändern. Aber ohne Details, welche Konten betroffen sind, ist das stochern im Nebel.
MVP: 2013 – 2016
>>Es enthielt 184,162.718 eindeutige Logins und Passwörter, insgesamt massive 47.42 GB Rohdaten.<<
Ist doch schön, dass es ungeschützt frei zugänglich ist, vielleicht sollte ich dort mal schauen, mir ist nämlich ein Passwort abhandengekommen.
Ähm…
"Der Sicherheitsforscher hat dann dem Hosting-Anbieter sofort eine Mitteilung über die verantwortliche Offenlegung geschickt, und die Datenbank wurde kurz darauf für den öffentlichen Zugang gesperrt."
naja nachdem sie Tage/wochenlang offen im Netz stand… und wer weis wieviel mal scnhon kopiert wurde ;-P
Jupp.
Wir hatten mal einen FTP ,Server. irgendwann war plötzlich das Daten Volumen ver hundertfacht.
Ursache war der Umzug der Daten auf einen neuen Server. Der Provider hatte vergessen die htacess zu kopieren.
Der Link zum Server war nicht bekannt. Dennoch dauerte es keine 24h bis alle Daten auf den Server einer chinesischen Hochschule kopiert waren.
Die Daten waren nicht kritisch. man wollte mit dem Password Schutz aber genau solche sinnlosen kopier Aktionen von Sammlern und Jägerm vermeiden.
Wenn da Daten frei rumstehen sind sie auch schnell weg
insofern ja. die Daten sind garantiert ungewollt gebackupped worden.
Betroffen sind " … E-Mail-Anbieter, Microsoft-Produkte, Facebook, Instagram, Snapchat, Roblox und viele mehr."
Ok. Und nun?
Proaktiv viele hunderte Passwörter ändern (mein Passwortmanager zählt aktuell mehr als 1500)? Oder gibt es eine spezifischere Liste? Wissen die betroffenen Dienste bescheid und informieren die jeweiligen Kunden?
Ging mir auch durch den Kopf. Sieht mir nicht so aus, als ob die Liste bei Have I Been Pwned eingereicht worden wäre.
Ich habe das Gefühl, dass die Daten eh nur noch kopiert anstatt synchronisiert werden, soviel neues war da jetzt nicht dabei, was ich nicht längst schon kannte.
"mein Passwortmanager zählt aktuell mehr als 1500"
??? – die Zahl übersteigt meine Vorstellungskraft. Was ist da der Grund (beruflich und/oder privat) oder einfach nur – das meine ich nicht despektierlich – überall angemeldet? Von Datensparsamkeit/aktiver Sicherheit scheint es mir weit entfernt zu sein. Würde mich doch mal interessieren.
Schönen sicheren Sonntag
Das ist alles privat, bin halt vielfältig interessiert :-)
Foren (das sind allein schon über 200, von denen aber sicherlich einige nicht mehr existieren), Webshops, Webserver, Mailadressen, Seriennummern, Social Media, Apps, da kommt in über 20 Jahren schon einiges zusammen.
ok – Danke – und hmm.
Eigene: (wollte/sollte auch antworten) – 67 Logins (keine asozialen Medien vorhanden), 71 kein Login nötig (nur Mail-Adr), 37 gelöschte.
Meine Meinung ohne Bewertung: Überblick verloren.
LG
Wie passend, dass ich gestern 3 unberechtigte Online-Auslandseinsätze (Dubai) auf meiner PB MasterCard verzeichnen durfte. Nachdem ich die Karte AFAIR nur bei drei Anbietern genutzt habe, dürfte sich das ganze wohl zumindest eingrenzen lassen.