Donnerstag, 09. Juni 2016
Dieses Mal trifft's TwitterHacker kapern 33 Millionen Nutzerdaten
Fast 33 Millionen Passwörter von Twitter-Nutzern tauchen im Internet
auf. Der Dienst behauptet, nicht gehackt worden zu sein, die Datensätze
stammen wohl aus einer anderen Quelle. Erschreckend: Viele Nutzerkonten
könnte man auch ohne Hack kapern.
Immer wieder finden Millionen Nutzerdaten aus unterschiedlichen Quellen
ihren Weg ins Internet. Hacker erbeuten Passwörter, E-Mail-Adressen und
Nutzernamen und veröffentlichen sie an Datensammelstellen. In diesem
Fall hat es Twitter getroffen. Fast 33 Millionen Anmeldedaten hat die
auf solche Fälle spezialisierte Website "Leaked Source" ausfindig und
zugänglich gemacht.
Die insgesamt 32.888.300 Anmeldedaten bestehen laut Leaked Source aus
E-Mail-Adressen, Nutzernamen, manchmal einer zweiten E-Mail und einem
sichtbaren Passwort. Die Daten stammten deshalb höchstwahrscheinlich
nicht aus einem Twitter-Hack, da der Dienst Passwörter nicht
unverschlüsselt speichere. Das bestätigt Twitters Sicherheits-Chef
Michael Coates über den Kurznachrichtendienst: "Wir speichern alle
Passwörter sicher mit bcrypt. Wir sind überzeugt, dass in unsere Systeme
nicht eingebrochen wurde."
Nutzer wurden gehackt
Wahrscheinlicher sei es, dass die Nutzer massenhaft gehackt worden
seien, schreibt Leaked Source: "Die Erklärung ist, dass sich zig
Millionen Menschen Malware eingefangen haben. Die Malware hat alle in
Browsern wie Chrome oder Firefox gespeicherten Nutzerdaten und
Passwörter zurück zu den Hackern geschickt, darunter auch Anmeldedaten
von Twitter."
Hinter der Veröffentlichung der Daten stecke wie schon in früheren
Fällen das Pseudonym "piece_of_mind", berichtet "heise". Laut Leaked
Source stammen die Daten von einem Nutzer mit dem Alias
"Tessa88@exploit.im". Leaked Source betont, man habe 15 Nutzer gefragt,
und alle hätten ihr Passwörter bestätigt. Experten zweifeln laut "Tech
Crunch" aber an der Echtheit der Daten.
Echt oder nicht, zumindest könnten sie aus älteren Hacks stammen, wie es
bei den Datenleaks von Linkedin, Tumblr oder Myspace der Fall war. Die
meisten Betroffenen stammen wahrscheinlich aus Russland, rund 5
Millionen Opfer haben eine E-Mail-Adresse mit der Endung @mail.ru.
Dahinter folgen yahoo.com, hotmail.com und gmail.com sowie weitere
E-Mail-Domains mit der Endung .ru.
Passwörter erschreckend einfach
Erschreckend an der Veröffentlichung ist in jedem Fall, wie leichtsinnig
viele Nutzer ihre Passwörter wählen - auch wenn diese Erkenntnis längst
nicht mehr neu ist. Das mit Abstand häufigste Passwort aus der Datenbank
ist "123456", gefolgt von "123456789", "qwerty", "password", "1234567",
"1234567890" und "12345678". Rund 235.000 Mal wurde eines dieser
Passwörter gewählt. Damit begeben sich Nutzer leichtfertig selbst in
Gefahr, denn derart fahrlässig gewählte Passwörter können Hacker binnen
Sekunden knacken.
Wer sich schützen möchte, sollte ein Passwort wählen, das ausreichend
lang und komplex ist. Außerdem gilt: Passwörter regelmäßig ändern,
niemals das gleiche Passwort zweimal verwenden und, wo es möglich ist,
die Zwei-Wege-Authentifizierung aktivieren.