Im Internet ist ein ein Datensatz mit zahlreichen gestohlenen Nutzerdaten veröffentlicht worden. Darin enthalten seien knapp 773 Millionen verschiedene E-Mail-Adressen und mehr als 21 Millionen unterschiedliche Passwörter, schrieb der australische IT-Sicherheitsexperte Troy Hunt in einem Blogeintrag. Insgesamt umfasse die Sammlung mit dem Namen Collection #1 mehr als eine Milliarde Kombinationen an Zugangsdaten.

Der 87 Gigabyte große Datensatz bündele Informationen “aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen”, schrieb Hunt. Betroffen sind demnach Internetnutzerinnen und -nutzer weltweit – auch aus Deutschland.

Laut Hunt könnten die Datensätze für das sogenannte Credential Stuffing missbraucht werden. Bei dieser Methode verwenden die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten, beispielsweise in soziale Netzwerke oder Shoppingplattformen, einzuloggen. Die Hacker gleichen dabei lange Listen mit Daten automatisch mit den Zugangssystemen ab.

Immer wieder Datendiebstähle

In den vergangenen Jahren hat es immer wieder Datendiebstähle gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren aber größtenteils kryptografisch verschlüsselt. Bei dem
Internetkonzern Yahoo verschafften sich unbekannte Angreifer 2013 Zugang zu
Daten von allen drei Milliarden Nutzeraccounts. Dabei ging
es um Namen, E-Mail-Adressen, Telefonnummern und unkenntlich gemachte
Passwörter. Es ist einer der größten bekannten Leaks bislang. Bei einer Tochter der Marriott-Hotelkette erbeuteten Unbekannte im vergangenen Jahr Namen, Anschriften, Passnummern und Kreditkartendaten von 500 Millionen Kundinnen und Kunden.

Nutzerinnen und Nutzer, die überprüfen wollen, ob ihre Daten betroffen sind, können dies über Hunts Dienst Have I Been Pwned tun. In der Datenbank wird die Adresse mit den Informationen aus Datenlecks abgeglichen. Der Sicherheitsexperte teilte mit, er habe auch die jüngsten Daten dort eingepflegt. Ein ähnliches Tool, um zu überprüfen, ob man in der Vergangenheit einmal gehackt wurde, bietet auch das Hasso-Plattner-Institut der Universität Potsdam an.