Erneut ist eine riesige Menge gehackter Nutzeraccounts ins Netz gelangt: Nach der Passwort-Sammlung "Collection #1" kursieren nun auch die Collections #2 bis #5.

Diese sind deutlich umfangreicher als Teil 1, einer ersten Einschätzung von heise Security zufolge sind sie insgesamt über 600 GByte groß. Nach Angaben des Hasso-Plattner-Institus kursieren durch die Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter.

Treffer, versenkt: Über den HPI Identity Leak Checker findet man heraus, ob sich die eigenen Mail-Adresse in den Collections #1-5 und weiteren Leaks befindet.

Die Daten sind offenbar nicht komplett neu, sondern stammen zu einem einem Großteil aus älteren Leaks. Dennoch dürfte durch die Zusammenstellung und erneute Veröffentlichung die Wahrscheinlichkeit steigern, dass die Zugansdaten von Cyber-Ganoven ausprobiert werden. Zunächst wurden die gigantischen Datenpakete in einem einschlägigen Online-Forum gehandelt, inzwischen sind sie auch über den Hoster Mega öffentlich zugänglich.

Identity Leak Checker verschafft Klarheit

Wer überprüfen möchte, ob sich die eigenen Mail-Adressen unter den Leaks befinden, kann den Identity Leak Checker des Hasso-Plattner-Institus nutzen. Dort wurden die neuen Collections bereits eingepflegt. Nach Eingabe der Mail-Adresse verschickt der Dienst an ebendiese Adresse eine Mail mit einer Auflistung der Leaks, von denen man betroffen ist. Man erfährt zudem detailliert, welche Datenarten betroffen sind – also, ob sich neben Mail-Adesse und Passwort auch persönliche Daten wie Vor- und Zuname, Geburtsdatum, Anschrift oder Bankkontodaten unter den geleakten Daten befinden.

Die Veröffentlichungen der Daten haben bei vielen Nutzern offenbar Besorgnis hervorgerufen: „Allein in den letzten drei Wochen haben mehr als 1,5 Millionen Nutzer den HPI-Service genutzt und ihre Daten überprüfen lassen“, erklärt Meinel vom HPI. Der Sicherheitsexperte Troy Hunt hat die neuen Collections bislang nicht in seine Prüfdienste Have I Been Pwned und Pwned Passwords importiert. Es dürfte jedoch nicht mehr allzu lange dauern, bis die Daten auch dort durchsuchbar sind.

Prävention statt Reaktion

Sowohl durch den Identity Leak Checker als auch über Have I Been Pwned kann man zwar herausfinden, in welchen Leaks sich die eigene Mail-Adresse befindet, eine Zuordnung zu einem bestimmten Online-Dienste ist meist jedoch nicht möglich. Da es zu einer Mail-Adressen meist bei etlichen Diensten einen passenden Account gibt, ist es daher sinnvoller, Passwörter bei Pwned Passwords zu überprüfen. Taucht ein Kennwort dort auf, dann ist es auch in den Hand von Cyber-Ganoven. In diesem Fall sollte man es besser ändern.

Die aktuellen Leaks sind ein guter Anlass, die eigenen Passwort-Strategien zu überdenken. Die wichtigste Regel ist, für jeden Dienst ein anderes Passwort einzusetzen. Und wer sich nicht für jeden Dienst ein Passwort ausdenken möchte oder merken kann, setzt am besten einen Passwort-Manager wie KeePass ein. Weitere Tipps zu sicheren Passwörtern, der Absicherung von Online-Diensten und vielem mehr finden Sie in den c't-Sicherheits-Checklisten, die in Kurzform gratis unter ct.de/check2018 zum Download bereitstehen.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

(rei)