Berlin. 773 Millionen eindeutig zuzuordnende Passwörter und E-Mail-Adressen sind offenbar geknackt worden und fanden sich als Datenleak im Internet wieder. Der australische IT-Sicherheitsexperte Troy Hunt ist auf die Veröffentlichung aufmerksam geworden und veröffentlichte einen Screenshot der inzwischen entfernten Datei in seinem Blog.

Das Dokument hatte demnach über zweieinhalb Milliarden Zeilen. Über eine Milliarde E-Mail-Adressen und Passwörter ließen sich laut Troy Hunt eindeutig zuordnen. „Da Hacker Hacker sind und ihre Datenspeicher nicht immer ordentlich formatieren, gehört dazu auch etwas Müll“, schreibt Hunt.

773 Millionen E-Mail-Adressen und über 21 Millionen Passwörter sind zuordbar

Der IT-Sicherheitsexperte hat die Daten bereinigt. Das Ergebnis sind 772.904.991 eindeutige E-Mail-Adressen und 21.222.975 eindeutige Passwörter. Allerdings: „Ungeachtet der größten Anstrengungen ist das Endergebnis weder perfekt noch kann es das sein“, räumt Hunt ein auf seinem Blog an.

Dennoch deuten die bisherigen Zahlen auf einen der größten Datenleaks überhaupt hin. Getoppt wird er nur von dem Daten-Diebstahl des Internetunternehmens Yahoo, das 2013 zwischen einer und drei Milliarden Accounts nicht schützen konnte.

Über die Qualität der Daten, also darüber, wer genau betroffen ist, lässt sich keine eindeutige Aussage treffen.

Zuletzt hatte es in Deutschland einen großen Daten-Angriff auf Politiker und Prominente gegeben. Der Datenleak war von einem 20-Jährigen durchgeführt worden. Auch Hunt schließt nicht aus, dass es sich bei dem nun entdeckten Leak um einen Einzeltäter handeln könnte.

Kostenlose Überprüfung: So geht’s

Troy Hunt selbst bietet einen Service auf seiner Seite an, mit der überprüft werden kann, ob man von dem Datenleak betroffen ist.

Auf der Webseite Have I Been Pwned (HIBP), können Nutzer E-Mail-Adressen in eine Suchmaske eingeben. Übersetzt heißt die Seite so viel wie „Wurde ich eingenommen?“ Pwned ist ein IT-Slangbegriff, der sich vom englischen Wort „own“ („besitzen, im Besitz von etwas sein“) ableitet.

Wenn die E-Mail-Adresse eines Nutzers geleakt wurde, taucht ein rotes Banner auf.

Foto: https://haveibeenpwned.com/ / HIBP

Ist die E-Mail-Adresse in einem Leak auffindbar, ploppt ein roter Banner auf. Darauf steht „Oh no – pwned“. Darunter steht die Anzahl der „Verstöße“. Diese Zahl gibt an, in wie vielen Fällen Daten frei zugänglich waren. Meist handele es sich dabei um versehentliche Verstöße, etwa durch Sicherheitslücken in der Software, schreibt Hunt.

Auch wird die Anzahl der „Pastes“ („Einfügungen“) angegeben. Das sagt aus, auf wie vielen Seiten die Daten derzeit öffentlich zugänglich sind.

Wurden die Daten dagegen nicht gestohlen, wird ein grüner Banner mit dem Spruch „Good news – no pwnage found“ („gute Nachrichten – kein Leak gefunden“) angezeigt.

Gibt es keine Informationen zu einem Leak der eigenen E-Mail-Adresse erscheint ein grünes Banner und der Spruch „Good news“.

Foto: https://haveibeenpwned.com/ / HIBP

Auch Passwörter lassen sich überprüfen

Nach demselben Prinzip lassen sich Passwörter überprüfen. Wer beispielsweise das Passwort „1234“ nutzt wird feststellen, dass dieses Passwort schon über eine Million Mal genutzt wurde. Es folgt der Hinweis, dass dieses Passwort nicht mehr genutzt und stattdessen geändert werden sollte.

Das Passwort „1234“ wurde schon über eine Million Mal in Leaks gefunden.

Foto: Screenshot https://haveibeenpwned.com/ / HIBP

Grundsätzlich warnt Hunt vor Passwörtern, die über 51.000 Mal verwendet wurden. Diese Passwörter seien „schrecklich“ und jeder, der ein solches Passwort benutze, sei mit seiner Wahl des Passwortes schlecht beraten und sollte es ändern.

Bei einem nicht geleakten Passwort dagegen werden dem Nutzer wieder „Gute Nachrichten“ präsentiert, gleichwohl mit dem Hinweis, dass das nicht bedeuten muss, dass das Passwort auch wirklich „gut“ sei, sondern lediglich nicht in den vorhandenen Datensets auf der Seite auftauche.

Ein Passwort, das nicht in geleakten Dokumenten auftaucht, wird mit einem grünen Banner kenntlich gemacht.

Foto: Screenshot: https://haveibeenpwned.com/ / HIBP

Ist Hunts Seite selbst sicher?

Nun stellt sich die Frage, wie sicher und zuverlässig die Seite selbst ist. Immerhin hat Troy Hunt den Leak entdeckt und profitiert nun mit seiner eigenen Seite davon. Fest steht: Der Service der E-Mail und Passwort-Kontrolle ist nicht neu. Hunt bietet die Seite bereits seit 2013 an.

Sehr transparent geht er dabei mit den Umsetzungen des Datenschutzes um. „Wenn eine Datenverletzung im HIBP geladen wird, werden nur die E-Mail-Adressen im Online-System gespeichert. Andere Daten jeglicher Art (Namen, Telefonnummern usw.) werden beim Laden der Daten nicht gespeichert.“

Auch würden E-Mail-Adressen und Passwörter nicht in Kombination miteinander gespeichert. Bei der Suchfunktion finde keine Protokollierung und Speicherung der Daten statt.

Troy Hunt ist in der IT-Branche bekannt

Troy Hunt selbst ist darüber hinaus auf dem Feld der IT-Sicherheit kein Unbekannter. Für Microsoft arbeitet er unter anderem als Regional Direktor in beratender Funktion. Von dem weltweit größten Softwarehersteller hat Troy Hunt für seine Auszeichnung unter anderem die höchste interne Auszeichnung, den „Most Valuable Professional“-Titel, erhalten.

Von dem Datenleak war der Hunt, der im vergangenen Jahr den Grand-Prix-Preis des „European Security Blogger Award“ für den besten Sicherheitsblog gewann, nach eigener Aussage selbst betroffen. „Was ich jedoch sagen kann, ist, dass meine persönlichen Daten dort vorhanden sind und korrekt sind; eine richtige E-Mail-Adresse und ein Passwort, das ich vor vielen Jahren verwendet habe.

