War früher ein Millionenraub noch mit Geld, Gold und Diamanten als Beute assoziiert, ist es heute die neue digitale Währung, die millionenfach, mit immer ausgefeilteren Methoden und über alle Grenzen hinweg geklaut wird: persönliche Daten von Nutzern und Kunden.
773 Millionen geklaute E-Mail-Adressen und 21 Millionen Passwörter lagen offen zugänglich auf einer populären Cloudplattform. Der Sicherheitsexperte Troy Hunt, der die “Collection#1” getaufte Sammlung publik machte [1], fand darin auch seine Mailadresse und ein von ihm benutztes Passwort. Über seinen Dienst Pwned Passwords [2] kann jedermann prüfen, ob eigene Passwörter ebenfalls betroffen sind.
Jäger und Sammler
Die riesige Kollektion stammt laut Hunt aus Tausenden Quellen und reicht teilweise viele Jahre zurück. Eine ähnlich bunte, wenn auch viel kleinere Sammlung an Daten hat, wie sich später herausstellte, ein 20-jähriger Schüler zu deutschen Politikern und Prominenten zusammengetragen [3]. Mobilfunknummern, Adressen, private Fotos und Dokumente waren darunter. Publik gemacht hat der junge Mann die Daten Anfang des Jahres auf einem geknackten Twitter-Account. Der Fundus dürfte auf Daten aus unterschiedlichen Quellen und Zeiträumen basieren, die Behörden ermitteln noch.
Sorry, Kunden
Uber, Facebook, Marriott und British Airways haben eines gemeinsam: Sie verfügen über große Mengen von Kundendaten und sie sind alle im Verlauf dieses oder des vergangenen Jahres erfolgreich angegriffen und um solche Daten erleichtert worden. Was Angreifern bei Internetkonzernen recht ist, ist ihnen selbst im Onlineshop der CSU billig, auch dort haben Eindringlinge Kundendaten gestohlen.
Der Magento-Shop der deutschen Partei wies – laut dem Sicherheitsforscher Willem de Groot, der den Fall aufdeckte – zumindest eine ungepatchte Sicherheitslücke auf. Der Experte hält auch ein schwaches Admin-Passwort als Einfallstor für denkbar. Ein eingeschmuggeltes Skript sammelte dann die personenbezogenen Daten. Angriffe auf Magento-Shops sind in der Security-Branche unter dem Terminus Magecart bekannt. De Groot hat in den vergangenen drei Jahren übrigens 40 000 Magento-Shops ausgemacht [4], die magecarted wurden.
Bei Facebook machten sich Angreifer im September 2018 Sicherheitslücken zunutze, um Access-Tokens von 30 Millionen Nutzern abzugreifen und darüber ihre Daten. Die bestanden aus Adressen, Telefonnummern, E-Mail-Adressen, Nutzername, Geschlecht, Beziehungsstatus – eben dem, was man Facebook anvertraut. Die Funktion “Ansehen als” lieferte das Einfallstor [5]. Dass Facebook im Frühjahr zugab [6], Passwörter von mehreren Hundert Millionen Nutzern im Klartext gespeichert zu haben, darf man dann auch als sehr groben Datenschutzverstoß ansehen.
Infos
-
Troy Hunt zu #Collection1: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
-
Abfrage: Have I been pawned: https://haveibeenpwned.com/Passwords
-
Datenleak von Politikern und Promis: https://www.linux-magazin.de/news/twitter-account-leakt-daten-von-politikern-und-promis/
-
Willem de Groot: https://twitter.com/gwillem/status/1050480393743491074
-
Guy Rosen, Facebook: https://newsroom.fb.com/news/2018/10/update-on-security-issue/
-
Facebook-Passwörter: https://www.golem.de/news/datenschutz-facebook-speicherte-millionen-passwoerter-im-klartext-1903-140173.html
