Riesiges Datenleck entblösst 773 Millionen E-Mail-Adressen

dj

17.1.2019 - 10:01

Hunderte Millionen E-Mails und Passwörter wurden Teil eines Datenlecks
iStock

Knapp 773 Millionen E-Mail-Adressen und dazugehörige Passwörter sind Teil eines riesigen Datenlecks. Was steckt dahinter und wie kann man sich schützen?

Der Sicherheitsforscher Troy Hunt hat ein riesiges Datenleck entdeckt, von dem Hunderte Millionen Nutzer betroffen sind. In «Collection 1» fanden sich 2,7 Milliarden einzelne Einträge. Nach Eliminierung von Dopplungen blieben 772’904’991 individuelle E-Mail-Adressen mit dazugehörigen Passwörtern übrig.

«Collection 1» zirkulierte zuerst auf dem Cloud-Dienst MEGA und dann in einschlägigen Hackerforen. Es handelt sich nicht um das Resultat eines einzigen Datenlecks oder Hacks, sondern der oder die Ersteller der Kollektion haben Tausende verschiedenen Quellen in einer Datenbank zusammengefügt. Trotzdem ist es aber nicht einfach nur ein «Best of» vergangener Lecks. Rund 140 Millionen der E-Mail-Adressen tauchten nie zuvor in einem anderen öffentlich bekanntgewordenen Datenleck auf.

Aus tausenden verschiedenen Quellen stammt das Material für «Collection 1».
Troy Hunt

Eigene E-Mail checken

Hunt ist der Betreiber von «Have I been pwned?», einer Website, auf der Nutzer überprüfen können, ob ihre Daten in einem Leck wie «Collection 1» – das grösste, das Hunt je gesehen hat – entblösst wurden. Dazu muss auf der Seite einfach die eigene E-Mail-Adresse eingeben werden und man bekommt mitgeteilt, ob und falls ja in welchem Datenleck sie auftaucht.

Bei einem Treffer besteht aber nicht zwangsläufig Grund zur Panik. Wenn man eine gewisse Zeit im Internet unterwegs ist, ist es auch für vorsichtige Nutzer fast unvermeidlich, dass die eigene E-Mail-Adresse Teil irgendeines Datenlecks wird. Wichtiger ist daher zu wissen, ob auch aktuell verwendete Passwörter kompromittiert wurden.

Aufs Passwort kommt's an

Dazu bietet Hunt die Seite «Pwned Passwords» an. Hier kann man seine verwendeten Passwörter eingeben und überprüfen, ob sie irgendwo von Hackern erbeutet wurden. Falls ja, müssen sie natürlich unmittelbar geändert werden.

Um zukünftig auf der sicheren Seite zu sein, sollte ein Passwort-Manager genutzt werden, der sich selbst ein kompliziertes Passwort ausdenkt und bei jedem Dienst ein anderes verwendet. Plattformübergreifend gibt es da etwa 1Password oder Lastpass. Aber inzwischen haben auch Browser wie Chrome und Safari eine solche Funktionalität eingebaut. Und wo immer möglich, sollte auch die Zwei-Faktor-Authentisierung aktiviert werden.

Der ultimative Passwort-Guide

Zurück zur Startseite