Sicherheitsexperten, Behörden und Medien warnen seit Jahren: Wenn die eigenen Login-Daten nach einem Hack in einem Datenleak auftauchen, ist das Passwort quasi wertlos. Es sollte unverzüglich ersetzt und nie mehr verwendet werden – und zwar auch bei allen anderen Konten, wo es aus Bequemlichkeit eingesetzt wird.
Ist das paranoid?
Wie schlimm ist es wirklich, wenn die Kombination aus E-Mail-Adresse und Passwort in einem Datenleck auftaucht? Und wie lange dauert es in einem solchen Fall, bis man tatsächlich gehackt wird?
Ein Schweizer IT-Sicherheits-Experte, auf Twitter unter dem Namen @ant0inet aktiv, hat die Probe aufs Exempel gemacht.
Für sein Sicherheits-Experiment hat er bei populären Plattformen wie Instagram und Ebay mit geleakten Anmeldedaten neue Nutzerkonten eingerichtet, die als Lockmittel für Kriminelle dienen. Die Konten sind also Köder, die mit bekannten E-Mail- und Passwortkombination aus Datenlecks erstellt werden.
Zunächst braucht es einen Zugang zu einem geleakten Datensatz. Wer weiss, wo suchen, findet im Netz Datensätze mit Millionen von offengelegten Zugangsdaten.
Eine von Kriminellen in den letzten Jahren häufig genutzte Liste beinhaltet 593 Millionen eindeutige E-Mail-Adressen, viele davon mit mehreren dazugehörenden Passwörtern, die von verschiedenen Online-Diensten erbeutet wurden. Die Liste wird für «Credential Stuffing» verwendet, d.h. Angreifer nutzen sie, um andere Online-Konten zu identifizieren, bei denen der Kontoinhaber sein Passwort wiederverwendet hat.
In eben dieser Liste finden sich auch rund 140'000 gmx.ch-Adressen. Davon wird nun eine nicht mehr genutzte bzw. für einen neuen Nutzer wieder verfügbare E-Mail-Adresse, ausgewählt. Der IT-Experte hat sich für GMX entschieden, weil sich beim deutschen Mail-Anbieter die Verfügbarkeit von Adressen «recht bequem prüfen» lässt. Natürlich könnte man auch einen anderen E-Mail-Anbieter nehmen.
Die automatisierte Prüfung liefert eine Reihe von gmx.ch-Adressen, die von ihren Besitzern aufgegeben und inzwischen wieder verfügbar sind. Mit einer dieser geleakten E-Mail- und Passwortkombinationen lassen sich nun neue Nutzerkonten bei Instagram, Ebay etc. registrieren.
Der Köder ist ausgeworfen, nun heisst es abwarten.
Wenige Tage später:
Es dauert keine Woche, bis das neue Instagram-Konto, das als Köder bzw. Honeypot (Honigtopf) dient, von mindestens einem Angreifer gehackt wird.
Der Angreifer «loggte sich in das Honigtopf-Konto ein und begann seltsame Dinge zu tun, z.B. das Profil zu ändern, viele Follower hinzuzufügen und das Konto im Wesentlichen in einen Bot zu verwandeln», schreibt der IT-Experte.
Das Experiment zeigt exemplarisch: Wer nach einem Datenleck offengelegte Login-Daten weiter nutzt, dürfte bald ungebetenen Besuch erhalten.
Eine relativ bekannte und sichere Möglichkeit, herauszufinden, ob eigene Internet-Konten gehackt wurden, ist die Webseite «Have I Been Pwned?» (wurde ich gehackt?) von Troy Hunt. Der australische Sicherheitsexperte sammelt seit über einem Jahrzehnt durchgesickerte Passwörter von Dutzenden von kompromittierten Online-Diensten. Von gehackten Dating-Plattformen über Social Networks bis zu Hotel-Webseiten ist alles dabei.
Nutzer und Nutzerinnen können mit seinem Online-Dienst testen, ob die eigene E-Mail-Adresse von einem Datenabfluss betroffen ist und das entsprechende Passwort offengelegt wurde. Wer einen Passwort-Manager nutzt, also für jedes Konto ein eigenes, sicheres Passwort hat und zusätzlich die Zwei-Faktor-Authentifizierung (2FA) bzw. Mehrfaktor-Authentifizierung aktiviert, erschwert Angriffe massiv.
Gut zu wissen: Chrome und Firefox bieten Troy Hunts Passwort-Check «Have I Been Pwned?» direkt im Browser an. Tippt man auf einer Webseite ein Passwort ein, das nach einem Datenleck offengelegt und somit unsicher ist, wird man bei der Eingabe vom Browser gewarnt.
Datensätze mit Millionen von Zugangsdaten (Kombinationen von Nutzernamen und Kennwörtern) werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt und für vielfältige Betrügereien genutzt: Kreditkarten- und E-Banking-Betrug, Erpressung, Identitätsdiebstahl, Industriespionage, Datenmanipulation etc. etc. Diese Untergrund-Industrie liefert sich mit Sicherheits-Experten ein ewiges Katz-und-Maus-Spiel.