Im Netz sind erneut mehrere Hundert Millionen Zugangsdaten zu diversen Online-Diensten entdeckt worden, die zum Verkauf angeboten werden. Ein Teil geht auf bereits gemeldete Datendiebstähle zurück, andere stammen aus bisher nicht bekannten Hackerangriffen.
Die rund 617 Millionen Datensätze bestehen aus Benutzernamen bzw. E-Mail-Adressen sowie verschleierten Passwörtern. Bei dem sogenannten Hashing werden die Passwörter mit einem Algorithmus unkenntlich gemacht. Bei einigen Varianten des Verfahrens oder einer fehlerhaften Umsetzung durch die Anbieter kann es nach Einschätzung von Experten jedoch möglich sein, sie zu entziffern.
Betroffen sind 161,5 Millionen Accounts der App Dubsmash, bei der Nutzer in Lipsync-Videos zu populären Songs posieren können. Der Foto-Marktplatz 500px, bei dem rund 15 Millionen Accounts betroffen sein sollen, benachrichtigte bereits die Nutzer, dass ihre Passwörter zurückgesetzt werden. Die rund 92,3 Millionen Zugangsdaten des DNA-Analyse-Dienstes MyHeritage stammen hingegen wie die 150,6 Millionen Login-Informationen der Diät-App MyFitnessPal aus bereits bekannten Hackerattacken.
Der Verkäufer will für die Daten einige Hundert bis 2000 Dollar in der Digitalwährung Bitcoin, die anonymisierte Zahlungen ermöglicht. In den vergangenen Jahren kam es öfter vor, dass Zugangsdaten in großem Umfang angeboten wurden.
Sicherheitsfirmen nennen folgende drei Fehler im Zusammenhang mit Passwörtern als häufig:
Sehr oft werden die gleichen Passwörter für verschiedene Dienste genutzt. Wenn dann auch noch die E-Mail-Adresse als Benutzername verwendet wird, genügt es, wenn ein Dienst gehackt wird. Hacker erhalten dann Zugriff auf viele andere Dienste und Websites, indem sie die bekannten Zugangsdaten dort einfach ausprobieren.
Oft werden auch zu schwache Passwörter verwendet. Als Grundregel gilt: Passwörter oder Teile von Passwörtern dürfen nicht in Wörterbüchern oder Namenslisten Vorkommen. Als weiterer Fehler gilt, dass Passwörter unsicher gespeichert oder verwahrt werden. Zum Beispiel in Excel-Listen.