Über 700 Millionen E-Mail-Adressen: Gigantischer Datenschatz aufgetaucht

Der Sicherheitsexperte Troy Hunt hat im Internet einen riesigen Datensatz entdeckt, in dem unter anderem 773 Millionen E-Mail-Adressen und mehr als 20 Millionen unverschlüsselte Passwörter verzeichnet sind.

(Foto: www.troyhunt.com)

Das neue Jahr ist noch keinen Monat alt, da ist schon der erste Daten-GAU zu verzeichnen. Der Microsoft-Mitarbeiter und IT-Security-Spezialist Troy Hunt, der auch den bekannten Onlinedienst »Have I been pwned« zur Überprüfung kompromittierter Logins betreibt, ist im Internet auf rekordverdächtigen Schatz gestohlener Daten gestoßen. In dem von ihm »Collection #1« getauften Datensatz sind laut Hunt insgesamt mehr als zweieinhalb Milliarden Einträge enthalten, die aus verschiedensten Quellen und von zahlreichen Hacks und anderen digitalen Raubzügen stammen. Diese enorme Masse macht die mehr als 87 GByte große Sammlung mit über 12.000 Dateien besonders gefährlich, da sie Angreifern einen schier unerschöpflichen Pool von Zielen auf einen Schlag liefert.

Konzentriert man sich bei der Untersuchung des Inhalts primär auf die Passwörter als sensible Information, bleiben laut Hunt mehr als 1,6 Milliarden einzigartige Kombinationen aus E-Mail-Adressen und Passwörtern übrig. Streicht man daraus noch Dubletten und Fälle heraus, die auf unterschiedliche Schreibweisen, Formatierungsfehler oder ähnliches hindeuten, bleiben noch immer 773 Millionen Login-Daten aus E-Mail-Adresse und Passwort. Die entsprechenden E-Mail-Adressen hat Hunt inzwischen auch mit seiner eigenen Datenbank abgeglichen und die fehlenden hinzugefügt, sodass jeder Internetnutzer schnell überprüfen kann, ob auch seine Informationen betroffen sind. Als kleinen Ansporn gibt der Experte den Nutzern dabei zu bedenken, dass er in dem Datensatz auch eigene E-Mail-Adressen inklusive Passwörtern vorgefunden hat, die er in dieser Kombination in der Vergangenheit tatsächlich für Logins benutzt hatte.

Immerhin sind – zumindest in der von Hunt aufgestöberten Version der Datensammlung – die meisten der Passwörter noch verschlüsselt. Dennoch finden sich darin auch 21,2 Millionen Passwörter im Klartext. Hunt geht davon aus, dass bei ihnen die Verschlüsselung geknackt werden konnte. Insofern sollten auch alle anderen Betroffenen im Falle eines positiven Abgleichs unbedingt ihre Passwörter ändern.