Was ist passiert? In Russland wurde von einem Sicherheitsforscher der Vertek Corporation ein Server eines Spam-Botnetzes namens “Trik” gefunden. Auf diesem sogenannten “Command-and-Control-Server“, der nach außen hin für jedermann zugänglich war, wurden mehr als 43 Millionen E-Mail-Adressen entdeckt.

Sauber beschriftet und in 2201 nummerierten Textdaten gelistet, wurde schnell klar, auf wen die Kriminellen es abgesehen haben (siehe Top100).

Der “undichte” Server wurde zufällig im Rahmen einer Untersuchung einer Malware-Kampagne zur Verbreitung des “Trik-Trojaners” entdeckt, der sich über die IP-Adresse auf den russischen Server zurück verfolgen ließ. Laut dem Experten wurde der Server u.a. zur Verbreitung des “Trojaners Trik” zusammen mit der “Ransomware GandCrab 3” genutzt. Zudem gibt der Experte an, dass die Hintermänner hinter dieser Kampagne den Server wohl absichtlich falsch konfiguriert haben. Folglich konnte jeder, der Zugriff auf die IP des Servers hatte, auf die dort abgelegten Daten zugreifen.

Zusammenarbeit mit dem Dienst “Have i been pwned?”

Der Forscher der Vertek Corporation arbeitet mit dem australischen Sicherheitsexperten Troy Hunt (Besitzer von Have i been pwned?) zusammen um festzustellen, wie viele dieser E-Mails neu, doppelt bzw. wie viele der Daten bereits von älteren Daten-Dumps stammen.

Fazit: Von über 44.020.000 potenziellen Adressen wurden 43.555.741 als legitim bestätigt und stammen von verschieden gängigen Domains wie Yahoo, Rediffmail, AOL, MSN, Google, Web.de und mehrerer privater Unternehmen.

Top 100 E-Mail-Domains der durchgesickerten Daten (bleepingcomputer.com):
[su_expand more_text=”mehr >>” less_text=”weniger Text”]

 120120 yahoo.es
 117175 Charter.net
 112566 mac.com
 111248 mail.ru
 107810 juno.com
  92141 optonline.net
  86967 yahoo.de
  78964 me.com
  73341 yahoo.com.ar
  71545 yahoo.in
  71200 rocketmail.com
  69757 wanadoo.fr
  68645 rogers.com
  65629 yahoo.it
  65017 Shaw.ca
  64091 ig.com.br
  63045 163.com
  62375 uol.com.br
  57764 frei.fr
  57617 yahoo.com.mx
  57066 web.de
  56507 orange.fr
  56309 sympatico.de
  54767 aim.com
  51352 cs.com
  50256 bigpond.com
  48455 terra.com.br
  43135 Yahoo.co.id
  41533 netscape.net
  40932 alice.it
  39737 sky.com
  39116 yahoo.com.au
  38573 bol.com.br
  38558 YAHOO.COM
  37882 excite.com
  37788 mail.com
  37572 tiscali.de
  37361 mindspring.com
  37350 tiscali.it
  36636 HOTMAIL.COM
  36429 ntlworld.com
  34771 netzero.de
  33414 prodigy.net
  33208 126.com
  32821 yandex.ru
  32526 planet.nl
  32496 yahoo.com.cn
  31167 qq.com
  30831 embarqmail.com
  30751 adelphia.net
  30536 telus.net
  30005 hp.com
  29160 yahoo.de
  28290 roadrunner.com
  27558 skynet.be
  26732 telenet.be
  26299 wp.pl
  26135 talktalk.net
  26072 pacbell.net
  26051 t-online.de
  25929 netzero.com
  25917 optusnet.com.au
  25897 virgilio.it
  25525 home.nl
  25227 videotron.de
  24881 blueyonder.de
  24462 peoplepc.com
  24435 windstrom.net
  24079 xtra.co.nz
  23465 bluewin.ch
  23375 us.army.mil
  22433 hetnet.nl
  22247 traininelite.com
  22021 yahoo.com.sg
  21689 laposte.net
  21336 Ge.com
  21130 frenchnet.net
  21055 q.com
  21034 mchsi.com
  20882 webtv.net
  20830 abv.bg
  19425 insightbb.com

[/su_expand]

Sind meine Zugangsdaten auch gefährdet?

Wer also wissen möchte, ob seine Daten bzw. Passwörter Teil eines veröffentlichten Datensatzes ist, kann dies beim kostenfreien Dienst “haveibeenpwned?” des australischen Microsoft-Direktors und IT-Sicherheitsexperten Troy Hunt herausfinden.
Aktuell enthält die Datenbank u.a. geleakte Accounts von 289 Webseiten und 5.115.553.456 Accounts aus allen gängigen Bereichen. Ein weiterer Service der Webseite erlaubt es Nutzern, ihre Email-Adresse zu hinterlegen und eine Benachrichtigung zu bekommen, sobald ihre Daten bei einem künftigen Datendiebstahl auftauchen. Hier geht es zum Dienst “haveibeenpwned?

Bild: haveibeenpwned.com

Es drohen höhere Gefahren bei mehrfacher Verwendung der Passwörter

Wird dasselbe Passwort in Kombination mit der (E-Mail-) Account-Adresse mehrfach bei Diensten im Internet verwendet (z.B. selbes Passwort bei Facebook, Twitter, Amazon), droht somit das Risiko, auch dort die Kontrolle über das Profil zu verlieren – obwohl es bislang bei den anderen Anbietern zu keinem Datendiebstahl gekommen ist. In solchen Fällen sind leider auch sichere und starke Passwörter nutzlos.

Grundsätzlich empfehlen wir: Wurde eine Passwort / E-Mail-Kombination in der Datenbank gefunden, ändern Sie umgehend Ihre Zugangsdaten bei allen Internetdiensten, wo diese verwendet werden! Zudem sollten Sie das System auf eventuelle Infektionen hin überprüfen (z.B. mit unseren EU-Cleanern). Lesen Sie als weiteren Beitrag: “Kontrolle über Identitätsdiebstähle

 
Bild: bleepingcomputer.com