Yahoo, LinkedIn, Uber, Adobe, Equifax

Große Datendiebstähle im Überblick

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Datendiebstähle haben Auswirkungen - Milliarden von Nutzerdaten treiben durchs Web. Als Anwender kann man sich nur mit starken Kennwörtern schützen.
Datendiebstähle haben Auswirkungen - Milliarden von Nutzerdaten treiben durchs Web. Als Anwender kann man sich nur mit starken Kennwörtern schützen. (Bild: pixabay / CC0)

Immer wieder erschüttern Meldungen zu großen Datendiebstählen das Internet. Wir stellen die größten Leaks der letzten Jahre vor und geben konkrete Tipps, wie Sie herausfinden können, ob Sie betroffen sind und sich als Nutzer gegen solche Datenraube schützen können.

Uber, Yahoo, LinkedIn, Adobe - die Reihe an Unternehmen, bei dem in der Vergangenheit digitale Einbrecher nicht zugeschlagen und erfolgreich Kundendaten entwendet haben ist umfangreich. Meist bedeuten diese Einbrüche, dass die Nutzernamen, E-Mails und Passwörter bei den Kriminellen landen. Inzwischen sind die meisten Kennwörter glücklicherweise per Hash und Salt unleserlich gemacht. Dennoch sollte man sich nicht in Sicherheit wiegen. Die Technik entwickelt sich weiter, Schutzmaßnahmen, die vor einigen Jahren noch als unknackbar galten, sind inzwischen vielleicht mit relativ wenig Aufwand auszuhebeln.

Wo ist das Problem?

In einem Wort: Mehrfachnutzung. Werden die gleichen Zugangsdaten für unterschiedliche Dienste genutzt, können sich die Datendiebe direkt bei den jeweiligen Accounts anmelden. Das ist nicht nur problematisch, wenn Firmen-Konten so zugänglich sind, sondern auch bei Webmail-Konten. Einfach gesagt: Wer Zugang zu einem Gmail-Account hat, kann sämtliche damit verbundene Konten übernehmen und die Zugangsdaten zurücksetzen. Wer schnell checken möchte, ob er auch von solchen Leaks betroffen ist, kann das über die Webseite HaveIbeenPwned.com erledigen.

Yahoo: 3 Milliarden Kundendaten verloren

Wer vor 2013 einen Account bei Yahoo oder einer Tochter hatte, kann davon ausgehen, dass die Daten im Web verfügbar sind. Im Oktober 2017 wurde bekannt, dass drei Milliarden Nutzerdaten gestohlen wurden. E-Mails, Nutzernamen und Passwörter befanden sich in diesem Paket. Die Kennwörter waren glücklicherweise nicht im Klartext. Da allerdings mittlerweile die Rechenleistung deutlich gestiegen ist, kann man davon ausgehen, dass Kriminelle zahlreiche Zugangsdaten entschlüsseln konnten.

Yahoo selbst gab den Datendiebstahl nur stückchenweise zu. Zunächst war von 500 Millionen Nutzerdaten die Rede, kurz darauf wurde diese Zahl auf eine Milliarde erhöht. Anschließend musste der Konzern eingestehen, dass 3 Milliarden Informationen gestohlen wurden. Der Datendiebstahl wirkte sich auf die Übernahmeverhandlungen durch Verizon aus - im Endeffekt kosteten sie Yahoo 350 Millionen US-Dollar. Tatsächlich ist das aber mehr oder weniger die einzige Auswirkung - die Probleme, die Nutzer dadurch hatten, interessieren kaum einen der betroffenen Konzerne.

Uber: 57 Millionen Daten gestohlen, Hacker bestochen

Im November 2017 wurde bekannt, dass Hacker 2016 beim Fahrdienstanbieter Uber einbrechen und die Informationen von 57 Millionen Fahrern und Kunden gestohlen haben. Dazu gehörten Telefonnummern, E-Mail-Adressen und Klarnamen. Besonders kritisch ist, dass der damalige Sicherheitschef von Uber die Hacker scheinabr kontaktiert und ein Schweigegeld in Höhe von 100 000 Dollar zahlte. Die Hacker sollten anschließend die Daten löschen, verkauft wurde das Ganze als “Sicherheitstest”. Dieses Vorgehen war scheinbar mit dem damaligen CEO, Travis Kalanick, abgesprochen. Sowohl der Sicherheitschef wie auch Kalanck haben Uber inzwischen verlassen.

eBay: 145 Millionen Personendaten gestohlen

Nahezu die komplette Kundendatenbank von eBay konnten Cyberkriminelle Ende Februar oder Anfang März 2014 stehlen, wie das Unternehmen am 21. Mai 2014 zugeben musste. Die Angreifer waren mit gestohlenen Mitarbeiter-Accounts ins Firmennetz eingedrungen und an die Kundendatenbank gelangt. Die Täter konnten dabei laut eBay einen echten Volltreffer landen. Denn neben Benutzername, E-Mail-Adresse und verschlüsseltem Passwort erbeuteten die Unbekannten den vollständigen Namen, die Postadresse und Telefonnummer, sowie das Geburtsdatum. Da Identitätsdiebstahl und Spear-Phishing mit diesen präzisen Personendaten ein Leichtes ist, dürfte es den Betroffenen auch nur wenig weiterhelfen, dass die verschlüsselten Kreditkartendaten der Kunden angeblich nicht von dem Diebstahl betroffen waren.

Adobe: 153 Millionen Daten entwendet

Adobe musste im Herbst 2013 einen weitreichenden Dateneinbruch eingestehen. Stehlen konnten die Kriminellen die interne Nutzer-ID, den Nutzernamen, die E-Mail-Adresse, das verschlüsselte Passwort sowie einen Passwort-Hinweis im Klartext. Noch schlimmer, von drei Millionen Kunden wurden die Kreditkarteninformationen entwendet. Die Verschlüsselung der Kennwörter war schwach, viele Daten konnten schnell entschlüsselt werden. Der Einbruch galt damals als einer der schwerwiegendsten, auch, weil viele Geschäftskunden betroffen waren.

LinkedIn: 164 Millionen Daten gestohlen

Der LinkedIn-Hack geht ins Jahr 2012 zurück, damals wurden E-Mail-Adressen und Passwörter von 164 Millionen Nutzern weltweit gestohlen. 2016 tauchten die Daten wieder auf, die meisten Kennwörter wurden bereits entschlüsselt. Das lag daran, dass die Zugangsdaten nur per SHA1 gehasht wurden, LinkedIn nutze damals noch keine Salting der Daten. Entsprechend wurden sie inzwischen größtenteils entschlüsselt und liegen im Klartext vor. LinkedIn hatte damals im Zuge des Einbruchs das komplette System überarbeitet und zusätzliche Sicherheitsmaßnahmen getroffen. Der Zwischenfall ist einer der wenigen, bei dem ein potentieller Hintermann enttarnt wurde: Schuld war möglicherweise ein russischer Hacker, der im tschechischen Prag festgenommen wurde. Die USA hat einen Auslieferungsantrag gestellt.

Dropbox: 68 Millionen Nutzerdaten entwendet

Ebenfalls 2012 konnten Kriminelle beim Cloud-Speicherdienst Dropbox Beute machen. Der Dienst meldete zunächst, dass E-Mails gestohlen wurden. Schnell musst das allerdings auf mit SHA1-gehashte Kennwörter ausgeweitet werden. Besonders kritisch: Beim Aufarbeiten des Falls stellte sich heraus, dass ein Mitarbeiter von Dropbox das gleiche Kennwort wie bei LinkedIn verwendet hatte. Dieser Fall zeigt eindrücklich, wie gefährlich die Mehrfachnutzung von Kennwörtern sein kann.

Equifax: Sensible Daten von 143 Millionen Bürgern gestohlen

Das nicht nur Startups und “normale” Firmen bei der Datensicherheit schlampen, zeigt der Fall des US-Anbieters Equifax anschaulich. Equifax ist so etwas die die Schufa, ein Finanzdienstleister, der die Kreditwürdigkeit von Einzelpersonen bewertet. 2017 konnten Hacker in schlecht gesicherte Server eindringen und persönliche Daten von 143 Millionen Bürgern aus den USA, Kanada und Großbritannien stehlen. Dabei ging es nicht “nur” um E-Mails und Kennwörter, sondern um sensible Daten wie Sozialversicherungsnummern, Geburtsdaten, Adressen oder Führerscheinnummern. Gerade in den USA sind diese Daten oft die einzigen Methoden, um sich wirklich auszuweisen. Der Einbruch bei Equifax dürfte massive Identitätsdiebstähle zur Folge haben.

Avalanche Botnet nutzt Daten von 16 Millionen Deutschen

Datendiebstähle sind kein rein amerikanisches Phänomen. 2014 warnte das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, vor dem Avalance Botnet. Im Zuge der Ermittlungen habe man herausgefunden, dass 16 Millionen Adressen und Kennwörter von Deutschen gesammelt und für Angriffe genutzt wurden. Die Daten selbst kamen nicht aus einem großen Leak, sondern wurden aus mehreren kleineren Einbrüchen zusammengetragen. Laut der Telekom waren 87 000 Nutzer mit einem T-Online-Account betroffen, das Unternehmen und andere Anbieter haben ihre Kunden damals aktiv informiert. Das BSI bietet immer noch einen eigenen Sicherheitscheck an, der die E-Mail eines Nutzers gegen die Datenbank prüft.

Beliebte Passwort-Manager im Überblick

Kennwortverwaltung

Beliebte Passwort-Manager im Überblick

01.02.17 - Programme zur Kennwortverwaltung sind praktisch und nehmen dem Anwender das Merken langer Zeichenkombinationen ab. Passwort-Manager gehören inzwischen ins Arsenal von IT-Profis. In diesem Artikel stellen wir mehrere Lösungen vor. Neben Cloud-basierten Applikationen und lokal installierten Managern zeigen wir drei Lösungen, die Kennwörter nicht speichern sondern bei Bedarf berechnen. lesen

Welche Schutzmaßnahmen helfen wirklich?

Grundsätzlich sollte man keine Zugangsdaten mehrfach nutzen. Einmalige Kennwörter minimieren die Angriffsfläche deutlich, unterschiedliche E-Mail-Konten ebenfalls. Kennwort-Manager helfen hier enorm, vor allem da sie starke Zufallskennwörter ermöglichen, die man sich anschließend nicht merken muss. Zudem setzen sich Systeme zur Mehr-Faktor-Authentifizierung immer mehr durch. Dank Smartphones ist es einfach, sich entsprechende Codes zu generieren. Die Seite TwoFactorAuth liefert einen guten Überblick, welcher Webdienst welche Art von Zwei- oder Mehr-Faktor-Authentifizierung bietet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45059954 / Hacker und Insider)