Es war eigentlich zu erwarten, nachdem die erste Sammlung von Zugangsdaten mit Collection #1 betitelt war: Jetzt ist erneut eine große Menge an geleakten Zugangsdaten aufgetaucht, die unter dem Titel Collection #2 bis Collection #5 noch deutlich umfangreicher ist als die 773 Millionen Logins, die vor zwei Wochen bekannt wurden. Wie das Hasso-Plattner-Institut mitteilt, kursieren nun inzwischen mehr 2,2 Milliarden E-Mail-Adressen sowie die dazugehörigen Passwörter im Netz, das sind mehr als 600 Gigabyte Daten.

Auch wenn nur in einem Teil der Fälle die Passwörter in Klartext gespeichert sind – hieraus resultieren die unterschiedlichen Zählweisen – ist das ein Problem. Denn bekanntermaßen werden über kurz oder lang auch Verschlüsselungen geknackt werden. Davon abgesehen ist das Problem aber (rechnerisch) noch größer, da in manchen Fällen Groß- und Kleinschreibung nicht unterschieden wird, sodass noch deutlich mehr Kombinationen aus Login und Passwort funktionieren.

In einer Hinsicht lässt sich allerdings Entwarnung geben: Nicht alle der Daten sind komplett neu, viele stammen aus älteren Leaks oder sind bereits in einschlägigen Datenbanken verzeichnet. Insofern ist die Sammlung sogar hilfreich, um Anwender warnen zu können. Dennoch sind auch die hierin enthaltenen E-Mail-Adressen für Spammer schon eine wahre Fundgrube (soweit sie aufgrund des teilweise höheren Alters noch existieren): Ein Spammer weiß, dass die Adressen nicht nur valide sind, sondern gegebenenfalls auch auf sie zugegriffen wird.

Das Hasso-Plattner-Institut hat seinen Identity Leak Checker um die neuen Adresslisten ergänzt und Nutzer können so relativ schnell herausfinden, welche ihrer Zugangsdaten bereits in Umlauf sind. Nach Eingabe der Adresse wird an diese eine entsprechende Mail verschickt, die sämtliche Leaks auflistet, von denen man betroffen ist.

Im Gegensatz zur Datenbank Have I been pwned (HIBP) erfährt man hier aber insbesondere bezüglich der Collection#1 bis #5 nur, dass man in irgendeiner Weise betroffen ist, nicht aber, aus welcher Quelle, respektive von welcher Site die Zugangsdaten stammen. Das ist insbesondere deswegen problematisch, weil viele Nutzer sich mit derselben Mailadresse bei unterschiedlichen Diensten registrieren.

Bei HIBP finden sich die neuen Daten noch nicht – es dürfte aber nur eine Frage der Zeit sein, bis das Team um Roy Hunt auch hier nachbessert und die Daten einpflegt (was bei der Menge an Datensätzen nicht leicht sein dürfte). Dafür erfährt man in der HPI-Datenbank, ob beispielsweise auch Daten wie postalische Adresse, hinterlegte Bankdaten oder Geburtsdatum bekannt sind – ein wichtiger Hinweis, um vermeintlichen Anwaltsspam einordnen zu können.

Generell gilt auch in diesem Fall: Passwörter regelmäßig zu ändern und stets unterschiedliche Zugangsdaten zu verwenden ist die einzig sinnvolle Strategie, wenn man einigermaßen sicher vor solchen Leaks sein will. Wer das aus eigener Kraft nicht schafft, sollte einen Passwort-Manager nutzen.

Das könnte dich auch interessieren:

• 773 Millionen Zugangsdaten geleakt – sind auch deine Logins betroffen?
• 500 Millionen Passwörter ausgespäht: Wetten, dass auch eines von dir dabei ist?
• Beachte diese 4 Dinge – und du musst dir um IT-Sicherheit fast keine Sorgen mehr machen
• Wurde mein Account gehackt? Mit diesen Websites findest du es heraus