Menü

Geschäfte mit Passwort-Leaks: Forscher analysieren Millionen von Daten

Das Unternehmen ImmuniWeb hat geklaute, online zum Verkauf stehende Firmendaten analysiert. Dabei fand es fast 20 Millionen Klartext-Passwörter.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 10 Beiträge

(Bild: Pixies )

Von

Seit einigen Monaten sind Meldungen zu umfangreichen Leaks bei großen Firmen fast schon an der Tagesordnung. Dabei kopieren Kriminelle vor allem Daten, die sich zu Geld machen lassen – etwa Logins von Unternehmensmitarbeitern oder sensible Kunden- und Geschäftsinformationen. Anschließend bieten sie ihre Beute beispielsweise über Untergrundforen zum Kauf an.

Das IT-Sicherheitsunternehmen ImmuniWeb hat die "Qualität" und Quantität solcher Angebote analysiert. Ausfindig machte es sie mit Hilfe einer (Darkweb-)Monitoring-Software, die einschlägig bekannte Verkaufskanäle crawlte. Anschließend wurden Duplikate herausgefiltert.

Die Analyse der verbleibenden Datensätze begrenzte das Team von ImmuniWeb laut Eintrag im unternehmenseigenen Blog auf Zugangsdaten so genannter "Fortune 500 companies". Das sind die (laut einer Liste der Zeitschrift Fortune) 500 umsatzstärksten Unternehmen der Vereinigten Staaten im jeweils aktuellen Geschäftsjahr.

ImmuniWeb entdeckte nach eigenen Angaben mehr als 21 Millionen Zugangsdatensätze solcher Unternehmen, von denen wiederum über 16 Millionen während der letzten 12 Monate erbeutet wurden. 95 Prozent aller Datensätze beinhalteten Passwörter im Klartext. In den meisten Fällen dürften sie vor dem Diebstahl wohl unzureichend verschlüsselt und/oder als schwache Hashes vorgelegen haben und nachträglich gecrackt worden sein.

Die meisten Datensätze konnte ImmuniWeb Technologieunternehmen zuordnen (5.071.144), gefolgt vom Finanzsektor (4.915.553) und dem Gesundheitsbereich (1.923.340).

(Bild: immuniweb.com)

Da Verkäufer kopierte Zugangsdaten mit großer Wahrscheinlichkeit "vorsortieren", lassen ImmuniWebs Funde keine Rückschlüsse darauf zu, wie viele Datensätze die Leaks ursprünglich enthielten beziehungsweise wie groß der darin enthaltene Anteil "guter", da schwer knackbarer Passwörter war.

Wenig überraschend ist, dass sich unter den Klartext-Passwörtern laut ImmuniWeb primär solche befanden, von denen Sicherheitsexperten schon seit Jahren (offenbar erfolglos) abraten – etwa "password" in diversen Varianten, vorhersehbare Zahlen- oder bequem tippbare Tastenkombinationen auf dem Keyboard. Aber auch das Gros der übrigen Passwörter zeichnete sich offenbar nicht durch Einfallsreichtum aus: Etwa 42 Prozent von ihnen standen in Zusammenhang mit dem Namen der jeweils attackierten Firma oder der geleakten Ressource (Kundendatenbank o.ä.) und waren damit vor allem anfällig für gezielte Brute-Force-Angriffe.

Weiterhin war der Anteil von Passwörtern, die aus weniger als acht Zeichen bestanden und entweder als Default voreingestellt oder in gebräuchlichen Wörterbüchern enthalten waren, recht hoch: Laut Blogeintrag machten sie im Verkaufssektor 47,29 Prozent aller Passwörter aus; in den Bereichen Telekommunikation und Industrie waren es jeweils rund 37 Prozent.

Getestet haben die Forscher die Zugangsdaten aus naheliegenden (gesetzlichen und ethischen) Gründen nicht. Somit bleibt zu hoffen, dass viele von ihnen im Anschluss an das jeweilige Leak von den Nutzern (sinnvoll) geändert wurden.

Informationen zu aktuellen Datenlecks sowie die Möglichkeit zu überprüfen, ob die eigenen Passwörter Bestandteil eines solchen waren, bietet unter anderem Troy Hunts Service "Have I Been Pwned". Die Datenbank kompromittierter Accounts umfasst mittlerweile über acht Milliarden Einträge.





Mehr zum Thema (sichere) Passwörter/Authentifizierung:

(ovw)