16 Milliarden Zugangsdaten: Kein neuer Leak, viele alte Daten

Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu „Apple, Facebook, Google und anderen“ (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel „Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat“, dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

Inhalt der Datenfunde

„Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind“, beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber „es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden“.

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie „moderne Infostealer“ sammeln und ablegen. Die Datenbanken seien namentlich etwa „Logins“ oder „Credentials“, aber auch geografische Zuordnungen wie „Russian Federation“ oder Dienste wie „Telegram“ haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der „Mutter aller Datenlecks“ (MOAB, „Mother of all Breaches“), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Breach, Leak oder schlichtes Einsammeln?

In der Berichterstattung zu derlei Begebenheiten unterliegt die Genauigkeit bisweilen der Sehnsucht nach einer griffigen Überschrift. Titeln englischsprachige Medien von einem „Breach“, ist üblicherweise ein Datenklau durch einen Einbruch direkt bei einem Unternehmen oder Seitenbetreiber gemeint, wie etwa Google oder Apple. Das ist hier offenkundig nicht der Fall – obgleich die Autoren das schlagzeilenträchtig suggerieren. Allenfalls um ein „Leak“ könnte es sich der medialen Schilderung zufolge handeln, also um versehentlich durch Kriminelle öffentlich gemachte Daten.

Die „klare Struktur“ der Daten ist in der Szene ebenfalls üblich und jedem halbwegs seriösen Akteur im Infostealer-Umfeld sattsam bekannt: Es handelt sich um sogenannte „txtbases“, also im Textformat getauschte Zugangsdaten. Üblicherweise verwendet die Szene das Format „Dienst|Benutzername|Passwort„, txtbase-Dateien sind etwa in offen zugänglichen Messenger-Gruppen Gigabyte-weise kostenlos herunterladbar.

Als kurze Fingerübung für den Brückentag haben wir uns an einem bekannten Tauschplatz für derlei Datensätze eingeloggt und knapp 70 Textdateien mit einem Gesamtvolumen von ca. 7 GByte heruntergeladen. Diese enthalten etwa 122 Millionen Einträge, darunter allein 4 Millionen Einträge zu Metas sozialem Netzwerk Facebook. Die Überlappung ist jedoch erheblich: Die Hälfte der Facebook-Kontonamen taucht in unserer Stichprobe zwei- oder mehrfach auf.

Während die heise-security-Redaktion mit Kommandozeilenwerkzeugen wie grep und awk hantiert (und die gewonnenen Daten nicht in einer Leak-Datenbank speichert), geht Zugangsdaten-Experte Troy Hunt wesentlich professioneller zu Werke. Er verarbeitete im vergangenen Februar eine Datenbank aus 23 Milliarden Einträgen und dokumentierte den Prozess minutiös in seinem Blog.

Insgesamt stehen auf der von uns angesteuerten txtbase-Tauschbörse über 10.200 Dateien zum Download bereit, unserer Stichprobe zufolge mit durchschnittlich 1,8 Millionen Zeilen pro Datei. Das bedeutet: Allein in dieser einen Quelle finden sich über 19 Milliarden Zugangsdaten – fast 20 Prozent mehr als im schlagzeilenträchtigen „Mega-Leak“. Und das ohne Darknet-Brimborium und Zahlungen an Cyberkriminelle, sozusagen ohne Leak und doppelten Boden.

Panik erneut unangebracht

Mit diesem Wissen zeigt sich: Panik anhand der „neuen Enthüllung“ ist unangebracht. Cyberkriminelle versuchen wie in der Vergangenheit, alte Datenfunde zu qualifizieren und etwa mittels Credential-Stuffing in Dienste einzubrechen. Internetnutzer müssen weiterhin achtsam bleiben, ob möglicherweise ungewöhnliche Zugriffe auf von ihnen genutzte Dienste erfolgen und gegebenenfalls bei Verdacht Passwörter ändern. Das Aktivieren von Mehrfaktorauthentifikation oder sogar die Nutzung von Passkeys empfiehlt sich für besseren Schutz.

Infostealer bleiben zudem ein weit verbreitetes Phänomen. Erst kürzlich stießen wir auf Malvertising mit macOS-Tipps, die Malware-Autoren verstecken Schadsoftware jedoch auch in Spiele-Betas und gefälschten Apps. Strafverfolger konzentrieren sich daher in der „Operation Endgame“ auf die Cyberkriminellen, die rund um die Infostealer ein einträgliches Ökosystem betreiben.

(dmk)