Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu „Apple, Facebook, Google und anderen“ (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel „Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat“, dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

Inhalt der Datenfunde

„Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind“, beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber „es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden“.

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie „moderne Infostealer“ sammeln und ablegen. Die Datenbanken seien namentlich etwa „Logins“ oder „Credentials“, aber auch geografische Zuordnungen wie „Russian Federation“ oder Dienste wie „Telegram“ haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der „Mutter aller Datenlecks“ (MOAB, „Mother of all Breaches“), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Breach, Leak oder schlichtes Einsammeln?

In der Berichterstattung zu derlei Begebenheiten unterliegt die Genauigkeit bisweilen der Sehnsucht nach einer griffigen Überschrift. Titeln englischsprachige Medien von einem „Breach“, ist üblicherweise ein Datenklau durch einen Einbruch direkt bei einem Unternehmen oder Seitenbetreiber gemeint, wie etwa Google oder Apple. Das ist hier offenkundig nicht der Fall – obgleich die Autoren das schlagzeilenträchtig suggerieren. Allenfalls um ein „Leak“ könnte es sich der medialen Schilderung zufolge handeln, also um versehentlich durch Kriminelle öffentlich gemachte Daten.

Die „klare Struktur“ der Daten ist in der Szene ebenfalls üblich und jedem halbwegs seriösen Akteur im Infostealer-Umfeld sattsam bekannt: Es handelt sich um sogenannte „txtbases“, also im Textformat getauschte Zugangsdaten. Üblicherweise verwendet die Szene das Format „Dienst|Benutzername|Passwort„, txtbase-Dateien sind etwa in offen zugänglichen Messenger-Gruppen Gigabyte-weise kostenlos herunterladbar.

Als kurze Fingerübung für den Brückentag haben wir uns an einem bekannten Tauschplatz für derlei Datensätze eingeloggt und knapp 70 Textdateien mit einem Gesamtvolumen von ca. 7 GByte heruntergeladen. Diese enthalten etwa 122 Millionen Einträge, darunter allein 4 Millionen Einträge zu Metas sozialem Netzwerk Facebook. Die Überlappung ist jedoch erheblich: Die Hälfte der Facebook-Kontonamen taucht in unserer Stichprobe zwei- oder mehrfach auf.

Während die heise-security-Redaktion mit Kommandozeilenwerkzeugen wie grep und awk hantiert (und die gewonnenen Daten nicht in einer Leak-Datenbank speichert), geht Zugangsdaten-Experte Troy Hunt wesentlich professioneller zu Werke. Er verarbeitete im vergangenen Februar eine Datenbank aus 23 Milliarden Einträgen und dokumentierte den Prozess minutiös in seinem Blog.

Insgesamt stehen auf der von uns angesteuerten txtbase-Tauschbörse über 10.200 Dateien zum Download bereit, unserer Stichprobe zufolge mit durchschnittlich 1,8 Millionen Zeilen pro Datei. Das bedeutet: Allein in dieser einen Quelle finden sich über 19 Milliarden Zugangsdaten – fast 20 Prozent mehr als im schlagzeilenträchtigen „Mega-Leak“. Und das ohne Darknet-Brimborium und Zahlungen an Cyberkriminelle, sozusagen ohne Leak und doppelten Boden.

Panik erneut unangebracht

Mit diesem Wissen zeigt sich: Panik anhand der „neuen Enthüllung“ ist unangebracht. Cyberkriminelle versuchen wie in der Vergangenheit, alte Datenfunde zu qualifizieren und etwa mittels Credential-Stuffing in Dienste einzubrechen. Internetnutzer müssen weiterhin achtsam bleiben, ob möglicherweise ungewöhnliche Zugriffe auf von ihnen genutzte Dienste erfolgen und gegebenenfalls bei Verdacht Passwörter ändern. Das Aktivieren von Mehrfaktorauthentifikation oder sogar die Nutzung von Passkeys empfiehlt sich für besseren Schutz.

Infostealer bleiben zudem ein weit verbreitetes Phänomen. Erst kürzlich stießen wir auf Malvertising mit macOS-Tipps, die Malware-Autoren verstecken Schadsoftware jedoch auch in Spiele-Betas und gefälschten Apps. Strafverfolger konzentrieren sich daher in der „Operation Endgame“ auf die Cyberkriminellen, die rund um die Infostealer ein einträgliches Ökosystem betreiben.

(dmk)

Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Drittentwickler bleiben erst einmal draußen

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Zeitraum der Umstellung ist ab Mitte Juli 2025, abgeschlossen soll sie bereits ab August sein. Weitere Informationen zu den Änderungen finden sich Microsoft 365 Message Center unter dem Eintrag MC1097272.

Windows 365: Praktisches Feature deaktiviert

Gleichzeitig führt Microsoft neue Security-Einstellungen für seine Cloud-PCs Windows 365 ein: Standardmäßig ist die Verknüpfung der Zwischenablage, Speichers, von USB-Geräten und des Druckers zwischen Cloud-Systemen und dem lokalen Rechner künftig deaktiviert. Betroffen sind ausschließlich neu eingerichtete Cloud-PCs, das praktische Feature lässt sich nachträglich aktivieren.

Wer Windows 365 mit einem Windows 11 Gallery Image einrichtet, aktiviert auf dem neuen System künftig standardmäßig VBS, Credential Guard und HVCI. Details zu den Security-Updates für die Cloud-PCs finden sich in der Tech Community. Einführen will Microsoft die neuen Windows-365-Defaults in der zweiten Jahreshälfte 2025.

(fo)

Im WordPress-Theme „Motors“ haben IT-Sicherheitsforscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, ihre Rechte auszuweiten und in der Folge anfällige WordPress-Instanzen zu kompromittieren. Genau das findet seit Anfang Juni offenbar statt.

Die Sicherheitslücke besteht laut Schwachstellenbeschreibung darin, dass das Theme die Identität von Nutzern nicht korrekt validiert, bevor es Passwort-Änderungen übernimmt. Angreifer aus dem Netz können dadurch ohne vorherige Authentifizierung Passwörter beliebiger Nutzer ändern – einschließlich das des Admins, und dadurch Vollzugriff erlangen (CVE-2025-4322 / EUVD-2025-15813, CVSS 9.8, Risiko „kritisch„).

Die IT-Sicherheitsforscher von Wordfence schreiben in einer Analyse, dass sie seit dem 7. Juni massenhaften Missbrauch der Schwachstelle in dem Theme beobachten. Das Theme heißt mit vollem Namen „Motors – Car Dealer, Rental & Listing“. Laut Anbieter-Webseite wurde es rund 22.500 Mal verkauft. Es ist daher offenbar weit verbreitet im Einsatz.

„Motors“-Theme: Verwundbare Versionen

Die Schwachstelle findet sich im „Motors“-Theme bis einschließlich Version 5.6.67. Die Entwickler haben die Sicherheitslücke in Version 5.6.68 vom 12. Juni und neueren Fassungen gestopft. Admins, die auf das Theme setzen, sollten es zügig aktualisieren und gegebenenfalls ihre WordPress-Instanz prüfen, ob dort ungewöhnliche Aktivitäten aufgefallen sind oder Nutzerkonten unbefugt verändert wurden.

Für das populäre Webseiten-CMS WordPress gibt es so viele Plug-ins und Themes, die von teils auch weniger professionellen Anbietern stammen, dass ständig welche mit Sicherheitslücken auffallen. So wurde etwa am Donnerstag dieser Woche bekannt, dass das WordPress-Plug-in „AI Engine“, das immerhin auf mehr als 100.000 WordPress-Instanzen zum Einsatz kommt, eine hochriskante Schwachstelle aufweist, durch das Angreifer ebenfalls die Instanz vollständig kompromittieren können. Auch hierfür steht aktualisierte Software bereit, die Admins zügig installieren sollten.

(dmk)