Wurden Daten aus all diesen 23'000 Websites entwendet?

Sonderfall «Cit0day»: Wurden 23'000 Websites gehackt?

Ein Leser meldete sich bei uns, weil seine Mailadresse laut seiner Abfrage bei «Have I been pwned?» in einem so genannten «Data Breach» mit dem Arbeitstitel «Cit0day» gefunden wurde. Was ist das? Und warum ist dieser Fall so speziell?
Troy Hunt (der HIBP-Betreiber) hat darüber gebloggt (engl.). Die Seite «Cit0day.in» war ein Dienst von Onlinekriminellen für andere Onlinekriminelle. Jener beschaffte und verkaufte Daten aus zahlreichen eher kleineren Datendiebstählen und hat im September 2020 seinen Dienst eingestellt. Dies angeblich, weil er von den US-Ermittlungsbehörden hopsgenommen worden sei. Das US-Portal ZDNet berichtete jedoch (engl.), dass die behördlich aussehende Meldung auf der damaligen Seite gefälscht und keine Verhaftung erfolgt sei.
Um Anfang November 2020 herum tauchte jedenfalls eine ominöse, mit «Cit0day» bezeichnete Datenbank mit rund 226 Millionen Mailadressen in einem Hackerforum auf. Die Struktur bestand aus rund 23'000 Paketen, die alle unterschiedliche Namen von Domains trugen, z.B. chordie.com, siehe nachfolgenden Screenshot. Darin enthalten waren die Files mit offenbar zugehörigen Mailadressen. Das lässt den Schluss zu, dass die in jedem Paket enthaltenen Mailadressen und sonstigen Daten bei Online-Einbrüchen bei den jeweiligen Domains geklaut wurden.
Zu jeder der 23'000 mutmasslich kompromittierten Domains gab es solche Files
Quelle: Screenshot Troy Hunt
Troy Hunt hat die Daten analysiert und in HIBP eingepflegt. Waren es nur Daten, die schon in anderen Breaches vorhanden waren? Waren es gefälschte Daten? Zu beidem: eher nein, wie es aussieht. Nach dem Datenabgleich fand er heraus, dass nur 65% der Mailadressen bereits in anderen Breaches vorhanden waren. Ein paar einzelne Breaches der erwähnten Sites waren zudem auch schon bekannt. Er nennt das Beispiel von hookers.nl, das bereits in seiner Datenbank steckte. Uns ist unter den aufgelisteten Breaches jener von forum.zonealarm.com noch geläufig, siehe Bericht von Securityweek (engl.) vom November 2019. Ausserdem hat Troy Hunt einige ausgesuchte Accounts verschiedener Domains geprüft. Aufgrund seiner Stichproben kam er zum Schluss, dass die Accounts wahrscheinlich echt waren und tatsächlich zu den in Dateinamen angegebenen Domains gehörten.
Aber was bedeutet das jetzt für User, deren Mailadressen laut «Have I been pwned?» in diesem «Cit0day»-Paste gefunden werden?




Das könnte Sie auch interessieren