Nicht nur wegen Facebook
12.04.2021, 17:11 Uhr
Datendiebstahl gefährdet User jahrelang
Eine Datenbank mit Informationen zu über 530 Millionen Facebook-Konten ist Anfang April 2021 in einem Hackerforum aufgetaucht – davon stammen rund 1,6 Millionen aus der Schweiz. Sind Sie auch betroffen?
Laut einer Studie von Sicherheitsanbieter NordPass sammeln sich bei Usern mit der Zeit über hundert Online-Logins an. Solche zu Shops, Social-Media-Plattformen wie Facebook oder Twitter, Cloudspeichern, Gesundheitsdienstleistungen (Stichwort «MeineImpfungen.ch»), zu E-Banking und oft mehreren Mail-Konten. Früher oder später wird einer von diesen gehackt oder es werden auf anderem Weg Nutzerdaten abgegriffen.
Anfang des Facebook-Statements zu den geleakten Daten. Die vollständige Stellungnahme (in Englisch) finden Sie unter go.pctipp.ch/fbleak
Quelle: Facebook, Screenshot PCtipp.ch
Schlaraffenland für Kriminelle
Einmal geleakte Daten lassen sich aber nicht «entleaken», sondern kursieren jahrelang im so genannten «Darknet» (versteckte Marktplätze für Onlinegauner). Auch nach anderthalb Jahren dürfte es sich für die meisten Betroffenen um weiterhin gültige Personalien handeln. Denn wie oft wechselt man schon Wohnort, Handynummer oder gar das Geburtsdatum? In den Händen eines Kriminellen sind diese Daten Gold wert, auch lange Zeit, nachdem Gras über die Newsmeldung zum Datenleak gewachsen ist.
Damit können Kriminelle gefälschte Mails und SMS persönlicher formulieren, was ihnen beim Empfänger mehr Glaubwürdigkeit verschafft. Es ist mit mehr Klicks auf ihre virenverseuchten Anhänge oder Phishing-Links zu rechnen. Für den Angreifer ist es zudem ideal, wenn er der Mailadresse eines Anwenders auch dessen korrekte Handynummer zuordnen kann; nicht selten werden ja Logins mittels SMS-Code bestätigt. Das macht den Facebook-Datenleak, der viele Handynummern enthält, so gefährlich.
Erheblich ist hier auch die Gefahr des Identitätsdiebstahls. Kriminelle erstellen anhand solcher Daten gefälschte Facebook-Konten, mit denen sie sich das Vertrauen weiterer Nutzer erschleichen. Damit können sie betrügerische Abbuchungen von der Handyrechnung veranlassen. Hierzu bitten sie im gefälschten Facebook-Profil via Chat eins der ahnungslosen Opfer um die Weitergabe von SMS-Codes, die aus heiterem Himmel auf dem Handy erscheinen.
Sind Sie betroffen?
Die Webseite «Have I been pwned?» («pwned» ist Hackerjargon für «owned», sprich: gehackt) ist das Projekt des australischen Sicherheitsexperten und Microsoft-Managers Troy Hunt. Er sammelt Informationen aus unzähligen Datenleaks der letzten 12 Jahre. Nutzer können auf seiner Webseite ihre Mailadressen und – das ist neu seit dem Facebook-Leak – auch ihre Telefonnummern eingeben, um so herauszufinden, ob eins davon in einem der grossen Datenraubzüge enthalten war. Für den Firefox-«Monitor», der demselben Zweck dient, arbeitet auch Mozilla mit Troy Hunts Dienst zusammen.
So gehts: Surfen Sie zur Webseite haveibeenpwned.com. Tippen Sie im Feld Ihre Mailadresse oder Ihre Handynummer (im internationalen Format, z.B. +41791111111) ein und klicken Sie auf pwned?. Im Idealfall erscheint auf grünem Hintergrund «Good news — no pwnage found!».
Weniger Glück hat die Autorin mit einer anderen ihrer Mailadressen. Hier erscheint «Oh no — pwned!» auf rotem Hintergrund. Mehr noch: «Pwned in 2 data breaches», heisst es da. Sie war also gleich in zwei Datenleaks vorhanden. Scrollen Sie in einem solchen Fall herunter zu «Breaches you were pwned in», also Datenleaks, in denen die Adresse enthalten war.
Die betroffene Adresse wurde im Jahr 2012 von Angreifern beim Cloudspeicherdienst Dropbox.com erbeutet. Dabei sind auch Passwörter mitgekommen. Damals hat die Autorin zeitnah davon erfahren und das Dropbox-Passwort längst geändert. Der zweite Leak (Verifications.io) dürfte Adressen vieler Schweizerinnen und Schweizer enthalten. Beim Verifications-Dienst konnten Firmen (oder Spammer) prüfen lassen, ob eine Mailadresse existiert. Dadurch hatten sich dort 763 Millionen Mailadressen angesammelt. Der Dienst wurde 2019 gehackt und hat den Betrieb nach Bekanntwerden des Datendiebstahls eingestellt.
Manchmal heisst auf haveibeenpwned.com, die Adresse sei in einem «Paste» aufgetaucht. Dabei handelt es sich meist um Listen von Mailadressen und anderen Daten, die jemand z.B. auf pastebin.com einfach abgeladen («to paste» = einfügen) hat. Woher jene Daten stammen, ist in der Regel nicht bekannt.
Was tun? Ein Treffer auf haveibeenpwned.com ist noch kein Weltuntergang und bedeutet keineswegs, dass damit gleich Ihr Mailkonto gehackt worden sei. Es heisst nur, dass Sie die Mailadresse bei einem in der Vergangenheit einmal «gehackten» Dienst angegeben haben – meistens dient die Mailadresse bekanntlich als Benutzername. Melden Sie sich beim betroffenen Dienst mit Ihren dortigen Zugangsdaten an und ändern Sie das Passwort. Falls Sie dasselbe Passwort auch bei anderen Diensten verwendet haben, ändern Sie es bei jenen ebenfalls.