Forscher der Sicherheitsfirma Trustwave’s Spider Labs haben bei ihren Nachforschungen einen Server voller Anmeldedaten für mindestens zwei Millionen Kundenkonten entdeckt. Der Vorfall betrifft Facebook, Google, Twitter und einige Konten anderer Webseiten sowie E-Mail-Adressen, FTP-Konten, Remote Desktops und Secure Shells.

Anzahl der gestohlenen Konten (C) by Spider Labs

Die gestohlenen Daten stammen aus 102 verschiedenen Ländern. Dem ersten Anschein nach betreffen die allermeisten der gestohlenen Daten Computer in den Niederlanden. Weitere betroffene Computer waren aber in Thailand, Deutschland, Singapur und Indonesien zu finden. Eine genauere Untersuchung der IP-Log-Daten zeigte jedoch, dass die niederländischen IP-Adressen lediglich als ein Tor oder ein Proxy zwischen infizierten Maschinen und einem Command-and-Control-Server dienten. Letzterer war ebenfalls in den Niederlanden angesiedelt und von dort aus gesteuert.

Die Informationen seien von einem Botnet-Controller, bekannt als Pony, durchgeführt worden. Vermutlich sind hier Keylogger oder ähnliche Malware eingesetzt worden. Es wurde auch deutlich, dass der Datendiebstahl in dieser Größenordnung nur möglich geworden ist aufgrund einer großen Anzahl schwacher Passwörter.

Dem Bericht zufolge wurden „123456“ (für 15,820 Konten), „123456789 (4,875), „1234“ (3,135) und „password“ (2,212) als Zugangsdaten verwendet. Alles in allem bezeichnete Spider Labs sechs Prozent der Passwörter als „schrecklich schwach“, 28 Prozent als „schlecht“, 44 Prozent als „mittel“, 17 Prozent als „gut“ und nur fünf Prozent als „ausgezeichnet“. Solche Passwörter machen es Dieben besonders leicht.

Die Anwender von Facebook hätten sich beispielsweise selbst schützen können, indem sie Log-in-Bestätigungen und Log-in-Meldungen in ihren Sicherheitseinstellungen verwenden. Dann käme sofort eine Meldung, wenn sich ein fremder Dritter einzuloggen versucht. Facebook gab bekannt, dass die Passwörter aller User in der gefundenen gestohlenen Datensammlung automatisch zurückgesetzt wurden.

Artikel von arstechnica.com, 04.12.2013: Found: Hacker server storing two million pilfered passwords
Artikel von bbc.co.uk, 04.12.2013: Stolen Facebook and Yahoo passwords dumped online