Gestohlene Passwörter der US-Regierung im Internet veröffentlicht

Recorded Future hat auf insgesamt 89 unterschiedlichen Domains Anmeldenamen und Passwörter von 47 US-Regierungsbehörden gefunden. Dafür hat das auf Data Mining spezialisierte Unternehmen mehr als 680.000 Websites untersucht und Daten und Quellen miteinander verbunden.

Die meisten Anmeldedaten entdeckte das von der CIA finanziell unterstützte Start-up auf Seiten wie Pastebin. Dem Untersuchungsbericht zufolge wurden sie wahrscheinlich von Dritten gestohlen. „In vielen Fällen hat unsere Forschung zur sofortigen Löschung der Anmeldedaten durch Seiten wie Pastebin.com geführt. Nach unserem Wissen wurden allerdings die Regierungsbehörden, deren Daten möglicherweise veröffentlicht wurden, nicht kontaktiert. Außerdem zirkulieren sie wahrscheinlich immer noch in bestimmten Kreisen und stehen den ursprünglichen Hackern zur Verfügung.“

Die Verfügbarkeit der Log-in-Daten mache die Behörden anfällig für Spionage, Social Engineering und maßgeschneiderte Spear-Phishing-Angriffe gegen Mitarbeiter, so Recorded Future weiter. Zudem kritisiert das Unternehmen fehlende Sicherheitsvorkehrungen auf Seiten der Behörden.

12 der insgesamt 47 betroffenen Behörden würden ihren Mitarbeitern nicht die Nutzung einer Zwei-Schritt-Authentifizierung bei der Anmeldung an ihren Systemen vorschreiben. In diesen Fällen seien die Anmeldedaten ausreichend für einen nicht genehmigten Zugriff.

Die Anmeldung in zwei Schritten wird von vielen Online-Diensten wie Facebook, Google und PayPal als Option für mehr Sicherheit angeboten. Beispielsweise durch den Versand eines zufällig generierten Zahlencodes an ein Mobilgerät, der zusätzlich zum Passwort für die Anmeldung benötigt wird, können Nutzer im Fall eines Verlust oder Diebstahls ihres Kennworts einen Missbrauch des eigenen Kontos verhindern.

Auch der kürzlich bekannt gewordene Hackerangriff auf das Office of Personnel Management (OPM) hat Mängel bei den Sicherheitsvorkehrungen von US-Behörden aufgedeckt. Einem Bericht der New York Times zufolge hatte der Generalinspekteur des OPM schon im November auf Sicherheitslücken in den Computern der Behörde hingewiesen. Die Sicherheitssysteme bezeichnete er demnach als einen „Traum für chinesische Hacker“. Zu dem Zeitpunkt hätten die Hacker aber bereits zehntausende von vertraulichen Sicherheitsfreigaben erbeutet. Unklar ist indes, ob Recorded Future auch Passwörter des OPM gefunden hat.

Auch hierzulande sind noch zahlreiche Windows-XP-Rechner im Einsatz. Im April hatte der Berliner Datenschützer Alexander Dix die Stadtverwaltung aufgefordert, ihre 28.000 XP-Rechner abzuschalten, nachdem auch die kostenpflichtige Support-Verlängerung durch Microsoft abgelaufen war. Der Innensenator empfiehlt inzwischen, XP-Rechner nicht mehr mit dem Internet zu verbinden.

Zuletzt hatte auch Google auf den immer noch hohen Marktanteil von Windows XP reagiert und den Support seines Browsers Chrome für das 13 Jahre alte OS bis Ende 2015 verlängert. Auch Mozilla unterstützt derzeit noch bestimmte Versionen von Windows XP. Microsofts eigener Browser Internet Explorer muss indes aufgrund der seit zwölf Monaten fehlenden Sicherheitspatches als unsicher eingestuft werden. Oracle bietet zwar keinen offiziellen Support mehr für XP. Die neueste Java-Version lässt sich aber inzwischen unter dem 2001 erschienen Betriebssystem installieren.

Zudem besteht für Windows-XP-Anwender die Möglichkeit, mit einem simplen Registry-Hack auch weiterhin Updates für ihr Betriebssystem zu erhalten. Durch eine Modifikation der Windows-Systemdatenbank gibt sich XP als Embedded POSReady 2009 aus und profitiert dadurch vom bis 2019 andauernden Support der für Automaten optimierten XP-Variante. Diese ist zur Standard-Version kompatibel, sodass sich Updates unter XP installieren lassen. Allerdings funktioniert das nicht mit jedem XP-Rechner, wohl aber mit den allermeisten. Auch die in der ZDNet-Redaktion genutzte virtuelle Maschine auf Basis von XP akzeptiert die Aktualisierungen für POSReady-Systeme seit über einem Jahr anstandslos. Selbst die Freak-Lücke hat Microsoft mit dem Update KB3046049 für das 2001 erschienene Betriebssystem geschlossen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.