Nach jüngsten Hacks: Facebook und Netflix setzen Nutzerpasswörter zurück

Facebook und Netflix haben als Reaktion auf die jüngsten Veröffentlichungen von Zugangsdaten von Millionen von Nutzern begonnen, die Passwörter von eigenen ihrer Nutzer zurückzusetzen. Darauf weist der Sicherheitsexperte Brian Krebs hin. Beide Unternehmen haben offenbar Zugang zu den Daten und befürchten nun, ihre Mitglieder beziehungsweise Abonnenten könnten Opfer von Hackern werden.

„Um sicher zu gehen haben wir als Vorsichtsmaßnahme Ihr Passwort zurückgesetzt“, zitiert Krebs aus einer E-Mail, die Netflix derzeit an seine Kunden verschickt. „Wir glauben, dass Ihre Netflix-Zugangsdaten in der Veröffentlichung von E-Mail-Adressen und Passwörtern eines anderen Unternehmens enthalten sein könnten.“

Eine ähnlich lautende Meldung zeigt Facebook einigen Nutzern derzeit an, die auf ihr Konto bei dem Sozialen Netzwerk zugreifen wollen. „Kürzlich gab es einen Sicherheitsvorfall mit einer Website, die keinen Bezug zu Facebook hat. Facebook ist von dem Vorfall nicht direkt betroffen, aber Ihr Facebook-Konto ist in Gefahr, weil Sie an beiden Stellen dasselbe Passwort verwendet haben“, heißt es in der Meldung. Anschließend werden Betroffene aufgefordert, einige Fragen zu beantworten und ein neues Passwort zu hinterlegen.

Auch wenn keines der beiden Unternehmen konkret auf einen Vorfall eingeht, dürfte es sich um die massiven Datenverluste von MySpace, LinkedIn und Tumblr handeln. Derzeit kursieren rund 360 Millionen Zugangsdaten von MySpace-Nutzern, knapp 165 Millionen Datensätze von LinkedIn-Nutzern und weitere 65 Millionen Anmeldedaten von Tumblr-Konten im Internet. Selbst wenn man eine hohe Zahl an Dubletten und inzwischen ungültigen Daten unterstellt, dürften auch mehrere Millionen noch gültige Kombinationen aus Nutzernamen oder E-Mail-Adressen und Passwörtern enthalten sein.

Am Wochenende hatten Hacker kurzzeitig mehrere Social-Media-Konten von Facebook-CEO Mark Zuckerberg übernommen. Zum Beweis änderten sie unter anderem Inhalte auf Zuckerbergs Pinterest-Seite. Ihnen zufolge stammten die Zugangsdaten aus dem Angriff auf LinkedIn, der schon im Jahr 2012 stattfand.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einem Missbrauch von LinkedIn-Daten. Cyberkriminelle nutzen sie für Spam-E-Mails, die einen als Word-Anhang getarnten Trojaner enthalten. Die Nachrichten sind mit einer persönlichen Anrede und der Unternehmensrolle des Empfängers versehen, was sie auf den ersten Blick authentisch erscheinen lässt.

Nutzer, die wissen wollen, ob ihre E-Mail-Adresse oder ihr Nutzername in einer der Datensammlungen enthalten sind, können die Website HaveIBeenPwned.com aufrufen. Der Betreiber bietet eine durchsuchbare Datenbank an, die auch Daten aus Einbrüchen bei anderen Unternehmen wie Adobe, Fling und Ashley Madison enthält. Ist eine E-Mail-Adresse oder ein Nutzername betroffen, nennt die Website auch den zugehörigen Anbieter, der die Daten verloren hat. Derzeit durchsucht HaveIBeenPwned nach eigenen Angaben fast eine Milliarde Konten, die von 110 unterschiedlichen gehackten Websites stammen sollen.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.