23.600 gehackte Datenbanken im Internet veröffentlicht

Unbekannte haben mehr als 23.600 gehackte Datenbanken in mehreren Untergrund-Foren und per Telegram zum Download angeboten. Sie sollen von einem von Cyberkriminellen genutzten Service namens Cit0Day.in stammen, der gegen Zahlung einer monatlichen Gebühr Zugang zu Nutzernamen, E-Mail-Adressen und sogar unverschlüsselten Passwörtern versprach.

Cit0Day startete im Januar 2018 kurz nach der Schließung von LeakedSource durch Behörden, das ebenfalls mit gestohlenen Zugangsdaten handelte. Hacker nutzen solche Informationen in der Regel für zielgerichtete Angriffe. Auch die Geschäfte von Cit0Day wurden angeblich von Strafverfolgern beendet. Seit 14. September zeigt die Website des Diensts eine Meldung an, wonach diese Domain vom FBI und vom US-Justizministerium beschlagnahmt wurde.

Der Threat-Intelligence-Anbieter KELA fand jedoch heraus, dass diese Meldung gefälscht ist und von Deer.io, einer E-Commerce-Plattform für Hacker, stammte. In einem russischsprachigen Hackerforum fand das Unternehmen zudem einen Download für die insgesamt 23.618 geknackten Datenbanken, die über den File Hoster Mega bereitgestellt wurden.

Dort waren die schätzungsweise rund 50 GByte, die 13 Milliarden Anmeldedaten enthalten sollen, nur für wenige Stunden verfügbar. Der Download wurde schließlich nach einer Missbrauchsbeschwerde entfernt. Die Echtheit der Daten bestätigte neben KELA auch der italienische Sicherheitsanbieter D3Lab.

Derzeit zirkulieren die Daten in geschlossenen Telegram- und Discord-Kanälen, die von Untergrund-Datenhändlern betrieben werden. Rund ein Drittel der Daten wird zudem seit Sonntag kostenlos in einem weiteren Untergrundforum angeboten.

Für Nutzer dürfte sich durch die Veröffentlichung der gehackten Datenbanken kein größeres Sicherheitsrisiko ergeben. Die meisten stammen von Websites, die schon vor Jahren kompromittiert wurden. Oftmals sollen die Datenbanken zudem nur wenige Tausend oder Zehntausend Einträge haben und von kleineren und wenig bekannten Websites stammen.

Rund ein Drittel der durchgesickerten Datenbank soll den Vermerk „dehashed“ getragen haben – den Hackern war es also möglich, die nur als Hashwerte vorliegenden Kennwörtern zu entschlüsseln und in ein Klartextformat zurückzuführen. Allerdings enthielten viele Datenbanken auch keinerlei Kennwörter.

Es ist nun davon auszugehen, dass die Daten erneut für Spam-Kampagnen eingesetzt werden. Die Daten könnten auch benutzt werden, um eine gefälschte E-Mail als „echt“ auszugeben. Eine wirkliche Gefahr sollte sich allerdings nur für Nutzer ergeben, die notorisch Passwörter für mehrere Dienste wiederverwenden und seit Jahren kein Kennwort geändert haben. Darüber hinaus können Nutzer über Dienste wie HaveIBeenPwned.com prüfen, ob ihre Anmeldedaten bei einem Hackerangriff kompromittiert wurden.