In den letzten Jahren ist die Menge an kompromittierten Daten stetig gestiegen. Nachrichten über neue Datenlecks und Hacker-Angriffe sind an der Tagesordnung, und wir von Kaspersky verwenden weiterhin viel elektronische Tinte, um die Welt über die Notwendigkeit robuster Schutzmaßnahmen zu informieren – jetzt mehr denn je.
Heute tauchen wir ein in die Geschichte und erinnern uns (mit einem Schaudern) an die größten und schlimmsten Datenpannen aller Zeiten. Um herauszufinden, wie viele und welche Informationen durchgesickert sind, wer davon betroffen war und vieles mehr – lies weiter …
1. RockYou2024
Kurz gesagt: Hacker sammelten Daten aus früheren Datenlecks und veröffentlichten die größte Zusammenstellung echter Benutzerpasswörter aller Zeiten: 10 Milliarden Datensätze!
Wann: 2024.
Wer war betroffen: Nutzer weltweit ohne starken Schutz.
RockYou2024 ist die Krönung unter den Datenlecks und eine Mahnung an jeden, der glaubt, Hacker würden sich nicht für ihn interessieren. Im Juli 2024 veröffentlichten Cyberkriminelle in einem Hacker-Forum eine gigantische Sammlung von Passwörtern: insgesamt 9.948.575.739 eindeutige Datensätze. Obwohl es sich um eine Zusammenstellung handelt, die auf dem alten Datenleck RockYou2021 basiert, rockt RockYou2024 immer noch … sozusagen.
Unser Experte Alexey Antonov analysierte den Sicherheitsverstoß und stellte fest, dass 83 % der durchgesickerten Passwörter in weniger als einer Stunde von einem Smart-Guessing-Algorithmus geknackt werden konnten und dass nur 4 % (328 Millionen) davon als sicher eingestuft werden konnten. Sprich, es würde mehr als ein Jahr dauern, sie mithilfe eines intelligenten Algorithmus zu knacken. Details zur Funktionsweise intelligenter Algorithmen findest du in unserer Studie zur Passwortstärke, die anhand einer Analyse echter Benutzerpasswörter, die im Darknet durchgesickert sind, zeigt, dass viel zu viele Menschen immer noch erschreckend gleichgültig gegenüber der Sicherheit von Passwörtern sind.
Bei der Analyse des neuesten Datenlecks filterte Alexey alle nicht relevanten Datensätze heraus und arbeitete mit der verbleibenden Menge von … 8,2 Milliarden Passwörtern, die irgendwo im Klartext gespeichert waren!
2. CAM4
Kurz gesagt: Ein falsch konfigurierter Server hat 11 Milliarden Kundendatensätze der Öffentlichkeit zugänglich gemacht – in der Tat sensible Informationen, wenn man bedenkt, dass CAM4 … eine nicht jugendfreie Website ist!
Wann: 2020.
Wer war betroffen: Nutzer der Website für Erwachsene CAM4.
Diese Geschichte ist aus zwei Gründen von Interesse: Welche Informationen sind durchgesickert und wie? Neben den durchgesickerten „Standard“-Daten (Vorname, Nachname, E-Mail-Adresse, Zahlungsprotokolle usw.) wurden auch Informationen weitaus intimerer Natur preisgegeben: geschlechtsspezifische Vorlieben und sexuelle Orientierung. Nutzer mussten diese Informationen bei der Registrierung angeben, bevor sie die Inhalte der Streaming-Plattform für Erwachsene genießen konnten.
Das Datenleck wurde durch eine unsichere Elasticsearch-Datenbank verursacht. Das Ende war jedoch nicht so schlimm – und peinlich: Wenn wir alle Berichte über Lecks im Zusammenhang mit dieser Datenpanne in einem physischen Buch zusammenfassen würden, bekämen wir einen ziemlich dicken Wälzer – in dem die Geschichte von CAM4 ein kleines, aber wichtiges Kapitel einnehmen würde: „Das größte Datenleck der Geschichte, das es nie gab.“ Glücklicherweise wurde die Datenbank innerhalb einer halben Stunde nach Entdeckung des Fehlers heruntergefahren und später in ein internes lokales Netzwerk verschoben. Die personenbezogenen Daten der Nutzer wurden gelöscht.
3. Yahoo
Kurz gesagt: Alle drei Milliarden Nutzer der Plattform waren von einem Hacker-Angriff betroffen – das gab Yahoo jedoch erst drei Jahre später zu.
Wann: 2012, 2013 … oder war es 2014? Selbst Yahoo weiß es nicht genau.
Wer war betroffen: Alle Yahoo-Nutzer.
Vor mehr als einem Jahrzehnt wurde Yahoo gehackt (alles begann mit einer Phishing-E-Mail), was zu einer Reihe von Nachrichtenmeldungen über ein angebliches Datenleck führte. In ersten Berichten war von mehreren Hundert Millionen gehackten Konten die Rede, dann wurde die Zahl nach oben auf rund 500 Millionen Konten korrigiert. 2017, kurz vor dem Deal des Unternehmens mit Verizon, stellte sich heraus, dass alle drei Milliarden Konten betroffen waren. Die Hacker gelangten an Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern. Schlimmer noch, sie hatten Zugriff auf die Konten von Nutzern, die jahrelang ihre Passwörter nicht geändert hatten. Verstehst du jetzt, warum es so wichtig ist, Passwörter regelmäßig zu ändern und alte Profile zu löschen?
Dieser Vorfall ist ein weiterer Beweis dafür, dass selbst Technologiegiganten die Benutzerdaten manchmal nicht richtig speichern. Im Fall von Yahoo fanden Angreifer eine Datenbank mit unverschlüsselten Sicherheitsfragen und -antworten, und bei einigen Konten gab es überhaupt keine Zwei-Faktor-Authentifizierung. Die Moral von der Geschichte ist also: Verlass dich zum Schutz deiner persönlichen Konten nicht auf soziale Netzwerke oder Online-Plattformen. Erstelle oder generiere sichere Passwörter und speichere sie in Kaspersky Password Manager. Und wenn du befürchtest, dass deine Daten bereits durchgesickert sein könnten, installiere eine von unseren Sicherheitslösungen für dein Zuhause: In Kaspersky Standard und Kaspersky Plus kannst du alle E-Mail-Adressen angeben, mit denen du und deine Familie sich bei Online-Diensten anmelden. Die Anwendung überprüft diese Adressen regelmäßig und meldet etwaige Datenpannen bei den damit verbundenen Konten.
In Kaspersky Premium kannst du neben einer E-Mail-Liste auch Telefonnummern hinzufügen. Diese werden normalerweise verwendet, um Nutzer sensiblerer Online-Dienste wie Banking zu identifizieren. Unsere Anwendung sucht in allen neuen Datenbanken nach diesen Nummern und Adressen und warnt dich, falls sie gefunden werden, und empfiehlt dir, was zu tun ist (lies mehr darüber, wie wir dich vor dem Verlust persönlicher Daten im Internet und im Darknet schützen).
4. UIDAI (Aadhaar)
Kurz gesagt: Die biometrischen Daten fast aller Bürger und Einwohner Indiens wurden zum Verkauf angeboten.
Wann: 2018.
Wer war betroffen: 1,1 Milliarden Bürger und Einwohner von Indien.
Die Unique Identification Authority of India (UIDAI) betreibt das größte biometrische Identifikationssystem der Welt und speichert die persönlichen Daten, Fingerabdrücke und Irisfotos von mehr als einer Milliarde Menschen in Indien.
Während viele Länder auf der ganzen Welt die Einführung biometrischer Identifizierungen lediglich planen, gibt es in Indien bereits seit über einem Jahrzehnt ein solches System. Die UIDAI wurde gegründet, damit jeder Einwohner Indiens eine eindeutige offizielle staatliche Identitätsnummer, die sog. Aadhaar, erhält.
Doch 2018 gelangten Cyberkriminelle nach einer Reihe von Datenlecks nicht nur an die Datenbank, sondern verkauften sie sogar für nur 500 Rupien (etwa 6 US-Dollar zum heutigen Wechselkurs). Im Jahr 2023 ereignete sich eine weitere massive Datenpanne, von der 815 Millionen Inder betroffen waren.
Banken und Strafverfolgungsbehörden raten den Opfern der Datenlecks weiterhin, die biometrische Authentifizierung für Finanzdienstleistungen zu deaktivieren. Dies ist jedoch keine Garantie für Sicherheit, da ihre Namen, Passnummern, Fotos, Fingerabdrücke und andere Informationen wahrscheinlich in den Händen von Cyberkriminellen sind.
5. Facebook
Kurz gesagt: Das Unternehmen informierte die Nutzer zwei Jahre lang nicht über eine Datenpanne, von der es wusste.
Wann: 2019.
Wer war betroffen: 533 Millionen Facebook-Nutzer.
Niemand ist mehr überrascht, wenn er die Worte „Facebook“ und „Datenleck“ zusammen liest. Die Plattform wird regelmäßig Opfer von Hacker-Angriffen und internen Datenlecks. Bei diesem speziellen Sicherheitsverstoß – dem größten in der Unternehmensgeschichte – gerieten die Namen, Telefonnummern und Standortdaten von 533 Millionen Nutzern in die Hände von Cyberkriminellen. Anschließend veröffentlichten sie die Daten in einem Hacker-Forum, wo jeder sie kostenlos herunterladen konnte. Und zwar nicht nur die Kontodaten der regulären Nutzer, sondern auch die von Persönlichkeiten des öffentlichen Lebens, darunter EU-Justizkommissar Didier Reynders und der damalige luxemburgische Premierminister (heute Außenminister) Xavier Bettel.
Wenn du vermutest, dass auch du von dem Facebook-Datenleck betroffen bist, kannst du mit unserer Passwort-Überprüfung herausfinden, ob dein Passwort durch dieses oder andere Datenlecks kompromittiert wurde.
Die durchgesickerten Daten bezogen sich auf den Zeitraum 2018–2019, obwohl Informationen darüber erst im Jahr 2021 aufgetaucht sind. Wie konnte das passieren? Tatsache ist, dass Hacker die Schwachstelle im Jahr 2019 ausnutzten, die Facebook sofort gepatcht hatte, dann aber vergaß, die Nutzer über den Vorfall zu informieren (oder dies absichtlich nicht tat). Infolgedessen sah sich Meta heftiger Kritik und einer saftigen Geldstrafe von 265 Millionen Euro (ca. 276 Millionen US-Dollar im Jahr 2021) ausgesetzt.
Was lehren uns diese Datenlecks?
Der rote Faden, der all diese Geschichten verbindet, lautet: „Big Tech hilft denen, die sich selbst helfen.“ Mit anderen Worten: Wir sind in erster Linie selbst für die Sicherheit unserer Daten verantwortlich – nicht Facebook, nicht Yahoo, nicht einmal Regierungen. Kümmere dich selbst um deine Benutzerkonten, erstelle oder generiere sichere Passwörter und speichere sie in einem sicheren Passwort-Manager und sei besonders vorsichtig, wenn es um biometrische Daten geht.
- Verwende dasselbe Passwort nicht mehrmals. Wenn du nach dem Motto „Ein Passwort für alle Gelegenheiten“ vorgehst und das Internet seit mindestens ein paar Jahren nutzt, haben wir eine schlechte Nachricht für dich (siehe Link).
- Überprüfe, ob deine Passwörter kompromittiert wurden. Wenn du unseren Schutz nutzt, kannst du mit unserer Datenleck-Überprüfung eine Liste mit E-Mail-Adressen erstellen und deine Benutzerkonten überprüfen. Kaspersky Premium Nutzer haben auch die Möglichkeit, Telefonnummern mithilfe der Funktion „Schutz vor Identitätsdiebstahl“ zu überprüfen. Die Anwendungen überprüfen automatisch, ob diese Informationen in neuen Datenlecks auftauchen. Wähle in unserem Passwort-Manager im Menü die Option „Passwortprüfung“ aus oder klicke auf das Schlüsselsymbol in der Taskleiste und alle gespeicherten Passwörter werden auf Sicherheit, Einzigartigkeit und Datenlecks überprüft. Alle anderen können unseren kostenlosen Dienst zur Passwort-Überprüfung nutzen.
- Aktiviere die Zwei-Faktor-Authentifizierung (2FA), wo immer möglich.
- Speichere Passwörter nicht im Browser. Verwende einen Passwort-Manager, um eindeutige, kryptografisch sichere Passwörter für alle wichtigen Benutzerkonten zu generieren. Und dann brauchst du dir nur ein einziges Passwort – das Hauptpasswort – auszudenken und zu merken, das als Hauptschlüssel für alle anderen Passwörter dient. Mit diesem Hauptpasswort werden dein Passworttresor und andere wichtige Daten geschützt und verschlüsselt.