Anzeige
Hold Security hat eine Datenbank mit Milliarden gestohlenen Zugangsdaten entdeckt.
Hold Security hat eine Datenbank mit Milliarden gestohlenen Zugangsdaten entdeckt. (Bild: Andreas Donath/Golem.de)

Hold Security: Milliarden geklauter Passwörter entdeckt

Ein US-Unternehmen hat nach eigenen Angaben Milliarden Passwörter gefunden, die von russischen Hackern erbeutet worden sind. Für zunächst 120 US-Dollar sollten besorgte Anwender erfahren können, ob ihres dabei ist.

Anzeige

Hold Security hat nach eigenen Angaben eine Gruppe russischer Datendiebe ausgemacht, die eine Datenbank mit mehr als einer Milliarde gestohlenen Benutzernamen und Passwörtern pflegt. Gleichzeitig bot Hold Security einen neuen Dienst an: Gegen einen Obolus von 120 US-Dollar im Monat sollten besorgte Anwender erfahren, ob ihr Name in der Datenbank auftaucht. Nachdem Journalisten nachfragten, nahm das Unternehmen das Angebot wieder aus dem Netz.

Die Meldung über die neu entdeckte Datenbank brachte die New York Times. Laut Hold-Security-CEO Alex Holden entdeckte sein Unternehmen die Datenbank bei russischen Datendieben, die in einer Kleinstadt in Russland beheimatet sind. Die Daten sollen von über 420.000 Webseiten erbeutet worden sein, darunter auch von namhaften. Hold Security will die Namen der Webseiten nicht bekanntmachen, sie aber informieren. Einige Webseiten seien nach wie vor angreifbar, sagte das renommierte Sicherheitsunternehmen.

Gutachten bestätigt Echtheit

Laut unabhängigen Experten, die von der New York Times mit der Begutachtung der Daten beauftragt wurden, sei die gefundene Datenbank authentisch. Die dort gesammelten 4,5 Milliarden Datensätze seien unter anderem von Botnets ausfindig gemacht worden, die nach SQL-Injection-Schwachstellen auf Webseiten gesucht haben. Die Botnets hätten die Webseiten markiert und die Datendiebe seien später zurückgekommen, um die Datenbanken auszulesen. Insgesamt hätten sie mehr als 4,5 Milliarden Datensätze erbeutet. Bislang seien die Daten für Spammails und Twitter-Nachrichten genutzt worden.

Hold Security hat nach eigenen Angaben die Datensätze gefiltert und beispielsweise Dubletten entfernt. Dabei konnten sie 1,2 Milliarden einmalige Datensätze extrahieren. Seine Firma wolle Anwendern eine Möglichkeit bieten, zu prüfen, ob ihre Zugangsdaten in der Datenbank enthalten sind, sagte Holden der New York Times.

Kostenpflichtige Sicherheitsprüfung

Fast zeitgleich mit der Erscheinung des Artikels auf der Webseite der New Yorks Times präsentierte das Sicherheitsunternehmen einen neuen kostenpflichtigen Dienst: Für monatlich 120 US-Dollar könnten Kunden überprüfen lassen, ob sie Opfer der Cybervor-Attacke geworden sind, wie Hold Security den Angriff nennt. So lautete zunächst das Angebot auf der Webseite. Nachdem das Wall Street Journal nachfragte, war der Dienst nicht mehr verfügbar.

Zu Forbes sagte das Unternehmen später, der Dienst solle 120 US-Dollar im Jahr oder 10 US-Dollar monatlich kosten. Der Obolus sei symbolisch zu sehen, schrieb Holden per E-Mail. Es würden ja auch Kosten für sein Unternehmen entstehen.

Das Hasso Plattner Institut sowie das Bundesamt für Sicherheit in der Informationstechnik bieten ähnliche Dienste kostenlos an.

Nachtrag vom 6. August 2014, 15:45 Uhr

Das BSI will in Zusammenarbeit mit deutschen und US-Behörden möglichst bald erfahren, ob Identitäten deutscher Benutzer in der Datenbank gelistet sind. Das sei mit hoher Wahrscheinlichkeit der Fall, so das BSI und kritisiert, dass es derzeit für Privatanwender keine Möglichkeit gebe festzustellen, "ob sie von dem Vorfall betroffen sind."


eye home zur Startseite
Ork 07. Aug 2014

Naja, das mit den Ziffern ist an Geldautomaten noch verständlich :) Aber die...

Ork 07. Aug 2014

Bei Brute-Force interessiert mich die Zahl an sich nicht, da probier ich alles durch. Zu...

stmartin 07. Aug 2014

Warum wurde denn die Abfrage bei Hasso-Plattner-Institut (https://sec.hpi.uni-potsdam.de...

UristMcMiner 07. Aug 2014

Der lieber Herr Müller hat bestimmt einen SHA-2 mit Muskatnuss ;)

Herr Ahlers 07. Aug 2014

Mich beschäftigt die Frage wie es so eine "News" bis in die Nachrichten der Öffentlich...

Kommentieren



Anzeige

  1. Consultant Automotive Sales (m/w)
    T-Systems on site services GmbH, München, Leinfelden-Echterdingen
  2. Systemberater/in EAI Plattformen
    Robert Bosch GmbH, Stuttgart
  3. Requirements Engineer Integrationsprojekte Insurance (m/w)
    Daimler AG, Stuttgart
  4. Teamleiter (m/w) IT-Support
    Bühler Motor GmbH, Nürnberg

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Le Eco

    Faraday Future plant autonomes Elektroauto

  2. Petition gegen Apple

    300.000 wehren sich gegen Ende der iPhone-Kopfhörerbuchse

  3. Battlefield 1 angespielt

    Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze

  4. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  5. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  6. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  7. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  8. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  9. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  10. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam
E-Mail-Verschlüsselung
EU-Kommission hat Angst vor verschlüsseltem Spam
  1. Netflix und Co. EU schafft Geoblocking ein bisschen ab
  2. Android FTC weitet Ermittlungen gegen Google aus
  3. Pay-TV Paramount gibt im Streit um Geoblocking nach

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Re: nur mit origin...

    xxsblack | 07:46

  2. Re: Klinke Buchse alt? Nein!

    busaku | 07:45

  3. Re: ÖRR ja, aber bitte nicht so!

    Stippe | 07:44

  4. Re: "arbeitet Apple an einem 27 Zoll großen Display,"

    Netspy | 07:41

  5. Le Eco ist nicht der Erste...

    menecken | 07:41


  1. 07:30

  2. 07:14

  3. 15:00

  4. 10:36

  5. 09:50

  6. 09:15

  7. 09:01

  8. 14:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel