Hold Security: Milliarden geklauter Passwörter entdeckt

Ein US-Unternehmen hat nach eigenen Angaben Milliarden Passwörter gefunden, die von russischen Hackern erbeutet worden sind. Für zunächst 120 US-Dollar sollten besorgte Anwender erfahren können, ob ihres dabei ist.

Artikel veröffentlicht am ,
Hold Security hat eine Datenbank mit Milliarden gestohlenen Zugangsdaten entdeckt.
Hold Security hat eine Datenbank mit Milliarden gestohlenen Zugangsdaten entdeckt. (Bild: Andreas Donath/Golem.de)

Hold Security hat nach eigenen Angaben eine Gruppe russischer Datendiebe ausgemacht, die eine Datenbank mit mehr als einer Milliarde gestohlenen Benutzernamen und Passwörtern pflegt. Gleichzeitig bot Hold Security einen neuen Dienst an: Gegen einen Obolus von 120 US-Dollar im Monat sollten besorgte Anwender erfahren, ob ihr Name in der Datenbank auftaucht. Nachdem Journalisten nachfragten, nahm das Unternehmen das Angebot wieder aus dem Netz.

Stellenmarkt
  1. IT Expert Business Systems (m/w/d)
    teamtechnik Maschinen und Anlagen GmbH, Freiberg (Neckar)
  2. Junior Network Engineer - Firewall (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Köln, Stuttgart
Detailsuche

Die Meldung über die neu entdeckte Datenbank brachte die New York Times. Laut Hold-Security-CEO Alex Holden entdeckte sein Unternehmen die Datenbank bei russischen Datendieben, die in einer Kleinstadt in Russland beheimatet sind. Die Daten sollen von über 420.000 Webseiten erbeutet worden sein, darunter auch von namhaften. Hold Security will die Namen der Webseiten nicht bekanntmachen, sie aber informieren. Einige Webseiten seien nach wie vor angreifbar, sagte das renommierte Sicherheitsunternehmen.

Gutachten bestätigt Echtheit

Laut unabhängigen Experten, die von der New York Times mit der Begutachtung der Daten beauftragt wurden, sei die gefundene Datenbank authentisch. Die dort gesammelten 4,5 Milliarden Datensätze seien unter anderem von Botnets ausfindig gemacht worden, die nach SQL-Injection-Schwachstellen auf Webseiten gesucht haben. Die Botnets hätten die Webseiten markiert und die Datendiebe seien später zurückgekommen, um die Datenbanken auszulesen. Insgesamt hätten sie mehr als 4,5 Milliarden Datensätze erbeutet. Bislang seien die Daten für Spammails und Twitter-Nachrichten genutzt worden.

Hold Security hat nach eigenen Angaben die Datensätze gefiltert und beispielsweise Dubletten entfernt. Dabei konnten sie 1,2 Milliarden einmalige Datensätze extrahieren. Seine Firma wolle Anwendern eine Möglichkeit bieten, zu prüfen, ob ihre Zugangsdaten in der Datenbank enthalten sind, sagte Holden der New York Times.

Kostenpflichtige Sicherheitsprüfung

Golem Karrierewelt
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    01.-05.08.2022, Virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    22.09.2022, Virtuell
Weitere IT-Trainings

Fast zeitgleich mit der Erscheinung des Artikels auf der Webseite der New Yorks Times präsentierte das Sicherheitsunternehmen einen neuen kostenpflichtigen Dienst: Für monatlich 120 US-Dollar könnten Kunden überprüfen lassen, ob sie Opfer der Cybervor-Attacke geworden sind, wie Hold Security den Angriff nennt. So lautete zunächst das Angebot auf der Webseite. Nachdem das Wall Street Journal nachfragte, war der Dienst nicht mehr verfügbar.

Zu Forbes sagte das Unternehmen später, der Dienst solle 120 US-Dollar im Jahr oder 10 US-Dollar monatlich kosten. Der Obolus sei symbolisch zu sehen, schrieb Holden per E-Mail. Es würden ja auch Kosten für sein Unternehmen entstehen.

Das Hasso Plattner Institut sowie das Bundesamt für Sicherheit in der Informationstechnik bieten ähnliche Dienste kostenlos an.

Nachtrag vom 6. August 2014, 15:45 Uhr

Das BSI will in Zusammenarbeit mit deutschen und US-Behörden möglichst bald erfahren, ob Identitäten deutscher Benutzer in der Datenbank gelistet sind. Das sei mit hoher Wahrscheinlichkeit der Fall, so das BSI und kritisiert, dass es derzeit für Privatanwender keine Möglichkeit gebe festzustellen, "ob sie von dem Vorfall betroffen sind."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Ork 07. Aug 2014

Naja, das mit den Ziffern ist an Geldautomaten noch verständlich :) Aber die...

Ork 07. Aug 2014

Bei Brute-Force interessiert mich die Zahl an sich nicht, da probier ich alles durch. Zu...

stmartin 07. Aug 2014

Warum wurde denn die Abfrage bei Hasso-Plattner-Institut (https://sec.hpi.uni-potsdam.de...

UristMcMiner 07. Aug 2014

Der lieber Herr Müller hat bestimmt einen SHA-2 mit Muskatnuss ;)



Aktuell auf der Startseite von Golem.de
Machine Learning
Die eigene Stimme als TTS-Modell

Mit Machine Learning kann man ein lokal lauffähiges und hochwertiges TTS-Modell der eigenen Stimme herstellen. Dauert das lange? Ja. Braucht man das? Nein. Ist das absolut nerdig? Definitv!
Eine Anleitung von Thorsten Müller

Machine Learning: Die eigene Stimme als TTS-Modell
Artikel
  1. US-Streaming: Abonnenten immer unzufriedener mit Netflix
    US-Streaming
    Abonnenten immer unzufriedener mit Netflix

    Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

  2. Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
    Krypto-Gaming
    Spieleentwickler wollen nichts mit NFT zu tun haben

    Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
    Von Daniel Ziegener

  3. Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
    Mojo Lens
    Erster Tragetest mit Augmented-Reality-Kontaktlinse

    Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (G.Skill Trident Z Neo 32 GB DDR4-3600 149€) • The Quarry + PS5-Controller 99,99€ • Alternate (Acer Nitro QHD/165 Hz 246,89€, Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /