Einem Sicherheitsforscher ist ein potenziell verheerender Fund gelungen. In einer frei zugänglichen Datenbank entdeckte er 184.162.718 Datensätze mit vollständigen Anmeldeinformationen, wie Benutzernamen, E-Mail-Adressen und Passwörtern im Klartext.

Der Entdecker, IT-Sicherheitsforscher Jeremiah Fowler, stieß Anfang Mai auf die über 47 Gigabyte große Elasticsearch-Datenbank. Wie Wired berichtet, gab es keinerlei Hinweise auf die Eigentümer:innen oder den Zweck der Datensammlung, was den Fund selbst für den erfahrenen Forscher ungewöhnlich machte.

Die Brisanz des Leaks liegt in der schieren Bandbreite der betroffenen Dienste. Die Datensätze enthielten Logins für eine riesige Auswahl an Plattformen, darunter Microsoft, Google, Apple, Amazon sowie Social-Media-Dienste wie Facebook, Instagram und Snapchat. Auch Zugänge zu Finanzdienstleistern, Gesundheitsplattformen und Gaming-Accounts wie Roblox oder Nintendo waren Teil des Funds.

Besonders alarmierend ist die Entdeckung von Zugangsdaten zu Regierungsinstitutionen. Laut Fowlers Analyse in seinem eigenen Bericht auf Website Planet fanden sich in einer Stichprobe Hunderte E-Mail-Adressen mit der Endung „.gov“, die mindestens 29 Ländern zugeordnet werden konnten, darunter die USA, China und Großbritannien.

Woher stammen diese Daten? Fowler geht davon aus, dass die Anmeldeinformationen mit sogenannter „Infostealer“-Malware gesammelt wurden. Diese Schadsoftware nistet sich auf den Rechnern der Nutzer:innen ein und stiehlt dort gespeicherte Zugangsdaten direkt aus dem Browser oder anderen Anwendungen.

Nachdem Fowler den Hosting-Anbieter, die World Host Group mit Sitz in Luxemburg, informiert hatte, wurde die Datenbank umgehend vom Netz genommen. Gegenüber Wired erklärte der CEO des Unternehmens, Seb de Lemos, dass es sich um einen „betrügerischen Nutzer“ gehandelt habe, der die illegalen Inhalte auf einen vom Unternehmen unverwalteten Server geladen habe. Man werde nun mit den Strafverfolgungsbehörden kooperieren.

Fowler selbst konnte die Echtheit der Daten verifizieren. Er kontaktierte einige der betroffenen E-Mail-Adressen und erhielt die Bestätigung, dass die gefundenen Passwörter korrekt waren, wie Lifehacker aufzeigt. Ob und wer außer dem Forscher noch auf die Daten zugegriffen hat, ist unklar.

Die enorme Gefahr, die von den Daten ausgeht, fasste Fowler gegenüber Wired zusammen, indem er den Fund mit seiner bisherigen Arbeit verglich: „Was den Risikofaktor angeht, ist das hier weitaus größer als die meisten meiner Funde, denn dies ist ein direkter Zugang zu einzelnen Konten.“

Er ging sogar so weit, seinen Fund als „Traum eines jeden Cyberkriminellen“ zu bezeichnen. Die Daten seien bestens für Credential-Stuffing-Angriffe, Kontoübernahmen oder hochgradig personalisierte Phishing-Kampagnen zu verwenden.

Nutzer:innen wird dringend geraten, grundlegende Sicherheitsmaßnahmen zu ergreifen. Zu den Sicherheits-Basics gehört es, für jeden Dienst ein einzigartiges, starkes Passwort zu verwenden, wo immer möglich eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und die eigenen Konten auf verdächtige Aktivitäten zu überwachen.