Sind Ihre persönlichen Daten unter den 620 Millionen Konten, die im Dark Web zum Verkauf platziert wurden?

620 Million Records For Sale On The Dark Web

Was brauchen Sie, wenn Sie mehr als 617 Millionen Kontoeinträge von 16 verschiedenen Websites in Ihre Hände bekommen möchten? Wir haben eine überraschend konkrete Antwort. Sie benötigen eine Internetverbindung, Bitcoin im Wert von ca. 16.000 $ und knapp 43 GB freien Speicherplatz auf Ihrer Festplatte.

Die Daten stehen auf Dream Market zum Verkauf - ein dunkler Web- Marktplatz, auf den jeder mit einem Tor-Browser zugreifen kann. Online-IT-Magazin Das Register war das erste, das über die Details berichtete.

Was gibt es zu bieten?

Wieder einmal ist die Antwort ziemlich genau. Hier ist eine Zusammenfassung:

  • 161 Millionen Datensätze aus einer Video-Messaging-Anwendung namens Dubsmash gestohlen . Die Datensätze enthalten Benutzernamen, E-Mail-Adressen, Benutzer-IDs, Wohnsitzländer der Benutzer und SHA256-Hash-Passwörter.
  • Knapp 15 Millionen Aufnahmen wurden von 500px , einer Online-Fotografie-Community, gestohlen. Zu den gefährdeten Daten gehören ua Benutzernamen, E-Mail-Adressen, Vor- und Nachname, Geburtsdatum, Hash-Salze und Passwörter, die entweder mit MD5, SHA512 oder bcrypt gehasht wurden.
  • Etwas mehr als 22,3 Millionen Datensätze stammen von EyeEm , einer anderen Online-Plattform für Fotografen. Die meisten Datensätze bestehen aus einer E-Mail-Adresse und einem SHA1-Hash-Passwort.
  • Knapp 20,2 Millionen Datensätze wurden aus 8fit , einer Gesundheits- und Fitness-App, extrahiert. Die Daten bestehen aus IP-Adressen, Namen, E-Mail-Adressen, Facebook-Authentifizierungs-Token und Informationen von verbundenen Facebook-Konten, dem Land, in dem sich die einzelnen Benutzer befinden, und verschlüsselten Hash-Passwörtern.
  • 16 Millionen Datensätze gehören zu Fotolog , einem anderen sozialen Netzwerk für Fotografen. Der Speicherauszug enthält Namen, Sicherheitsfragen und -antworten, E-Mail-Adressen, SHA256-Hash-Passwörter und andere Profilinformationen.
  • Mehr als 25 Millionen Datensätze wurden von Animoto , einer Plattform zum Erstellen von Videos, gestohlen. Die Aufzeichnungen umfassen Vor- und Nachnamen, E-Mail-Adressen, Wohnsitzländer, Geburtsdaten, Hash-Salze und SHA256-Hash-Passwörter.
  • Etwas mehr als 92 Millionen Einträge wurden von MyHeritage , einer Online-Genealogie-Plattform, gestohlen. Die Daten enthalten die Daten, an denen die gefährdeten Konten erstellt wurden, E-Mail-Adressen, SHA1-Hash-Passwörter und Hash-Salze.
  • Etwas mehr als 151 Millionen Datensätze wurden von MyFitnessPal , einer Fitness-App von Under Armour, gestohlen. Jeder Datensatz besteht aus einer IP-Adresse, einer Benutzer-ID, einem Benutzernamen, einer E-Mail-Adresse, einem für die gesamte Tabelle festgelegten Salt-Wert und einem SHA1-Hash-Kennwort.
  • 1 Million Einträge von Artsy , einem Online-Hub für Kunstsammler, gestohlen. Die Datensätze enthalten Namen, E-Mail- und IP-Adressen, Speicherorte und SHA512-Passwörter mit Salzen.
  • Armor Games , eine Website für browserbasierte Spiele , hat 11 Millionen Platten gestohlen. Die Daten bestehen aus Benutzernamen, E-Mail-Adressen, Geburtsdaten, SHA1-Hash-Passwörtern und Salzen sowie anderen Profildetails.
  • 8 Millionen Einträge von Bookmate , einem eBook-Abonnement-Service. Die meisten Datensätze bestehen aus verschiedenen Profildetails, Benutzernamen, E-Mail-Adressen und SHA512-Passwörtern mit Salzen.
  • Knapp 6,2 Millionen Datensätze von CoffeeMeetsBagel , einer Dating-Website. Die meisten Datensätze enthalten Namen, E-Mail-Adressen, Registrierungsdaten, Passwörter mit SHA256-Hash und andere Kontodetails.
  • 700.000 Datensätze wurden von DataCamp , einer Online-Bildungsplattform für Menschen, die sich mit Data Science und Programmieren vertraut machen möchten , gestohlen. Die gestohlenen Daten bestehen aus E-Mail-Adressen, bcrypt-Hash-Kennwörtern und anderen Profildetails.
  • 28 Millionen Datensätze stammen von HauteLook , einem E-Commerce-Unternehmen, das Kleidung und Schmuck verkauft. Die Datensätze enthalten Namen, E-Mail-Adressen und bcrypt-Hash-Kennwörter.
  • 41 Millionen Datensätze aus ShareThis extrahiert, einem Widget für Browser und Blogging-Plattformen, das das Freigeben von Inhalten vereinfacht. Die Daten enthalten Namen, Benutzernamen, E-Mail-Adressen, Geburtsdaten und andere Profilinformationen sowie DES-Hash-Passwörter.
  • Knapp 18 Millionen Einträge aus Whitepages , einem Online-Telefon- und Adressverzeichnis, gestohlen. Die Daten bestehen aus Vor- und Nachnamen, E-Mail-Adressen und Passwörtern, die entweder mit SHA1 oder bcrypt gehasht wurden.

Die meisten Datenbanken wurden offenbar im Jahr 2018 erworben und können einzeln zu Preisen zwischen knapp 50 USD und rund 2.000 USD erworben werden. Der Verkäufer sagte, dass jemand die Dubsmash-Daten bereits gekauft hat.

Niemand wusste von den meisten Verstößen

Wir haben in der Vergangenheit darüber gesprochen, dass einige Hacker-Vorfälle jahrelang unentdeckt geblieben sind, und die oben beschriebenen Datenschätze bestätigen diesen Punkt recht gut. Von allen Anbietern, gegen die verstoßen wurde, haben im letzten Jahr nur MyFitnessPal , MyHeritage und Animoto die durchgesickerten Daten bekannt gegeben. Der Rest wusste entweder nichts über die Vorfälle oder hielt sie absichtlich unter Verschluss.

Nun kommt alles ans Licht. Kurz nachdem der Bericht von The Register am Montag erschienen war, begann 500px mit dem Zurücksetzen der Passwörter der Benutzer, und seitdem benachrichtigen EyeEm und DataCamp auch die betroffenen Kontoinhaber. Einige der Anbieter gaben an, dass sie mehr Zeit benötigen, um Nachforschungen anzustellen, bevor sie eine öffentliche Ankündigung machen können.

Der Traum eines Zeugnisstuffers

Hoffentlich werden alle betroffenen Parteien früher und später das tun, was sie tun müssen, denn es besteht kaum Zweifel, dass die Daten gültig sind und verwendet werden können. Die Benutzernamen und Passwörter sind perfekt für Angriffe mit Anmeldeinformationen, zum Teil weil es so viele davon gibt und zum Teil, weil sie relativ neu sind. Die durchgesickerten Sammlungen , die in letzter Zeit ziemlich viele Schlagzeilen gemacht haben, erregten viel Aufmerksamkeit aufgrund ihres riesigen Datenvolumens. Da die Benutzernamen und Kennwörter in diesen Datendumps jedoch vor Jahren gestohlen wurden, sind viele von ihnen nutzlos. Bei diesen neueren Verstößen sind die Chancen, gültige Berechtigungsnachweise abzurufen, wesentlich höher.

Dies liegt zum Teil an den Speichergewohnheiten der Hersteller. Wie Sie sehen, hat keines von ihnen Passwörter im Klartext gespeichert, was gut ist. Viele verwendeten jedoch schwache Hash-Algorithmen, was nicht so gut ist.

MD5 und SHA1 können relativ einfach geknackt werden, und selbst komplexere Algorithmen wie SHA256 können sich als anfällig erweisen, insbesondere wenn die Implementierung nicht perfekt ist oder das Passwort schwach ist. Theoretisch sollten Personen, deren Kennwörter mit bcrypt gehasht wurden, sicher sein, aber selbst die Anbieter, die den richtigen Algorithmus gewählt haben, fordern die Benutzer auf, ihre Kennwörter zu ändern.

Der Preis der persönlichen Daten, die im dunklen Web verkauft werden

In einigen Fällen können große Mengen an persönlichen Informationen in einem öffentlichen Internetforum gefunden werden, das über Google erreichbar ist. Wie Sie sehen, werden die Daten in anderen Fällen im dunklen Web verkauft.

Es ist jedoch nicht gerade teuer. Einige der Datensätze in diesen Datenbanken enthalten viele persönliche Informationen. Der Durchschnittspreis eines einzelnen Datensatzes beträgt jedoch 0,00002 USD. Denken Sie darüber nach, wenn Sie sich das nächste Mal für einen neuen Service anmelden.

February 19, 2019

Antworten