News Tech

Schwarzmarkt “Dream Market”: 617 Millionen Zugangsdaten werden im Darknet angeboten

Schon wieder stehen Hunderte Millionen Zugangsdaten von verschiedenen Webdiensten zum Verkauf. Knapp 20.000 Dollar in Bitcoin verlangt der Anbieter insgesamt, berichtet das Tech-Magazin “The Register”. Dafür bekämen Käufer die Account-Datenbanken von den in Deutschland entwickelten Diensten Dubsmash und EyeEm sowie 14 weiteren Websites und Apps.

Insgesamt sollen es 617 Millionen Kombinationen aus Nutzernamen, E-Mail-Adressen und gehashten Passwörtern sein: Die Passwörter müssen zur Benutzung also noch entschlüsselt werden. Weil aber mitunter als veraltet und unsicher geltende Algorithmen zum Einsatz kamen, dürfte dies zumindest in einigen Fällen möglich sein.

Dem Bericht zufolge sind mindestens Auszüge der Daten korrekt und aktuell. Die meisten Daten stammen laut Angaben des Verkäufers aus 2018 von ihm selbst durchgeführten Hacks. Angeboten werden sie auf dem Darknet-Schwarzmarkt “Dream Market”, der nur mit dem Tor-Browser erreichbar ist.

46 bis 2000 Dollar pro Datenbank

Nicht alle Hacks waren bisher bekannt. “The Register” hat mehrere Anbieter erst darauf aufmerksam gemacht, dass die Daten ihrer Kunden zum Verkauf stehen. Die Firmen informieren jetzt ihre Kunden und setzen deren Passwörter zurück.

Der Verkäufer verlangt zwischen 46 und knapp 2000 Dollar pro Account-Datenbank, jeweils in Bitcoin. Die größte Datenbank – die der aus Berlin kommenden, sehr erfolgreichen Lip-Sync-App Dubsmash mit mehr als 160 Millionen Accounts – sei mindestens einmal verkauft worden, heißt es in dem Bericht.

Fotostrecke

10  Bilder

Hack-Check: So funktioniert “Have I been pwned”

Mit den Daten könnte jemand versuchen, sich auch in anderen Diensten anzumelden. Das klappt, wenn Nutzer aus Bequemlichkeit für verschiedene Dienste das gleiche Passwort verwenden.

Tipps für gute Passwörter finden Sie hier, beim Generieren und Merken der Passwörter kann Ihnen ein Passwortmanager helfen. Zusätzliche Sicherheit gegen die Übernahme eines Accounts durch Kriminelle bringt die Zwei-Faktor-Authentifizierung, die viele Dienste anbieten.

Sie wird auch “bestätigte Anmeldung” genannt und setzt voraus, dass Nutzer neben dem Passwort ein zweites Element für die Anmeldung über ihr Gerät verwenden. Dabei kann es sich um einen per SMS empfangenen Code handeln, um einen von einer speziellen App generierten Code oder auch um einen speziellen physischen Sicherheitsschlüssel.

Leave a Reply

Your email address will not be published. Required fields are marked *