Neues aus der IT-Welt

Das Have-I-Been-Pwned-Projekt (HIBP) hat bislang lediglich Daten von bekannten Datenlecks und Einbrüchen bei Organisationen in die Datenbank aufgenommen und dazu Interessierten Informationen geliefert. Jetzt kommen auch in großem Stil Daten hinzu, die von Infostealern gesammelt wurden.

In einem Blog-Beitrag erklärt Projekt-Inhaber Troy Hunt, daß das eine bedeutsame Änderung darstellt. Wer seine E-Mail-Adresse auf HIBP sucht, hat bislang Rückmeldungen dazu erhalten, in welchem bekannten Datenleck die Informationen aufgetaucht sind. Schon früher hat Hunt Daten von Infostealern integriert, aber es kam demnach zu Frust bei Betroffenen, die mit der Information "Adresse tauchte in Infostealer-Logs auf" nichts anfangen konnten.

Bei Infostealern handelt es sich um Malware, die etwa die Rechner von Betroffenen befällt. Troy Hunt nennt als Beispiel das Herunterladen und Ausführen vermeintlicher Software-Cracks und Spiele-Cheats, die solche Malware mitbringen.

Die Infostealer protokollieren aber Daten zu allen möglichen Diensten, die auf infizierten Rechnern genutzt werden. Als experimentelle Funktion können Interessierte nun Benachrichtigungen zu ihrer E-Mail-Adresse erhalten. Zudem können Unternehmen, denen die Domains gehören, die Informationen über eine API nach Bestätigung der Inhaberschaft einer Domain erhalten, um etwa die Passwörter zu offenbar kompromittierten Konten zurückzusetzen. Ob umgekehrt auch eine Information von HIBP an Domaininhaber rausgehen kann, damit diese gezielt neu erkannte kompromittierte Konten zurücksetzen können, will Hunt in Zukunft testen.

Die direkte Adresssuche auf HIBP soll diese Informationen von Infostealern hingegen nicht zurückliefern. Der Grund dafür ist so einfach wie plausibel: bei der Eingabe einer beliebigen E-Mail-Adresse könnten sonst kompromittierende, die Privatsphäre unterlaufende Informationen an Unbefugte gelangen. Als Beispiel nennt Hunt etwa, daß in den Infostealer-Daten dutzende Domains mit den Wörtern wie "Porn", "Adult" oder "xxx" enthalten sind. Und dabei habe er nur nach der Domain eines bekannten Fortune-500-Unternehmens gesucht.

Im Jänner hat Troy Hunt nun mehr als 71 Millionen neue Datensätze von Infostealern zum HIBP-Projekt hinzugefügt. Damit startet Hunt die beschriebenen experimentellen neuen Funktionen. Aus den Infostealer-Daten konnten zudem 106 Millionen neue Passwörter gezogen werden – eine Suchmaske von HIBP erlaubt, Passwörter daraufhin zu prüfen, ob diese in Datenlecks aufgetaucht sind.

Mitte Dezember hatte Hunt die 50000 Datensätze, die beim Stromanbieter Tibber kopiert wurden, zu dem Datenfundus von Have-I-Been-Pwned hinzugefügt.

Update vom 17.01. 2025:
Mitte 2024 kam es bei MSI zu einem Datenabfluß von hunderttausenden Kundendatensätzen. Das Have-I-Been-Pwned-Projekt hat nun 250.000 Datensätze davon in den Datenfundus integriert.

Auf der Projekt-Webseite schreibt der Betreiber Troy Hunt, daß MSI Mitte vergangenen Jahres versehentlich viele tausend Kundendatensätze aus Rückgabe- oder Umtausch-Anfragen (RMA claims) öffentlich zugreifbar gelagert hatte. Für solche Vorgänge müssen Kundinnen und Kunden Formulare ausfüllen und etwa E-Mail-Adressen und Anschriften angeben.

Es waren knapp 250.000 solcher Datensätze zugreifbar. So viele einmalige E-Mail-Adressen nebst Namen, Telefonnummern, physischer Anschrift und Garantieansprüchen umfassten die Daten.

Auf Nachfrage habe MSI lapidar verlauten lassen, daß es keine Belege gebe, daß auf die Informationen jemals zugegriffen wurde. Der Sicherheitsvorfall habe zudem keine staatlichen Anforderungen zur Benachrichtigung über ein Datenleck ausgelöst, da keine Sozialversicherungsnummern, Führerscheinnummern oder Ähnliches betroffen waren.

Die Informationen können Cyberkriminelle jedoch beispielsweise für persönlicheres, überzeugenderes Phishing mißbrauchen. Wer also in der Vergangenheit bis zum 7. Juli 2024, wo der Datenabfluß stattfand, Garantieansprüche bei MSI geltend gemacht hat, sollte besonders aufpassen, wenn Nachrichten mit diesem Themenbezug eintreffen.

Wer seine E-Mail-Adresse auf der HIBP-Webseite eingibt, erhält als Ergebnis zurück, in welchen Datenlecks sie aufgetaucht und in falsche Hände geraten sind. Seit dieser Woche testet das Projekt jedoch, von Infostealern gesammelte Daten ebenfalls anzuzeigen. Dazu müssen sich Inhaber von Mail-Adressen jedoch unter "Notify me" registrieren. Aus Datenschutzgründen gibt es dafür lediglich Benachrichtigungsmails. Troy Hunt möchte so verhindern, daß möglicherweise kompromittierende Informationen in falsche Hände gelangen. Infostealer greifen in der Regel tatsächlich genutzte Zugangsdaten ab. Würden diese Informationen direkt nach Eingabe einer E-Mail-Adresse angezeigt, könnte etwa erkenntlich werden, wer sich etwa bei Special-Interest-Angeboten oder auf Porno-Webseiten angemeldet hat.

Update vom 20.01. 2025:
Die Hotel-Verwaltungsplattform Otelier hatte im vergangenen Juli ungebetenen Online-Besuch, der sich an den dort gespeicherten Daten gütlich tat. Insgesamt rund 437000 Datensätze von Kunden etwa der Hotelketten Hilton, Hyatt oder Marriott gelangten dadurch in falsche Hände. Nun hat das Have-I-Been-Pwned-Projekt (HIBP) die Daten durchsuchbar in den eigenen Datenfundus integriert.

Laut Mitteilung von Betreiber Troy Hunt auf der Have-I-Been-Pwned-Webseite fand der Einbruch bei Otelier bereits am 1. Juli 2024 statt. Es handelt sich dabei um eine Verwaltungsplattform, die ihre Dienste Hotelketten, darunter namhaften wie Hilton, Hyatt oder Marriott anbietet. Der Datensatz, der HIBP zugänglich gemacht wurde, umfasst 436855 Datensätze, unter anderem mit E-Mail-Adressen von Kunden. Weitere 868000 generierte E-Mail-Adressen von booking.com und Expedia hat Hunt den eigenen Angaben nach hingegen nicht verwertet. Insgesamt gaben die Täter gegenüber Bleeping Computer an, 8 TByte an Daten aus den Amazon-S3-Buckets von Otelier kopiert zu haben.

Neben den E-Mail-Adressen finden sich auch Namen, Anschriften, Telefonnummern, Käufe, Reisepläne und teilweise gekürzte Kreditkartendaten in den geleakten Daten. Damit können Kriminelle etwa zielgerichtetere Phishing-Angriffe auf potenzielle Opfer starten.

Update vom 04.02. 2025:
Die Online-Wett-Plattform 1win hatte im November einen IT-Vorfall, bei dem Daten der rund 96 Millionen Nutzer von Angreifern kopiert wurden. Diese sind nun im digitalen Untergrund aufgetaucht. Troy Hunt hat sie erhalten und konnte sie der Datenbank seines Have-I-Been-Pwned-Projekts (HIBP) hinzufügen.

Ein kurzer Eintrag auf der HIBP-Webseite erörtert das Datenleck beim Wett-Anbieter. Demnach umfasst der Datensatz E-Mail-Adressen, IP-Adressen, Telefonnummern, geografische Position, Land, Geburtsdaten sowie mit SHA-256 gehashte Passwörter. 1win ist auch auf Deutsch verfügbar, wie viele Nutzer konkret aus dem DACH-Raum betroffen sind, ist jedoch nicht bekannt.

Diese Daten können Betrüger nutzen, um gezieltere und glaubwürdigere Phishing-Attacken gegen potenzielle Opfer zu starten. Wer die Wett-Plattform 1win vor dem November 2024 genutzt hat, sollte daher besonders bei E-Mails aus dem Themenkreis Online-Wetten Vorsicht walten lassen.

Update vom 26.02. 2025:
Das Archiv der Datenleck-Such-Website Have I Been Pwned (HIBP) wächst und wächst: jüngst haben die Verantwortlichen Zugangsdaten von rund 284 Millionen Accounts aus verschiedenen Datenkeaks hinzugefügt.

Auf der HIBP-Website kann man prüfen, ob die eigene E-Mail-Adresse oder Passwörter in Datenleaks auftauchen. Die Einzelsuche ist kostenlos. Neuerdings können Website-Betreiber gegen Gebühr zwei neue APIs anzapfen, um etwa von Datenleaks betroffene Kunden ausfindig zu machen.

Das Datenpaket stammt aus einem Telegram-Kanal mit der Bezeichnung ALIEN TXTBASE. Der Betreiber von HIBP Troy Hunt gibt in einem Beitrag an, die geleakten Zugangsdaten geprüft zu haben und er stuft sie als echt ein.

Infostealer verstecken sich oft in gecrackter Software von etwa Adobe. In einigen Fällen tauchen als legitime Anwendung getarnte Trojaner sogar ganz oben in den Ergebnissen einer Internetsuche auf.

Nach der Installation begrüßt ein Opfer aber nicht das Adobe-Logo, sondern die Malware kopiert im Hintergrund so viele Accountdaten wie möglich und leitet diese an Cyberkriminelle weiter. Am Ende landen die Login-Daten in riesigen Listen, die in Untergrundforen zum Verkauf stehen.

Ab sofort können Domaininhaber und Website-Betreiber zwei neue APIs gegen Gebühr nutzen. Der Service richtet sich an große Kunden, die effektiv ganze E-Mail- und Website-Domains nach kompromittierten Konten durchsuchen wollen. So könnten etwa die Domianinhaber von www.netflix.com Kunden mit bereits geleakten Login-Daten identifizieren.

Update vom 26.03. 2025:
Troy Hunt, Betreiber des Dienstes Have-I-Been-Pwned (HIBP), wurde Opfer einer Phishing-Attacke und damit selbst "Pwned". Es sind 16627 E-Mail-Adressen der Mailingliste für den Newsletter zu Troys persönlichen Blog dadurch in unbefugte Hände abgeflossen.

In einem Blog-Beitrag erklärt Hunt, wie es zu dem Vorfall kommen konnte. Immerhin dürfte der Betreiber des größten öffentlich zugreifbaren Datenleck-Prüfungsdienstes erwartungsgemäß besonders widerstandsfähig gegen Phishing sein. Die Erklärung, wieso es nun anders kam, ist aber so einfach wie erwartbar: Hunt war demnach wirklich müde, litt an Jetlag und war beim Denken dadurch etwas langsam, erörtert er dort.

Hunt war in London unterwegs, als er eine Mail erhielt, die behauptete, daß seine Senderechte beim Mailinglisten-Dienst Mailchimp eingeschränkt wurden, da Beschwerden über SPAM-Versand vorlägen. Er folgte dem Link in der Mail, landete auf "mailchimp-sso.com" und gab dort seine Zugangsdaten ein, die von seinem Passwort-Manager 1Passwort nicht automatisch ausgefüllt wurden. Nach Angabe seines OTP aus der Authenticator-App hing die Seite jedoch fest – daraufhin fiel der Groschen: Hunt meldete sich bei der offiziellen Mailchimp-Webseite an, und eine Bestätigungsmail von Mailchimp benachrichtigte ihn über die Nutzung seiner Londoner IP-Adresse beim Dienst.

Er änderte umgehend sein Passwort, als ihn eine weitere Benachrichtigungsmail erreichte, in der er über den Export der Mailinglisten-Adressen von einer IP in New York informiert wurde. Nahezu zeitgleich kam eine Mail, die über einen Log-in von der New Yorker IP-Adresse informierte. Hunt erörtert, daß es offenbar ein hochautomatisierter Angriff war, um die Liste sofort zu exportieren, bevor ein Opfer Gegenmaßnahmen ergreifen kann. Die kopierten Daten umfassen die E-Mail-Adresse, IP-Adressen und geografische Ort. Es waren zudem auch noch Adressen von ehemals angemeldeten Newsletter-Empfängern enthalten, die sich bereits abgemeldet hatten. Das liege jedoch an Mailchimp: der Anbieter löscht die Adressen nicht automatisch, sondern markiert sie lediglich als "unsubscribed"; Mailinglisten-Nutzer müssen sie manuell entfernen.

Hunt gibt sich zerknirscht und ist frustriert, auf diesen Phish hereingefallen zu sein. Er erörtert noch weitere Punkte, die den Erfolg der bösartigen Akteure begünstigt haben. So ermögliche Mailchimp die Absicherung mit zweitem Faktor, was jedoch weniger Phishing-sicher als Passkeys ist. Zudem zeigt Outlook nur den angegebenen Namen als Absender einer Mail an, anstatt die vollständige und eindeutig falsche E-Mail-Adresse selbst. Inzwischen ist die Domain auch in Googles Safe-Browsing-Datenbank gelandet, wodurch Webbrowser vor der Gefahr warnen.

Um im besten Sinne Transparenz zu demonstrieren, hat Hunt nun seine Mailchimp-Mailingliste in den HIBP-Datenfundus aufgenommen. Wer auf seiner Mailingliste registriert ist oder war, sollte bei Mails mit derartigem Bezug erhöhte Vorsicht walten lassen: Phisher können Informationen zur Datenherkunft für personalisierte und angepasste Angriffe missbrauchen.

Update vom 14.04. 2025:
Cyberkriminelle sind bei einem Dienstleister von Samsung eingebrochen und haben dort die Support-Datenbank mit Kundendaten kopiert. 270000 Datensätze sollen so in die Hände von Unbefugten geraten sein, die sie im Darknet zum Kauf feilgeboten haben. Nun konnte Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, eine Kopie erhalten und hat sie dem durchsuchbaren Datenfundus hinzugefügt.

In der Ankündigung in der stetig wachsenden Leck-Auflistung von Havbe-I-Been-Pwned (HIBP) schreibt Hunt, daß es sich tatsächlich um rund 216000 einzelne E-Mail-Adressen zusammen mit Namen, Anschrift, getätigten Käufen, Anreden, Sendungsverfolgungsnummern sowie Support-Tickets handele. Mit den Daten scheint kein direkter Identitätsklau möglich zu sein, aber professioneller aufgemachtes, überzeugenderes Phishing können Kriminelle mit diesen Daten schon aufsetzen. Es steckt schließlich die Zusatzinformation drinnen, daß es sich um Samsung-Kunden handelt, die zudem mal Probleme mit einem Gerät und dafür gegebenenfalls Pakete versendet hatten.

Vor genau zwei Wochen wurde bekannt, daß Daten bei einem Dienstleister von Samsung entwendet werden konnten und in einem digitalen Untergrund-Forum zum Verkauf angeboten wurden. Die Daten wurden beim Dienstleister Spectos kopiert. Anfänglich behauptete eine für gewöhnlich gut informierte Firma namens Hudson Rock, daß die Täter durch veraltete Zugangsdaten Zugang zu den Systemen erlangt haben.

Dem stellt Spectos eine eigene Analyse der Vorgänge entgegen. Die Angreifer sind nicht durch jahrelang nicht geänderte Zugangsdaten eingedrungen, sondern haben für den initialen Zugang eine Schwachstelle "in einem sekundären Server" mißbraucht. Dadurch gelang ihnen der Zugriff auf "verschiedene Bereiche der Cloud-Infrastruktur"; ein Zugang zu den Hauptsystemen sei verhindert worden.

Wer in jüngerer Vergangenheit einen Support-Fall bei Samsung eröffnet hat, kann durch die Eingabe der eigenen E-Mail-Adresse auf der HIBP-Webseite prüfen, ob die eigenen Daten von dem Vorfall betroffen sind. Ein anekdotischer Test mit Daten aus einem Support-Fall von vor etwas länger als einem Jahr lieferte jedoch kein Ergebnis im aktuellen Datenleck zurück.