In einem Darknet-Markt bietet ein Verkäufer 620 Millionen Kontodaten an, die von 16 verschiedenen und teilweise sehr bekannten Websites stammen sollen. Auch Anbieter in Deutschland sind betroffen. Aufgefunden wurde das Angebot im Dream Market , erreichbar als Hidden Service über das Anonymisierungsnetzwerk Tor und auch für den Handel mit Drogen und gestohlenen Waren bekannt. Interessenten können die gesamte Datensammlung für weniger als 20.000 Dollar in Bitcoin erwerben. Die gestohlenen Daten einzelner Sites sind zudem auch für einem entsprechend geringeren Betrag zu haben.
Das berichtet The Register , nachdem die Publikation das Angebot geprüft und Kontakt zu dem unbekannten Anbieter aufgenommen hat. Beispiel-Datensätze aus den Datenbanken mit mehreren GByte Umfang scheinen echte Kontodaten mit Namen, E-Mail-Adressen und Passwörtern der Inhaber zu enthalten. Die Passwörter sind zwar durch unterschiedliche Hash-Verfahren geschützt – aber viele von ihnen dennoch zu entschlüsseln, da sogar noch der überholte MD5-Algorithmus angewandt wurde. Abhängig von der Datensammel-Praxis der jeweiligen Website können weitere persönliche Informationen enthalten sein.
Von einigen Websites wie MyHeritage, MyFitnessPal und Animoto war bereits bekannt, dass sie gehackt wurden, da sie im letzten Jahr ihre Kunden darüber informiert hatten. Ein Sprecher der Genealogie-Plattform MyHeritage, die unter anderem einen Gentest-Service anbietet, bestätigte die Echtheit von Beispiel-Datensätzen aus der angebotenen Datenbank. Sie stammen demnach von einem erfolgreichen Cyberangriff auf ihre Server im Oktober 2017, den sie 2018 öffentlich machte. MyFitnessPal war auch unter neun Anbietern von Wearables und Fitness-Apps, die von der Verbraucherzentrale NRW wegen Datenschutzmängeln abgemahnt wurden.
Bei anderen jetzt im Darknet-Angebot genannten Sites ist erstmals von einer angeblichen Kompromittierung zu hören. Die mit genannte kanadische Online-Fotocommunity 500px hat inzwischen bestätigt, dass die Kontodaten von ihren Servern gestohlen und in der Darknet-Sammlung zum Kauf angeboten wurden. Sie hat damit begonnen, ihre Nutzer zu benachrichtigen und alle Passwörter zurückzusetzen – beginnend mit den nur schwach durch MD5 gehashten. Ein Datenleak sei ihm nicht bekannt, erklärte hingegen ein Sprecher der ebenfalls aufgeführten Dating-Website Coffee Meets Bagel, aber das eigene Sicherheitsteam prüfe die Angaben.
Dem Darknet-Dealer zufolge ist es bei allen betroffenen Websites das erste Mal, dass ihre Daten öffentlich zum Kauf angeboten werden. Weitere Datensätze in seinem Angebot sollen von Dubsmash, ShareThis, HauteLook, EyeEm, 8fit, Whitepages, Fotolog, Armor Games, BookMate, Artsy und DataCamp stammen.
Die relativ günstigen Preise der angeblich gestohlenen Daten sind laut The Register darauf zurückzuführen, dass sie vor allem für Spammer und Credential Stuffer geeignet sind. Bei Credential-Stuffing-Angriffen versuchen Hacker, Konten mit von anderen Websites oder Diensten durchgesickerten Benutzernamen und Passwörtern zu übernehmen. Sie nutzen damit aus, dass viele Anwender immer wieder dieselbe Kombination von Benutzername und Passwort verwenden.
Mit 22 Millionen Datensätzen ist angeblich auch EyeEm dabei, ein Onlinedienst für das Teilen von Fotos mit Sitz in Berlin. 20 Millionen angeblich gestohlene Kontodaten sind von der Fitness-App 8fit im Angebot, die vom gleichnamigen Start-up zweier Spanier in Berlin entwickelt wurde. Ihr Team untersuche derzeit die Angelegenheit, erklärte 8fit-CEO Aina Abiodun dazu, daher könne sie nicht sofort Stellung nehmen.