Anzeige

Passwort

Dashlane, der Passwort- und Online-Identitätsverwaltungsdienst, veröffentlicht die bereits fünfte Ausgabe der größten Passwort-Sünder des Jahres.

In diesem Jahr hebt die Liste besonders Unternehmen und Organisationen hervor, die die größten Sicherheitsverstöße durch schwache oder unzureichend gesicherte Passwörter hatten.

Während der Pandemie wurden soziale Netzwerke immer wichtiger, um in Verbindung zu Freund:innen und Familie zu bleiben. Doch Angestellte und Nutzer:innen von Twitter und Zoom wurden durch die Verwendung von schwachen Passwörtern Opfer von Cyberangriffen. Und nicht nur Twitter und Zoom fielen Hacks zum Opfer, auch Unternehmen aus der Welt des Reisens oder der Spiele sind auf dieser Liste vertreten.

Die Liste der größten Passwort-Sünder dient als jährliche Erinnerung daran, wie einfach es ist, einen Internet-Fauxpas zu begehen. Die Daten zeigen, dass der durchschnittliche Internetnutzer über 200 digitale Konten hat, die Passwörter erfordern, eine Zahl, die sich in den nächsten fünf Jahren voraussichtlich auf circa 400 verdoppeln wird.

Dashlanes "Passwort-Sünder" von 2020 – beginnend mit dem schlimmsten Sünder:

1. Twitter: Im Juli fielen einige Twitter-Mitarbeiter:innen auf den ältesten Trick der Welt rein: Phishing. Die Attacke wurde von einem 17-jährigen Schüler aus Florida orchestriert. Die Angestellten setzten ihre Passwörter auf einer Dummy-Seite zurück und teilten dem Schüler so ihre Anmeldeinformationen mit. Zudem konnte der Angreifer Multifaktor-Authentifizierungscodes extrahieren und erlangte so Zugang zu 130 verifizierten Accounts. Darunter die von Barack Obama, Elon Musk, Bill Gates und Joe Biden und postete in ihren Namen Bitcoin-Scams. Twitter versuchte schnellstmöglich herauszufinden, wie der Breach zustande kam und lies alle Mitarbeiter:innen ihre Passwörter händisch ändern.

2. Zoom: Anfang des Jahres mussten plötzlich mehr Menschen, denn je von zuhause aus arbeiten und waren so vermehrt auf Video-Dienste, wie zum Beispiel Zoom angewiesen – eine tolle Gelegenheit für Hacker:innen. Im April wurden eine halbe Millionen Zoom-Zugangsdaten im Dark Web zum Verkauf angeboten. Cyberkriminelle hatten sich durch verschiedene Methoden Zugang zu diesen verschafft, darunter Credential Stuffing und Bots.

3. Easyjet: Die günstigen Preise der britischen Airline EasyJet warteten mit versteckten Kosten auf: gestohlene Daten ihrer Kund:innen. Ein Cyberangriff erbeutete neun Millionen E-Mail-Adressen und Reisepläne, sowie über 2.000 Kreditkarten-Daten. Noch schräger: EasyJet sagte dem britischen Sender BBC, dass sie von dem Hack bereits im Januar wussten, dennoch informierten sie betroffene Kund:innen erst im April.

4. Experian: Der Wiederholungstäter unter den Passwortsündern, und das größte Kreditunternehmen der Welt erlebte einen massiven Breach ihrer Daten in der südafrikanischen Niederlassung. Die Angestellten vielen auf einen Betrüger herein, der sich als Kunde ausgab und gaben an ihn persönliche Daten Dritter weiter. Der dadurch ausgelöste Angriff betraf circa 24 Millionen Südafrikaner:innen und 800.000 Unternehmen.

5. Marriot: Starwood, die Muttergesellschaft des Marriott-Megakonzerns, erholte sich immer noch von einer Datenpanne aus dem Jahr 2018, als 5,2 Millionen Marriott-Gäste einem Hack im Januar zum Opfer fielen. Der Übeltäter? Kompromittierte Anmeldedaten von Marriott-Mitarbeiter:innen.

6. Nintendo: Während des Lockdowns nahm auch der Verkauf von Spiele-Konsolen zu, doch wer zu den Nutzer:innen der Switch zählte, erlebte eine böse Überraschung. 300.000 Konten wurden durch nicht autorisierte Logins kompromittiert. Wie genau die Hacker:innen Zugang zu den Konten erlangten ist nicht geklärt, fest steht jedoch, dass Zugänge mit schwachen Passwörtern besonders betroffen waren.

7. Zoosk: Beim Dating ist es wichtig etwas über sich preiszugeben – das bedeutet jedoch nicht, dass man sensible persönliche Daten anschließend zum Verkauf im Dark Web wiederfinden möchte. Zoosk, eine Online-Dating-Plattform, fiel im Mai einer Cyberattacke zum Opfer, bei welcher über 200 Millionen Datensätze, einschließlich persönlicher Daten wie Geschlecht und Geburtsdatum, kompromittiert wurden.

www.dashlane.com/de


Artikel zu diesem Thema

Twitter-Angriff
Nov 14, 2020

Der große Twitter-Angriff von 2020

Oktober ist traditionell National Cybersecurity Month und EU-Cybersicherheits-Monat.…
Passwort-Eingabe
Okt 20, 2020

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten…
Whitepaper Starke Authentifizierung
Sep 01, 2020

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.