Thought Leadership
Eine öffentlich zugängliche Datenbank mit 149 Millionen gestohlenen Benutzernamen und Passwörtern wurde vom Netz genommen, nachdem ein Sicherheitsforscher die Sicherheitslücke entdeckt und den Hosting-Anbieter darüber informiert hatte.
Die Datenbank scheint mithilfe von Infostealer-Malware zusammengestellt worden zu sein, die unbemerkt Anmeldedaten von infizierten Geräten abgreift.
Die Zahlen sind erschreckend. Der Sicherheitsexperte fand 48 Millionen Gmail-Zugangsdaten, dazu 17 Millionen Facebook-Logins sowie 420.000 Konten der Kryptowährungs-Handelsplattform Binance. Doch der Vorfall beschränkte sich nicht nur auf Verbraucher-Dienste. Auch Zugangsdaten zu staatlichen Systemen aus mehreren Ländern befanden sich in der Datenbank neben Online-Banking-Zugängen, Kreditkartenkonten und Logins zu Streaming-Diensten.
Kommentar von Shane Barney, CISO bei Keeper Security dazu:
„Diese gemeldete Datensammlung ist weniger wegen ihrer Größe relevant, sondern wegen ihrer operativen Bedeutung. Es handelt sich nicht um eine Sicherheitsverletzung im klassischen Sinne und auch nicht um den Beleg eines einzelnen Versagens. Vielmehr ist sie das Produkt eines Ökosystems, das kontinuierlich Zugangsdaten von Endgeräten absaugt und über längere Zeit unbemerkt Zugriffsrechte anhäuft.
Infostealer zielen nicht auf einzelne Dienste ab, sondern auf Nutzer. Sobald ein Gerät kompromittiert ist, wird alles, womit der Nutzer interagiert, Teil des Sammelprozesses. Deshalb tauchen Zugangsdaten für Verbraucherplattformen, Finanzdienstleister und staatliche Systeme nebeneinander auf. Aus Sicht der Angreifer liegt der Wert nicht in einem einzelnen Konto, sondern in der Möglichkeit, Identitäten zu korrelieren, Zugänge wiederzuverwenden und sich seitlich innerhalb von Organisationen zu bewegen, ohne Alarme auszulösen.
Die öffentliche Auffindbarkeit großer Mengen gestohlener Daten ist dabei fast nebensächlich. Wichtiger ist, dass Verteidiger solche Funde häufig als isolierte Vorfälle behandeln, statt sie als Hinweis auf eine fortschreitende Erosion von Identitäten zu verstehen. Eine Datenbank offline zu nehmen, behebt das zugrunde liegende Problem nicht. Denn viele dieser Zugangsdaten bleiben lange nach ihrem Diebstahl weiterhin gültig und vertrauenswürdig.
Für Sicherheitsteams lautet die zentrale Erkenntnis daher nicht einfach „Passwörter ändern“. Vielmehr geht es darum anzuerkennen, dass kompromittierte Zugangsdaten inzwischen ein dauerhafter Zustand im Internet sind. Sicherheitskontrollen müssen davon ausgehen, dass Passwörter durchsickern, Endgeräte infiziert werden und Angreifer mit gültigen Anmeldedaten auftauchen. Die Frage ist nicht mehr, wie sich jeder Diebstahl verhindern lässt, sondern wie wirksam der Zugriff begrenzt wird.“
