Wer viel im Internet unterwegs ist, bei dem stehen die Chancen "gut", dass er bereits einmal Opfer eines Datenlecks geworden ist. Eine unerfreuliche Realität, die nun durch einen neuen Vorfall in Erinnerung gerufen wird.

Neuer Rekordhalter

Unter dem Namen "RockYou2021" kursiert nun die bisher größte Datenbank mit erbeuteten Passwörtern. Rund 8,4 Milliarden Einträge sollen sich in dieser befinden, heißt es in einem Bericht von "Cybernews". Die daraus resultierende Textdatei soll in einem einschlägigen Forum gepostet worden sein und rund 100 GByte umfassen.

Wie in solchen Fällen üblich, handelt es sich dabei allerdings um keine neuen Daten. Vielmehr hat hier jemand die Informationen aus vielen alten Hacks zusammengetragen. So soll auch die zuvor größte bekannten Passwortsammlung – die 3,2 Milliarden Einträge umfassende "Compilation of Many Breaches" (Comb) – enthalten sein.

Anspielungen

Der Name der neuen Liste dürfte dabei eine Referenz auf einen bereits länger zurückliegenden Hack darstellen: Im Jahr 2009 ware es Unbekannten gelungen, die Nutzerdaten der Firma Rockyou zu erbeuten. Das Unternehmen hatte sich auf die Erstellung von Widgets und Apps für Myspace und Facebook spezialisiert. Mit der IT-Sicherheit schien man es hingegen weniger zu haben, immerhin fanden die Hacker nicht weniger als 32 Millionen Nutzerkonten auf den Servern von Rockyou vor – und zwar samt im Klartext gespeicherter Passwörter.

Da es sich bei der aktuellen Datensammlung wirklich exklusiv um eine Passwortliste handelt, besteht keine direkte Gefahr für die Nutzer. Allerdings könnten Angreifer diese Quelle nutzen, um sie in Kombination mit anderen Daten für gezielte Attacken zu nutzen. Wer wissen will, ob das eigene Passwort in der Sammlung enthalten ist, für den bietet Cybernews ein eigenes Tool an. Gibt es hier eine Übereinstimmung, rät man dazu, das betreffende Passwort auf sämtlichen Seiten, wo es eingesetzt wird, zu ersetzen. Und, wenn man schon dabei ist, auch gleich wirklich für alle Dienste eigenständige Passwörter zu wählen und, wo es möglich ist, Zwei-Faktor-Authentifizierung zu aktivieren. (red, 10.6.2021)