Have I Been Pwned: Gigantisches Naz.API-Datenleak hinzugefügt
Der Passwort-Prüfdienst HIBP hat fast 71 Millionen im Zuge von Cyberattacken kopierte E-Mail-Adressen in seine Datenbank aufgenommen.
(Bild: CarpathianPrince/Shutterstock.com)
Die Website Have I Been Pwned (auf Deutsch: "Hat es mich erwischt?") dokumentiert durch Cyberkriminelle ausgelöste Datenleaks und gibt Besuchern die Möglichkeit zu prüfen, ob eigene E-Mail-Adressen oder Passwörter in den Leaks auftauchen. Nun hat der Service ein riesiges Datenpaket namens Naz.API hinzugefügt.
Ursprung und Größe des Leaks
Wie der Betreiber von HIBP in einem Beitrag ausführt, handelt es sich dabei um eine rund 104 GB große Datenbank mit unter anderem 70,8 Millionen E-Mail-Adressen, die er nun in seinen Service aufgenommen hat. Er gibt an, dass davon Stichproben zufolge rund 35 Prozent der Mailadressen vorher nicht in der HIBP-Datenbank waren. Seinen Prüfungen zufolge geht er davon aus, dass die Daten legitim, in einigen Fällen aber auch schon mehr als zehn Jahre alt sind. Die Sammlung enthalte aber noch weitere Informationen wie rund 100 Millionen Passwörter im Klartext.
(Bild: Troy Hunt)
Das Naz.API-Paket kursiert schon seit längerer Zeit in Untergrundforen und wird von Cyberkriminellen als Credential-Stuffing-Liste genutzt. Darunter versteht man Attacken auf Webservices mithilfe geleakter Nutzeraccounts. Durch automatisiertes Ausprobieren der in der Liste gespeicherten Log-in-Daten versuchen Kriminelle unter anderem Accounts von Amazon, Netflix und Co. zu kapern.
Die in der Liste enthaltenen Nutzerdaten stammen aus Cyberattacken mit etwa Infostealer-Malware, die auf kompromittierten Computern Log-in-Daten kopiert und an Kriminelle übermittelt. Die Naz.API ist quasi eine Meta-Liste solcher Attacken mit Millionen Einträgen.
Der HIBP-Betreiber gibt an, dass ihn eine bekannte Tech-Firma kontaktiert hat, die das Naz.API-Paket im Rahmen eines Bug-Bounty-Programms übermittelt bekam.
Bin ich betroffen?
Auf HIBP kann man anhand der eigenen E-Mail-Adresse prüfen, ob man in der Datenbank aller vom Dienst archivierten Leaks auftaucht. Im Fall des Naz.API-Leaks zeigt das Ergebnis aber nicht an, welcher Onlinedienst betroffen ist. Konkretere Informationen dazu kann beim OSINT-Service Illicit.services finden, der ebenfalls die Naz.API-Daten als Basis hat. Derzeit ist der Service aber völlig überlaufen und die Server gehen in die Knie.
Wer möchte, kann die HIBP-Prüfung auch anhand von Passwörtern durchführen. Keine Angst: Der Kennwort-Check arbeitet nicht mit Passwörtern im Klartext, sondern mit Ausschnitten von Passwort-Hashes nach einem anonymisierten Verfahren.
Website-Betreiber können die von HIBP konservierten geleakten Log-in-Daten über eine API ansprechen, um so Credential-Stuffing-Attacken mit diesen Daten auf ihre Log-in-Dienste vorzubeugen. Der HIBP-Betreiber gibt an, dass es im vergangenen Monat knapp 7,5 Milliarden Passwort-Abfragen gegeben hat.
(des)
