Bei LeakBase.io war kürzlich eine Sensation zu vermelden. Ein Hacker der sich ObamaCare nennt verknüpfte verschiedene neue Leaks miteinander. So entstand RockYou2024. Eine Sammlung -- fast 10 Milliarden Passwörter -- die alle Rekorde sprengt!
Eine riesige Datensammlung
Die Zusammenstellung der Daten zu einem einzelnen Textfile war relativ einfach. Durch die Größe von fast 50 GB allerdings, war die Verteilung eine große Herausforderung. Verschiedene Sharehoster – darunter GoFile.io und Fastupload.io, löschten die Datei schnell wieder -- aufgrund von Regelverstößen. Andere User schlugen vor – das Ganze als Torrent anzubieten. Doch ebenfalls beim Seeden gibt es Probleme.
Große Gefahr für alle Internetnutzer
IT-Fachleute sehen darin eine große Gefahr. Besonders für Nutzer – die Passwörter wiederverwenden. ObamaCare hat sich erst im Mai bei Leakbase.io registriert. Seitdem teilte er bereits etliche andere Leaks. Dazu gehörten die Mitarbeiterdatenbank der Kanzlei Simmons & Simmons, Daten des Online-Casinos AskGamblers und Studentenanmeldungen vom Rowan College in New Jersey.
Risiken durch Credential-Stuffing
RockYou2024 ist besonders optimal für Credential-Stuffing-Angriffe. Dabei nutzen Cyberkriminelle gestohlene Anmeldedaten um mehrere Konten gleichzeitig anzugreifen. Zwei Drittel der Internetnutzer wiederholen Passwörter -- so wird Credential Stuffing effektiv. Jüngste Angriffswellen auf Unternehmen wie Santander und Ticketmaster gehen auf solche Methoden zurück.
Brute-Force-Angriffe und KI
Die Hacker könnten die gesammelten Passwörter verwenden um Brute-Force-Angriffe zu starten. Auch KI-Tools wie PassGAN könnten sie nutzen um die Erfolgschancen zu steigern. Online-Dienste werden durchprobiert um Passwort-Wiederholungen zu identifizieren.
Frühe Weihnachten im Juli
RockYou2024 ist nicht der erste und wird auch nicht der letzte Leak sein. Im Januar wurde MOAB die "Mother of all Breaches", bekannt. Diese war im Vergleich zu RockYou2024 jedoch gering.
Historie der RockYou-Leaks
RockYou2021 erweiterte eine ältere Datenpanne von 2009. Zehn Millionen Benutzerpasswörter umfasste es damals. Die Sammlung wuchs exponentiell. Über 4․000 Datenbanken sind in RockYou2024 enthalten.
Problem der Verteilung
Das Problem liegt weniger im Erhalt als in der Verteilung der Daten. Wenn man sie gesammelt als Datei oder Archiv bereitstellt ist das eine Herausforderung -- technisch und rechtlich.
Der nächste große Datenleck steht vielleicht schon vor der Tür.
Kommentare