+

© Jochen Tack/Imago

Sicherheitsforscher gaben bekannt, dass knapp zehn Milliarden Passwörter geleakt wurden. Doch die Alarmglocken schrillen nicht bei allen Experten.

Kassel – In einem Hackerforum ist eine 50 Gigabyte große Datei aufgetaucht, die 9.948.575.739, also knapp zehn Milliarden, Passwörter enthält. Veröffentlicht wurde diese am 4. Juli von einem Nutzer namens „ObamaCare“, wie Sicherheitsforscher von Cybernews herausgefunden haben. Laut ihnen soll es sich dabei um den größten Leak aller Zeiten handeln. Der Hackerangriff könnte vor allem für diejenigen eine Gefahr darstellen, die Passwörter gerne wiederverwenden.

Ihr Passwort ist unter den zehn Milliarden? Das können Sie nun tun

Das Forschungsteam hat die zehn Milliarden Passwörter abgeglichen und festgestellt, dass die Sammlung sowohl alte als auch neue Datenleaks enthält. Damit ist die Wahrscheinlichkeit hoch, dass viele dieser Passwörter von Nutzern wiederverwendet wurden und somit anfällig für Angriffe sind. Es gebe zwar kein Patentrezept vom Schutz der Nutzer, aber Betroffene sollten Maßnahmen zur Schadensbegrenzung ergreifen, raten die Experten von Cybernews. Diese sind:

Doch Vorsicht: Auch Passwort-Manager können von Hackern ins Visier genommen werden. So wurde 2022 der beliebte Passwort-Manager LastPass gehackt. Eine 100 prozentige Garantie auf Sicherheit im Netz gibt es also nicht.

Das Cybernews-Team plant, die geleakten Passwörter aus der RockYou2024-Datei in ihren „Leaked Password Checker“ aufzunehmen. Somit kann jeder überprüfen, ob seine Anmeldedaten durch den jüngsten Leak offengelegt wurden. Betroffene haben außerdem die Möglichkeit auf Schadensersatz, wenn ihre persönlichen Daten unrechtmäßig genutzt oder gestohlen wurden. Geregelt ist das in Artikel 82 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Bereits 2021 8,7 Milliarden Passwörter veröffentlicht: Experten zweifeln an Echtheit des Leaks

„Die RockYou2024-Sammlung ist nicht einfach vom Himmel gefallen“, erklärt das Forschungsteam von Cybernews. Demnach habe es bereits 2021 eine Datei gegeben, die 8,4 Milliarden Passwörter enthalten habe. Diese soll nun laut ihrer Analyse um 1,5 Milliarden Passwörter erweitert worden sein. Grundlage für diesen Leak ist eine Datenpanne beim ehemaligen App-Entwickler RockYou im Jahr 2009: Damals wurde die erste Version mit etwa 32 Millionen Passwörtern veröffentlicht.

Im Zuge der Berichterstattung zum mutmaßlich größten Leak aller Zeiten wurden auch Gegenstimmen laut. So hinterfragt Sicherheitsforscher Daniel Card die Echtheit der fast zehn Milliarden veröffentlichten Passwörter. In einem auf X geteilten Screenshot gewährt er einen Einblick in die RockYou2024-Datei. Zu sehen ist eine Liste an Einträgen, nicht nach klassischen Passwörtern aussehen. Für ihn steht deswegen fest: Der Wirbel um den Hackerangriff ist unbegründet.

Ähnlich sieht es Sicherheitsforscher Lars Karlslund. Laut ihm gehe kein erhebliches Sicherheitsrisiko von dem Leak aus. Seiner Analyse nach handele es sich bei 1,5 Milliarden Einträgen um sogenannte Hexadezimalwerte, die nicht „geknackt“ wurden. „Das sind 15 Prozent, die wir einfach streichen können“, schreibt er seinem LinkedIn-Beitrag. Es sei zwar durchaus möglich, dass einige Nutzer derartige Passwörter wählten, ein Anteil von 15 Prozent sei aber unwahrscheinlich. (cln)