{"id":31619,"date":"2024-09-12T16:29:36","date_gmt":"2024-09-12T14:29:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31619"},"modified":"2024-09-12T16:33:40","modified_gmt":"2024-09-12T14:33:40","slug":"top-five-data-breaches-in-history","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/top-five-data-breaches-in-history\/31619\/","title":{"rendered":"RockYou2024 und die vier anderen gr\u00f6\u00dften Datenpannen der Geschichte"},"content":{"rendered":"

In den letzten Jahren ist die Menge an kompromittierten Daten stetig gestiegen<\/a>. Nachrichten \u00fcber neue Datenlecks und Hacker-Angriffe sind an der Tagesordnung, und wir von Kaspersky verwenden weiterhin viel elektronische Tinte, um die Welt \u00fcber die Notwendigkeit robuster Schutzma\u00dfnahmen<\/a>\u00a0zu informieren\u00a0\u2013 jetzt mehr denn je.<\/p>\n

Heute tauchen wir ein in die Geschichte und erinnern uns (mit einem Schaudern) an die gr\u00f6\u00dften und schlimmsten Datenpannen aller Zeiten. Um herauszufinden, wie viele und welche Informationen durchgesickert sind, wer davon betroffen war und vieles mehr \u2013 lies weiter\u00a0\u2026<\/p>\n

1.\u00a0\u00a0\u00a0 RockYou2024<\/h2>\n

Kurz gesagt:<\/strong> Hacker sammelten Daten aus fr\u00fcheren Datenlecks und ver\u00f6ffentlichten die gr\u00f6\u00dfte Zusammenstellung echter Benutzerpassw\u00f6rter aller Zeiten: 10 Milliarden Datens\u00e4tze!<\/p>\n

Wann:<\/strong> 2024.<\/p>\n

Wer war betroffen: <\/strong>Nutzer weltweit ohne starken Schutz<\/a>.<\/p>\n

RockYou2024 ist die Kr\u00f6nung unter den Datenlecks und eine Mahnung an jeden, der glaubt, Hacker w\u00fcrden sich nicht f\u00fcr ihn interessieren. Im Juli 2024 ver\u00f6ffentlichten Cyberkriminelle in einem Hacker-Forum eine gigantische Sammlung von Passw\u00f6rtern: insgesamt 9.948.575.739 eindeutige Datens\u00e4tze. Obwohl es sich um eine Zusammenstellung handelt, die auf dem alten Datenleck RockYou2021 basiert, rockt RockYou2024 immer noch\u00a0\u2026 sozusagen.<\/p>\n

Unser Experte Alexey Antonov analysierte den Sicherheitsversto\u00df und stellte fest, dass 83\u00a0% der durchgesickerten Passw\u00f6rter in weniger als einer Stunde von einem Smart-Guessing-Algorithmus geknackt werden konnten<\/strong> und dass nur 4\u00a0% (328 Millionen) davon als sicher<\/strong> eingestuft werden konnten. Sprich, es w\u00fcrde mehr als ein Jahr dauern, sie mithilfe eines intelligenten Algorithmus zu knacken. Details zur Funktionsweise intelligenter Algorithmen findest du in unserer Studie zur Passwortst\u00e4rke<\/a>, die anhand einer Analyse echter Benutzerpassw\u00f6rter, die im Darknet durchgesickert sind, zeigt, dass viel zu viele Menschen immer noch erschreckend gleichg\u00fcltig gegen\u00fcber der Sicherheit von Passw\u00f6rtern sind.<\/p>\n

Bei der Analyse des neuesten Datenlecks filterte Alexey alle nicht relevanten Datens\u00e4tze heraus und arbeitete mit der verbleibenden Menge von \u2026 8,2 Milliarden Passw\u00f6rtern, die irgendwo im Klartext gespeichert waren!<\/em><\/p>\n

2.\u00a0\u00a0\u00a0 CAM4<\/h2>\n

Kurz gesagt:<\/strong> Ein falsch konfigurierter Server hat 11 Milliarden Kundendatens\u00e4tze der \u00d6ffentlichkeit zug\u00e4nglich gemacht \u2013 in der Tat sensible Informationen, wenn man bedenkt, dass CAM4 \u2026 eine nicht jugendfreie Website ist!<\/p>\n

Wann:<\/strong> 2020.<\/p>\n

Wer war betroffen:<\/strong> Nutzer der Website f\u00fcr Erwachsene CAM4.<\/p>\n

Diese Geschichte ist aus zwei Gr\u00fcnden von Interesse: Welche Informationen sind durchgesickert und wie? Neben den durchgesickerten \u201eStandard\u201c-Daten (Vorname, Nachname, E-Mail-Adresse, Zahlungsprotokolle usw.) wurden auch Informationen weitaus intimerer Natur preisgegeben: geschlechtsspezifische Vorlieben und sexuelle Orientierung. Nutzer mussten diese Informationen bei der Registrierung angeben, bevor sie die Inhalte der Streaming-Plattform f\u00fcr Erwachsene genie\u00dfen konnten.<\/p>\n

Das Datenleck wurde durch eine unsichere Elasticsearch-Datenbank verursacht. Das Ende war jedoch nicht so schlimm \u2013 und peinlich: Wenn wir alle Berichte \u00fcber Lecks im Zusammenhang mit dieser Datenpanne<\/a> in einem physischen Buch zusammenfassen w\u00fcrden, bek\u00e4men wir einen ziemlich dicken W\u00e4lzer \u2013 in dem die Geschichte von CAM4 ein kleines, aber wichtiges Kapitel einnehmen w\u00fcrde: \u201eDas gr\u00f6\u00dfte Datenleck der Geschichte, das es nie gab.\u201c Gl\u00fccklicherweise wurde die Datenbank innerhalb einer halben Stunde nach Entdeckung des Fehlers heruntergefahren und sp\u00e4ter in ein internes lokales Netzwerk verschoben. Die personenbezogenen Daten der Nutzer wurden gel\u00f6scht.<\/p>\n

3.\u00a0\u00a0\u00a0 Yahoo<\/h2>\n

Kurz gesagt: <\/strong>Alle drei Milliarden Nutzer der Plattform waren von einem Hacker-Angriff betroffen\u00a0\u2013 das gab Yahoo jedoch erst drei Jahre sp\u00e4ter zu.<\/p>\n

Wann:<\/strong> 2012, 2013\u00a0\u2026 oder war es 2014? Selbst Yahoo wei\u00df es nicht genau.<\/p>\n

Wer war betroffen: <\/strong>Alle Yahoo-Nutzer.<\/p>\n

Vor mehr als einem Jahrzehnt wurde Yahoo gehackt (alles begann mit einer Phishing-E-Mail), was zu einer Reihe von Nachrichtenmeldungen \u00fcber ein angebliches Datenleck f\u00fchrte. In ersten Berichten war von mehreren Hundert Millionen gehackten Konten die Rede, dann wurde die Zahl nach oben auf rund 500 Millionen Konten<\/a> korrigiert. 2017, kurz vor dem Deal des Unternehmens mit Verizon, stellte sich heraus, dass alle drei Milliarden Konten betroffen waren. Die Hacker gelangten an Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern. Schlimmer noch, sie hatten Zugriff auf die Konten von Nutzern, die jahrelang ihre Passw\u00f6rter nicht ge\u00e4ndert hatten. Verstehst du jetzt, warum es so wichtig ist, Passw\u00f6rter regelm\u00e4\u00dfig zu \u00e4ndern und alte Profile zu l\u00f6schen<\/a>?<\/p>\n

Dieser Vorfall ist ein weiterer Beweis daf\u00fcr, dass selbst Technologiegiganten die Benutzerdaten manchmal nicht richtig speichern. Im Fall von Yahoo fanden Angreifer eine Datenbank mit unverschl\u00fcsselten Sicherheitsfragen und -antworten, und bei einigen Konten gab es \u00fcberhaupt keine Zwei-Faktor-Authentifizierung. Die Moral von der Geschichte ist also: Verlass dich zum Schutz deiner pers\u00f6nlichen Konten nicht auf soziale Netzwerke oder Online-Plattformen. Erstelle oder generiere sichere Passw\u00f6rter<\/a> und speichere sie in Kaspersky Password Manager<\/a>. Und wenn du bef\u00fcrchtest, dass deine Daten bereits durchgesickert sein k\u00f6nnten, installiere eine von unseren Sicherheitsl\u00f6sungen f\u00fcr dein Zuhause<\/a>: In Kaspersky Standard<\/a>\u00a0und Kaspersky Plus<\/a>\u00a0kannst du alle E-Mail-Adressen angeben, mit denen du und deine Familie sich bei Online-Diensten anmelden. Die Anwendung \u00fcberpr\u00fcft diese Adressen regelm\u00e4\u00dfig und meldet etwaige Datenpannen bei den damit verbundenen Konten.<\/p>\n

In Kaspersky Premium<\/a>\u00a0kannst du neben einer E-Mail-Liste auch Telefonnummern hinzuf\u00fcgen. Diese werden normalerweise verwendet, um Nutzer sensiblerer Online-Dienste wie Banking zu identifizieren. Unsere Anwendung sucht in allen neuen Datenbanken nach diesen Nummern und Adressen und warnt dich, falls sie gefunden werden, und empfiehlt dir, was zu tun ist (lies mehr<\/a> dar\u00fcber, wie wir dich vor dem Verlust pers\u00f6nlicher Daten im Internet und im Darknet sch\u00fctzen).<\/p>\n

4.\u00a0\u00a0\u00a0 UIDAI (Aadhaar)<\/h2>\n

Kurz gesagt:<\/strong> Die biometrischen Daten fast aller B\u00fcrger und Einwohner Indiens wurden zum Verkauf angeboten.<\/p>\n

Wann:<\/strong> 2018.<\/p>\n

Wer war betroffen: <\/strong>1,1 Milliarden B\u00fcrger und Einwohner von Indien.<\/p>\n

Die Unique Identification Authority of India (UIDAI) betreibt das gr\u00f6\u00dfte biometrische Identifikationssystem der Welt und speichert die pers\u00f6nlichen Daten, Fingerabdr\u00fccke und Irisfotos von mehr als einer Milliarde Menschen in Indien.<\/p>\n

W\u00e4hrend viele L\u00e4nder auf der ganzen Welt die Einf\u00fchrung biometrischer Identifizierungen lediglich planen, gibt es in Indien bereits seit \u00fcber einem Jahrzehnt ein solches System. Die UIDAI wurde gegr\u00fcndet, damit jeder Einwohner Indiens eine eindeutige offizielle staatliche Identit\u00e4tsnummer, die sog. Aadhaar<\/a>, erh\u00e4lt.<\/p>\n

Doch 2018 gelangten Cyberkriminelle nach einer Reihe von Datenlecks nicht nur an die Datenbank, sondern verkauften sie sogar f\u00fcr nur 500 Rupien<\/a> (etwa 6 US-Dollar zum heutigen Wechselkurs). Im Jahr 2023 ereignete sich eine weitere massive Datenpanne<\/a>, von der 815 Millionen Inder betroffen waren.<\/p>\n

Banken und Strafverfolgungsbeh\u00f6rden raten den Opfern der Datenlecks weiterhin, die biometrische Authentifizierung f\u00fcr Finanzdienstleistungen zu deaktivieren. Dies ist jedoch keine Garantie f\u00fcr Sicherheit, da ihre Namen, Passnummern, Fotos, Fingerabdr\u00fccke und andere Informationen wahrscheinlich in den H\u00e4nden von Cyberkriminellen sind.<\/p>\n

5.\u00a0\u00a0\u00a0 Facebook<\/h2>\n

Kurz gesagt:<\/strong> Das Unternehmen informierte die Nutzer zwei Jahre lang nicht \u00fcber eine Datenpanne, von der es wusste.<\/p>\n

Wann:<\/strong> 2019.<\/p>\n

Wer war betroffen: <\/strong>533 Millionen Facebook-Nutzer.<\/p>\n

Niemand ist mehr \u00fcberrascht, wenn er die Worte \u201eFacebook\u201c und \u201eDatenleck\u201c zusammen liest. Die Plattform wird regelm\u00e4\u00dfig Opfer von Hacker-Angriffen und internen Datenlecks. Bei diesem speziellen Sicherheitsversto\u00df \u2013 dem gr\u00f6\u00dften in der Unternehmensgeschichte \u2013 gerieten die Namen, Telefonnummern und Standortdaten von 533 Millionen Nutzern in die H\u00e4nde von Cyberkriminellen. Anschlie\u00dfend ver\u00f6ffentlichten sie die Daten in einem Hacker-Forum, wo jeder sie kostenlos herunterladen konnte. Und zwar nicht nur die Kontodaten der regul\u00e4ren Nutzer, sondern auch die von Pers\u00f6nlichkeiten des \u00f6ffentlichen Lebens<\/a>, darunter EU-Justizkommissar Didier Reynders und der damalige luxemburgische Premierminister (heute Au\u00dfenminister) Xavier Bettel.<\/p>\n

Wenn du vermutest, dass auch du von dem Facebook-Datenleck betroffen bist, kannst du mit unserer Passwort-\u00dcberpr\u00fcfung<\/a> herausfinden, ob dein Passwort durch dieses oder andere Datenlecks kompromittiert wurde.<\/p>\n

Die durchgesickerten Daten bezogen sich auf den Zeitraum 2018\u20132019, obwohl Informationen dar\u00fcber erst im Jahr 2021 aufgetaucht sind. Wie konnte das passieren? Tatsache ist, dass Hacker die Schwachstelle im Jahr 2019 ausnutzten, die Facebook sofort gepatcht<\/a> hatte, dann aber verga\u00df, die Nutzer \u00fcber den Vorfall zu informieren (oder dies absichtlich nicht tat). Infolgedessen sah sich Meta heftiger Kritik und einer saftigen Geldstrafe von 265 Millionen Euro<\/a> (ca. 276 Millionen US-Dollar im Jahr 2021) ausgesetzt.<\/p>\n

Was lehren uns diese Datenlecks?<\/h2>\n

Der rote Faden, der all diese Geschichten verbindet, lautet: \u201eBig Tech hilft denen, die sich selbst helfen.\u201c Mit anderen Worten: Wir sind in erster Linie selbst f\u00fcr die Sicherheit unserer Daten verantwortlich \u2013 nicht Facebook, nicht Yahoo, nicht einmal Regierungen. K\u00fcmmere dich selbst<\/a>\u00a0um deine Benutzerkonten, erstelle oder generiere sichere Passw\u00f6rter und speichere sie in einem sicheren Passwort-Manager<\/a>\u00a0und sei besonders vorsichtig, wenn es um biometrische Daten geht.<\/p>\n