Passwörter von 4,9 Millionen Gmail-Konten veröffentlicht

SicherheitSoftwareZusammenarbeit
Passwort-Sicherheit (Bild: Shutterstock)

Laut Google gibt es keine Hinweise darauf, dass die Passwörter bei dem Konzern erbeutet wurden. Die Adressen in der in einem russischen Forum aufgetauchten Datenbank könnten also von Phishing-Angriffen oder erfolgreichen Angriffen auf andere Sites stammen. Darauf weist auch hin, dass vergleichbare Listen mit Nutzerdaten der russischen Angebote Mail.ru und Yandex veröffentlicht wurden.

In einem russischen Forum sind rund 4,93 Millionen Gmail-Adressen mit den dazugehörigen Passwörtern veröffentlicht worden. Google bestreitet allerdings, dass diese Daten von einem erfolgreichen Angriff auf seine Systeme stammen. Die Datenbank wurde im russischsparchigen Forum Bitcoin Security veröffentlicht. Dort geht es in erster Linie um die virtuelle Währung und deren Sicherheit.

Passwörter von 4,9 Millionen Gmail-Konten wurden in russischem Forum veröffentlicht

Die Administratoren des Forums haben die Passwörter wieder entfernt, allerdings die Nutzernamen einsehbar gelassen. Demnach sind in der Liste vor allem englische, spanische und russische Nutzer enthalten. Sie scheinen außerdem oft älteren Datums und mit inzwischen geänderten Passwörtern kombiniert zu sein.

Laut Forumnutzer “tvskit”, der die Datei mit den Anmeldedaten veröffentlichte, sind 60 Prozent der Passwörter gültig. Möglicherweise wurden für die Veröffentlichung ältere Listen zusammengefasst, die auf Phishing-Angriffen oder Hacks anderer Sites basieren, bei denen sich Nutzer mit ihren Gmail-Adressen angemeldet hatten. Russischen Medienberichten zufolge wurden auch ähnliche Listen mit Anmeldedaten der in Russland viel genutzten Internetdienste Mail.ru sowie Yandex veröffentlicht. Davon seien 4,66 beziehungsweise 1,26 Millionen Konten betroffen.

Das Hasso-Plattner-Institut (HPI) hat im Mai mit dem HPI Identity Leak Checker auf seiner Website ein kostenlos nutzbares Tool zur Verfügung gestellt, mit dem Nutzer durch Eingabe ihrer E-Mail-Adresse überprüfen können, ob dazu weitere Daten im Netz kursieren.

Anwender des HPI Identity Leak Checker bekommen anschließend eine Benachrichtigung, ob Daten wie Passwörter, Vor- und Zuname, Anschriften oder Geburtstage öffentlich zugänglich sind und missbraucht werden könnten. Die Benachrichtigungs-E-Mail führt diese allerdings nicht im Detail auf, sondern zeigt nur, welche Art von Nutzerdaten gefährdet sein könnten. Laut HPI-Direktor Professor Christoph Meinel soll der HPI Identity Leak Checker eine Art Warnsystem für gestohlene und im Internet kursierende Identitätsdaten sein und “die Internetnutzer darauf aufmerksam machen, dass im Umgang mit persönlichen Daten dringend mehr Achtsamkeit geboten ist.”

Ein weiterer Dienst des HPI erlaubt Nutzern ihre Rechner kostenlos auf erkennbare Schwachstellen zu überprüfen. Die Selbstdiagnose-Seite erkennt, welche Browser-Version genutzt wird – inklusive der gängigen Plug-ins sowie weiterer Software auf dem Gerät. Anschließend sucht sie nach bekannten Schwachstellen. Als Ergebnis erhalten Nutzer hier eine Liste mit dem Gefährlichkeitsgrad der gefundenen Sicherheitslücken.

Die Datenbank umfasst momentan rund 61.000 Informationen zu Sicherheitslücken in knapp 158.000 Programmen. Sie aktualisiert sich dreimal am Tag. Nutzer, die sich registriert haben, können auch eine Liste mit verwendeter Software zusammenstellen und diese von der HPI-Datenbank regelmäßig auf Schwachstellen überprüfen lassen. Optional erhalten sie eine Benachrichtigung über neue Schwachstellen in den Programmen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen bei ITespresso.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen