Russische Hacker haben Online-Profile gleich milliardenfach abgegriffen. Die Security-Firma, die das Leck publik machte, will Nutzer nun für die Gewissheit, ob ihre Daten kompromittiert sind, zur Kasse bitten.
Die Meldung des wohl bisher größten Identitätsdiebstahls im Internet [1] durch Hold Security aus Milwaukee hat eingeschlagen wie eine Bombe: Sage und schreibe 1,2 Milliarden Profildaten sollen russische Hacker erbeutet haben.
Dass die Nachricht gerade jetzt auftaucht, ist wohl alles andere als ein Zufall, denn noch bis Donnerstag läuft mit der Black Hat in Las Vegas eine der weltweit renommiertesten Hacker-Konferenzen der Welt. So wollte Hold Security dann auch prompt aus dem Scoop Kapital schlagen [2] und bot zeitgleich mit der Veröffentlichung in der New York Times einen Dienst an, der Seitenbetreiber gegen eine jährliche Gebühr von 120 US-Dollar warnt, wenn ihre Webpräsenz zu einer der 420.000 in dem Riesenleck betroffenen zählt.
Wer Gewissheit will, muss zahlen
Breach Notification Service nennt Hold dieses Angebot. Kunden sollen in Zukunft gewarnt werden, falls ihre Daten in einem von der Sicherheitsfirma aufgedeckten Datenklau auftauchen.
Aber natürlich warb Hold auch damit, dass potentielle Opfer aus dem gerade aufgedeckten Riesenleck ebenfalls gewarnt werden würden. Und das hatte die Firma zuvor möglichst bedrohlich erscheinen lassen: Sowohl die größten amerikanischen Unternehmen des Fortune 500 als auch „jede andere Webseite, welche die Hacker in die Finger bekommen konnten“ sei bedroht. Und die meisten davon hätten immer noch offene Sicherheitslücken. Nachdem ein Journalist des Wall Street Journal über Twitter Fragen zu dem Dienst gestellt hatte [3], verschwand die Beschreibung des Produktes von der Hold-Security-Seite.
Angesichts der Versuche von Hold Security, mit dem Riesenleck Geld zu machen, muss sich die Firma fragen lassen, ob sie die Ergebnisse der eigenen Untersuchung nicht übertrieben dargestellt hat. Ohne Zugriff auf die Rohdaten ist die tatsächliche Brisanz des Falls schwer einzuschätzen. Hat Hold tatsächlich alle Dubletten in den Daten entfernt und wie alt sind die Zugangsdaten? Ist vielleicht ein altes Passwort betroffen, das ich schon beim letzten Datenleck geändert hatte?
Sicher ist nur, dass Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Hasso-Plattner-Institut mit solchen Daten deutlich verantwortungsvoller umgehen. Sie ermöglichen Opfern kostenlos eine Überprüfung ihrer Zugangsdaten.
BSI arbeitet „mit Hochdruck“ an der Aufklärung
Beim BSI prüft man derzeit „mit Hochdruck zusammen mit den zuständigen deutschen und amerikanischen Behörden, ob deutsche Internetnutzer und Online-Anbieter von dem Vorfall betroffen sind“, erklärte die Behörde in einer Stellungnahme. Noch hat das BSI keine Bestätigung dafür, dass tatsächlich 1,2 Milliarden Identitäten betroffen sind.
Sollten die Angaben zutreffen, sei mit hoher Wahrscheinlichkeit davon auszugehen, dass deutsche Nutzer betroffen seien, meint man beim BSI. Ohne die Daten von Hold kann aber auch das BSI diese nicht informieren. (fab [4])