Hacker veröffentlicht Daten von 39 Millionen Nutzerkonten

Sie stammen aus Datenbanken von mehr als 110 unterschiedlichen Servern. Alle Server waren ohne Passwortabfrage über das Internet erreichbar. Insgesamt erbeutet der Hacker GhostShell rund 6 GByte Daten.

Ein Hacker, der sich selbst GhostShell nennt, hat Details zu schätzungsweise 39 Millionen Nutzerkonten auf Pastebin veröffentlicht. Sie stammen ihm zufolge aus einer unbekannten Zahl von Datenbanken, die über 110 unterschiedliche Server frei über das Internet erreichbar waren – ohne Abfrage eines Nutzernamens oder Passworts.

Hacker (Bild: Shutterstock)Auf vielen der betroffenen Server war die Datenbanksoftware MongoDB installiert. GhostShell spürte die frei zugänglichen Systeme mithilfe von Port-Scanning-Tools auf sowie der Suchmaschine Shodan.io, die mit dem Internet verbundene Geräte findet. Die Daten – unkomprimiert rund 6 GByte – veröffentlichte er, um auf die schlecht konfigurierten Systeme aufmerksam zu machen.

Sein Ziel sei es gewesen, „das Bewusstsein dafür zu schärfen, was passiert, wenn man sich entscheidet, nicht einmal ein Root-Passwort festzulegen oder auf offene Ports zu prüfen“, schreibt der Hacker auf Pastebin. Viele Administratoren hielten es nicht für nötig, ihre neu konfigurierten Server auf offene Ports zu prüfen, was bedeute, dass jeder ohne Eingabe eines Nutzernamens und Passworts auf die Daten zugreifen könne.

„Das bedeutet, dass jeder das Netzwerk infiltrieren und interne Daten ungestört manipulieren kann“, so GhostShell weiter. „Man muss sich nicht einmal höhere Rechte verschaffen, man verbindet sich einfach und hat umfassenden Zugriff. Man kann neue Datenbanken anlegen, vorhandene löschen, Daten verändern und so viel mehr.“

Unklar ist, wer die gehackten Datenbanken unterhält und wofür sie angelegt wurden. Viele der Datenbanken werden jedoch bei bekannten Cloud-Anbietern wie Amazon Web Services und Rackspace gehostet.

Einige der Datensätze enthalten vollständige Namen, Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern, Jobtitel, Hochzeitsdaten und Angaben zum Geschlecht. Es fanden sich aber auch die Namen von Facebook- und Twitter-Profilen, Profilbilder und sogar Tokens, um sich bei diesen Diensten anzumelden. Auch vollständige E-Mail-Nachrichten erbeutete der Hacker, einige davon als „vertraulich“ eingestuft.

ANZEIGE

Samsung SSD 950 PRO im Test

Samsung bietet mit der SSD 950 PRO die derzeit schnellste SSD für das Endkundensegment. In welchen Bereichen das auf V-NAND-Speicher und einer PCI-Express-Schnittstelle mit NVMe-Protokoll basierende Modell Vorteile gegenüber herkömmlichen SSDs und HDDs bietet, zeigt der ZDNet-Test.

In den Datenbanken wurden aber auch Metadaten wie IP-Adressen, Standortdaten und Informationen über die verwendeten Geräte und Browser gespeichert. Viele Passwörter waren verschlüsselt – einige davon ließen sich aber mithilfe von frei erhältlichen Online-Tools knacken. Es liegen aber auch Kombinationen von Nutzernamen oder E-Mail-Adressen und unverschlüsselten Passwörtern vor, die sich möglicherweise für weitere Angriffe nutzen lassen.

Einer Analyse des Sicherheitsforschers Lee Johnstone zufolge sind von dem Diebstahl auch Mitglieder der US-Regierung, des FBI, des Heimatschutzministeriums sowie Mitarbeiter großer IT-Firmen wie Apple, IBM und Microsoft betroffen. In einem Fall äußerte sich inzwischen der Anbieter, auf dessen Server eine der gestohlenen Datenbanken gehostet wird. „Die fragliche Datenbank wird auf einem selbst verwalteten Server gehostet, was bedeutet, dass der Kunde für die Verwaltung der gesamten Infrastruktur verantwortlich ist. Wenn der Kunde Daten auf eine öffentliche Website hochlädt, dann ist er verantwortlich“, sagte ein Sprecher von Webair.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Datendiebstahl, Hacker, Privacy, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Hacker veröffentlicht Daten von 39 Millionen Nutzerkonten

Kommentar hinzufügen
  • Am 6. Juni 2016 um 12:46 von Gast

    …immer diese selbsternannten Ritter des Rechts, die andere Menschen mit deren Daten öffentlich stellen…aber in der guten Sache, nicht wahr?
    Wer hat die berufen? Keiner…die sich selbst..
    …das sollte Staatsaufgabe sein, für Sicherheit zu Sorgen, auch im Netz…und auch wenn es jetzt bei weitem noch nicht so ist, aber DAS sollte das Ziel sein, und daran muß jeder Staat arbeiten…alles andere führt in Chaos und Anarchie, auch wenn es noch so gut gemeint ist…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *