Hacker veröffentlicht Daten von 39 Millionen Nutzerkonten

Ein Hacker, der sich selbst GhostShell nennt, hat Details zu schätzungsweise 39 Millionen Nutzerkonten auf Pastebin veröffentlicht. Sie stammen ihm zufolge aus einer unbekannten Zahl von Datenbanken, die über 110 unterschiedliche Server frei über das Internet erreichbar waren – ohne Abfrage eines Nutzernamens oder Passworts.

Auf vielen der betroffenen Server war die Datenbanksoftware MongoDB installiert. GhostShell spürte die frei zugänglichen Systeme mithilfe von Port-Scanning-Tools auf sowie der Suchmaschine Shodan.io, die mit dem Internet verbundene Geräte findet. Die Daten – unkomprimiert rund 6 GByte – veröffentlichte er, um auf die schlecht konfigurierten Systeme aufmerksam zu machen.

Sein Ziel sei es gewesen, „das Bewusstsein dafür zu schärfen, was passiert, wenn man sich entscheidet, nicht einmal ein Root-Passwort festzulegen oder auf offene Ports zu prüfen“, schreibt der Hacker auf Pastebin. Viele Administratoren hielten es nicht für nötig, ihre neu konfigurierten Server auf offene Ports zu prüfen, was bedeute, dass jeder ohne Eingabe eines Nutzernamens und Passworts auf die Daten zugreifen könne.

„Das bedeutet, dass jeder das Netzwerk infiltrieren und interne Daten ungestört manipulieren kann“, so GhostShell weiter. „Man muss sich nicht einmal höhere Rechte verschaffen, man verbindet sich einfach und hat umfassenden Zugriff. Man kann neue Datenbanken anlegen, vorhandene löschen, Daten verändern und so viel mehr.“

Unklar ist, wer die gehackten Datenbanken unterhält und wofür sie angelegt wurden. Viele der Datenbanken werden jedoch bei bekannten Cloud-Anbietern wie Amazon Web Services und Rackspace gehostet.

Einige der Datensätze enthalten vollständige Namen, Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern, Jobtitel, Hochzeitsdaten und Angaben zum Geschlecht. Es fanden sich aber auch die Namen von Facebook- und Twitter-Profilen, Profilbilder und sogar Tokens, um sich bei diesen Diensten anzumelden. Auch vollständige E-Mail-Nachrichten erbeutete der Hacker, einige davon als „vertraulich“ eingestuft.

In den Datenbanken wurden aber auch Metadaten wie IP-Adressen, Standortdaten und Informationen über die verwendeten Geräte und Browser gespeichert. Viele Passwörter waren verschlüsselt – einige davon ließen sich aber mithilfe von frei erhältlichen Online-Tools knacken. Es liegen aber auch Kombinationen von Nutzernamen oder E-Mail-Adressen und unverschlüsselten Passwörtern vor, die sich möglicherweise für weitere Angriffe nutzen lassen.

Einer Analyse des Sicherheitsforschers Lee Johnstone zufolge sind von dem Diebstahl auch Mitglieder der US-Regierung, des FBI, des Heimatschutzministeriums sowie Mitarbeiter großer IT-Firmen wie Apple, IBM und Microsoft betroffen. In einem Fall äußerte sich inzwischen der Anbieter, auf dessen Server eine der gestohlenen Datenbanken gehostet wird. „Die fragliche Datenbank wird auf einem selbst verwalteten Server gehostet, was bedeutet, dass der Kunde für die Verwaltung der gesamten Infrastruktur verantwortlich ist. Wenn der Kunde Daten auf eine öffentliche Website hochlädt, dann ist er verantwortlich“, sagte ein Sprecher von Webair.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.