24 Milliarden Datensätze offengelegt: Warum Ihr VPN Sie nicht retten wird

24 Milliarden Datensätze offengelegt: Warum Ihr VPN Sie nicht retten wird

Forscher von Cybernews haben eine der größten ungesicherten Datenbanken entdeckt, die jemals gefunden wurde. Sie enthält 24 Milliarden Datensätze mit Benutzernamen, E-Mail-Adressen, Klartext-Passwörtern und Anmelde-URLs. Dieser Vorfall, bei dem Milliarden von Anmeldedaten offengelegt wurden, ist kein Unternehmens-Hack im herkömmlichen Sinne. Es handelt sich um ein zusammengestelltes, offen zugängliches Lager gestohlener Anmeldedaten, das ungeschützt online steht und jedem, der über die entsprechenden Werkzeuge verfügt, zur Ausbeutung bereitsteht. Wenn Sie denken, Ihr VPN-Abonnement schützt Sie vor dieser Art von Datenleck, sollten die Details dieser Entdeckung zu einem ernsthaften Umdenken anregen.

Was die 24-Milliarden-Datensatz-Datenbank tatsächlich enthält

Das Ausmaß dieser Datenbank ist schwer zu erfassen. 24 Milliarden Datensätze bedeuten nicht, dass 24 Milliarden verschiedene Personen betroffen waren. Zusammengestellte Leak-Datenbanken wie diese fassen typischerweise Daten aus Hunderten von separaten Sicherheitsverletzungen über viele Jahre hinweg zusammen, sodass die Zugangsdaten derselben Person dutzende Male in verschiedenen Einträgen auftauchen können.

Was diese spezielle Offenlegung besonders gefährlich macht, ist das Vorhandensein von Klartext-Passwörtern. Viele Datenbanken speichern Passwörter als Hash-Werte, was zumindest eine Hürde darstellt, bevor die Daten genutzt werden können. Klartext-Passwörter erfordern keinerlei Entschlüsselungsaufwand. Ein Angreifer kann einen Benutzernamen nehmen, ihn mit dem zugehörigen Passwort kombinieren und sofort versuchen, sich anzumelden.

Die Datenbank enthielt auch Anmelde-URLs, also die spezifischen Webadressen, die mit jedem Satz von Zugangsdaten verknüpft sind. Dieses Detail wird oft unterschätzt. Anstelle einer Liste von E-Mail-Passwort-Kombinationen, die ein Angreifer erst noch dem richtigen Dienst zuordnen muss, liefert diese Datenbank eine direkte Karte: Hier ist das Konto, hier ist die Anmeldeseite, und hier ist das Passwort. Dieses Maß an Genauigkeit reduziert den Aufwand zwischen einem geleakten Datensatz und einer erfolgreichen Kontoübernahme drastisch.

Wie Credential Stuffing geleakte Passwörter in Kontoübernahmen verwandelt

Credential Stuffing ist die primäre Methode, mit der Datenbanken wie diese zu Waffen werden. Automatisierte Werkzeuge probieren Benutzername-Passwort-Kombinationen in enormer Geschwindigkeit durch und testen sie gleichzeitig auf Anmeldeseiten von Hunderten von Diensten. Da viele Menschen Passwörter für verschiedene Konten wiederverwenden, können Zugangsdaten, die von einem Dienst geleakt wurden, Konten auf völlig anderen Plattformen entsperren.

Das Vorhandensein von Anmelde-URLs in dieser Datenbank macht selbst diesen automatisierten Schritt effizienter. Angreifer müssen nicht raten, welche Dienste ein Opfer nutzt. Die Daten verraten es ihnen. Ein einziger offengelegter Datensatz könnte zu einem kompromittierten Bankkonto, E-Mail-Postfach oder einem Firmen-VPN-Zugang führen, wenn das Opfer dasselbe Passwort auch anderswo verwendet hat.

Das ist kein theoretisches Risiko. Credential-Stuffing-Angriffe wurden mit Kontoübernahmen bei Finanzinstituten, Streaming-Diensten, E-Commerce-Plattformen und Unternehmenssystemen in Verbindung gebracht. Die Menge der verfügbaren Zugangsdaten ist so stark angewachsen, dass selbst Angreifer mit bescheidenen Ressourcen diese Kampagnen in großem Maßstab durchführen können.

Es ist auch erwähnenswert, dass sich Social-Engineering-Techniken parallel zum Diebstahl von Anmeldedaten weiterentwickeln. Angreifer kombinieren zunehmend geleakte Daten mit gezielten Phishing-Kampagnen. Kennt ein Angreifer die E-Mail-Adresse, den zugehörigen Dienst und das Passwort eines Opfers, hat er genug Kontext, um überzeugende Folgeangriffe zu gestalten, darunter KI-gestützte Phishing-Methoden, die immer schwerer von legitimen Mitteilungen zu unterscheiden sind.

Warum ein VPN allein Sie nicht vor dieser Bedrohung schützt

Ein VPN verschlüsselt Ihren Internetverkehr und verschleiert Ihre IP-Adresse. Es ist ein wirklich nützliches Datenschutzwerkzeug, um Daten während der Übertragung zu schützen, insbesondere in öffentlichen Netzwerken. Doch die Bedrohung durch diese 24-Milliarden-Datensatz-Datenbank hat nichts mit dem Abfangen von Datenverkehr zu tun.

Ihre Zugangsdaten wurden nicht während der Übertragung über ein Netzwerk gestohlen. Sie wurden einem Dienst entnommen, bei dem Sie sich angemeldet hatten, unsicher gespeichert und schließlich in einer zusammengestellten Datenbank konsolidiert. Wenn diese Datenbank für Angreifer verfügbar wird, spielt Ihr VPN keine Rolle mehr. Der Schaden ist bereits auf der Speicherebene entstanden, nicht auf der Übertragungsebene.

Dies ist ein entscheidender Unterschied, der in der Vermarktung und Diskussion von VPNs oft untergeht. Ein VPN kann keine Daten schützen, die ein Drittanbieterdienst unsicher gespeichert hat. Es kann Credential-Stuffing-Angriffe nicht verhindern, die Passwörter verwenden, die Sie vor Jahren erstellt haben. Es kann Sie nicht warnen, wenn Ihre E-Mail in einem geleakten Datensatz auftaucht. Das sind Aufgaben für ganz andere Werkzeuge.

Sofortmaßnahmen: MFA, Passwort-Manager und Lecküberwachung

Die gute Nachricht ist, dass die Abwehrmaßnahmen gegen Credential Stuffing gut verstanden und zugänglich sind. Die Herausforderung besteht darin, dass die meisten Menschen sie noch nicht vollständig umgesetzt haben.

Aktivieren Sie die Multi-Faktor-Authentifizierung überall dort, wo sie angeboten wird. Selbst wenn ein Angreifer Ihren korrekten Benutzernamen und Ihr Passwort hat, erfordert MFA einen zweiten Verifizierungsschritt, den er mit ziemlicher Sicherheit nicht ausführen kann. Authentifizierungs-Apps sind sicherer als SMS-basierte Codes, aber beide Optionen sind ungleich besser als überhaupt kein MFA. Priorisieren Sie Ihr E-Mail-Konto, Finanzkonten und alle Dienste, die Zahlungsinformationen speichern.

Verwenden Sie einen Passwort-Manager, um einzigartige Passwörter zu generieren und zu speichern. Die Wiederverwendung von Passwörtern ist es, die einen einzelnen geleakten Datensatz in eine Kompromittierung mehrerer Konten verwandelt. Ein Passwort-Manager nimmt Ihnen die kognitive Last ab, sich für jeden Dienst einzigartige, komplexe Passwörter zu merken. Wenn Ihre Zugangsdaten aus einem Leck kein anderes Konto entsperren können, ist der Schaden durch eine einzelne Offenlegung begrenzt.

Überprüfen Sie, ob Ihre Zugangsdaten in bekannten Datenlecks aufgetaucht sind. Mehrere seriöse Leck-Überwachungsdienste ermöglichen es Ihnen, Ihre E-Mail-Adresse einzugeben und zu sehen, ob sie in bekannten geleakten Datensätzen vorkommt. Viele Passwort-Manager bieten diese Überwachung mittlerweile als integrierte Funktion an. Diese Prüfung durchzuführen ist eine nützliche Grundlage, um Ihre aktuelle Gefährdung zu verstehen.

Überprüfen Sie Ihre bestehenden Konten. Suchen Sie nach Diensten, die Sie nicht mehr nutzen, und löschen Sie diese Konten, anstatt sie einfach aufzugeben. Inaktive Konten mit wiederverwendeten Passwörtern sind ein Sicherheitsrisiko. Weniger aktive Konten bedeuten eine kleinere Angriffsfläche.

Was das für Sie bedeutet

Die Milliarden von Zugangsdaten, die in diesem Datenleck offengelegt wurden, stellen eine konkrete, gegenwärtige Bedrohung dar und kein hypothetisches zukünftiges Risiko. Wenn Sie Konten haben, die aus der Zeit vor der Einführung guter Passwort-Hygiene stammen, könnten diese alten Zugangsdaten bereits in Datenbanken wie dieser vorhanden sein.

Die richtige Reaktion ist nicht, die Nutzung eines VPNs aufzugeben oder in Panik zu verfallen. Es geht darum zu erkennen, dass Privatsphäre und Sicherheit ein Bündel sich ergänzender Werkzeuge erfordern: ein VPN für den Verkehrsschutz, einen Passwort-Manager für die Zugangsdaten-Hygiene, MFA für die Zugangskontrolle und eine Leck-Überwachung für das Bewusstsein. Kein einzelnes Werkzeug deckt alle Aspekte ab.

Nehmen Sie sich diese Woche dreißig Minuten Zeit, um Ihre Sicherheitseinrichtung zu überprüfen. Aktivieren Sie MFA für Ihre sensibelsten Konten, führen Sie eine Leck-Prüfung für Ihre wichtigsten E-Mail-Adressen durch, und überprüfen Sie, ob Sie immer noch Passwörter über verschiedene Dienste hinweg wiederverwenden. Diese Schritte werden mehr zum Schutz Ihrer Konten vor den Folgen einer 24-Milliarden-Datensatz-Datenbank beitragen als jedes einzelne Datenschutz-Tool für sich allein.