Hintergrund
Michael Bazzell hat in seinem Podcast ein paar Zahlen genannt, die ich interessant fand und daher hier weitergeben möchte.
Michael Bazzell hat bei Mr. Robot die Beratung zu den IT Themen gemacht, ist ein ehemaliger FBI Agent und hat eine Firma im Bereich Datenschutz, Sicherheit und Privatsphäre. Er hilft Menschen des öffentlichen Lebens, wie beispielsweise Hollywood Stars oder Bundesanwälten dabei, wie Sie sich digital schützen können. Sollte jemand einen Kunden digital stalken, dann versucht Michael diesen zu finden (das nennt sich OSINT, Open Source INTelligence. Also wie kann ich jemanden über seine digitale Spur finden, nur mit öffentlich zugänglichen Daten).
Um seine Kunden zu schützen, sammelt er Daten aus dem Internet. Das erlaubt ihm zu erkennen, wenn die Daten eines Kunden, z. B. die private E-Mail-Adresse oder gar die Wohnadresse plötzlich als „gehackt“ im Internet auftauchen. Oftmals wissen die Opfer nicht, dass ihre Daten bekannt sind. So hat er ein Warnsystem und kann Kunden frühzeitig informieren, um beispielsweise ihre Passwörter zu ändern. Außerdem erlaubt ihm das Zusammenführen der Daten aus unterschiedlichen Quellen, Stalker zu finden. In seinem Podcast und seinen Büchern hat er immer mal wieder Beispiele seiner Fälle.
Er hat für seinen Podcast Folge 295 Daten über fünf Tage gesammelt. Das ist wichtig, um die Dimensionen richtig zu verstehen. Dabei sammelt er Daten aus Datenlecks, von Cyberangriffen, veröffentliche Daten, weil jemand das Lösegeld nicht gezahlt hat usw. Um die Daten zu finden, schauen sich seine Angestellten diverse Telegram- und DarkNet-Foren an. Dort sind die Kriminellen meist aktiv, wenn Sie Daten veröffentlichen oder verkaufen wollen. Das macht er seit Jahren, d.h. er hat eine sehr gute Datenbank, ca. 28 TB, mit den Leaks und Hacks von Daten der letzten Jahre. 28 TB!!!
Wichtig noch zu wissen:
Daten, ob E-Mail-Adressen veröffentlich wurden, finden Sie regelmässig bei Have I been Pwned oder dem Hasso Plattner Institut.
Auch hier finden Sie Zahlen (Stand 30.4.2023):
- HPI: Nutzerkonten in deren Datenbank: 13.301.678.581
Geleakte Konten pro Tag: 1.589.334 - HaveIbeenPwned: Nutzerkonten in deren Datenbank: 12.496.783.237
- Bei ca. 8 Mrd Menschen…
Los geht’s!
1. Stealer Logs
Stealer Logs sind Malware, die darauf ausgelegt ist, Anmeldedaten und andere sensible Informationen von kompromittierten Systemen abzugreifen. Sie arbeiten unbemerkt im Hintergrund, sammeln Daten über die Aktivitäten des Benutzers und senden diese an den Server des Angreifers zurück. Bei diesen Daten kann es sich um Anmeldeinformationen, Zahlungskarteninformationen und andere private Daten handeln.
Sie erhalten eine E-Mail, klicken auf den Link, holen sich so einen Virus rein, merken das nicht, er arbeitet im Hintergrund und protokolliert mit oder sucht die Informationen, die er nach Hause schicken möchte. Diese Daten verkaufen die Kriminellen oder aber nutzen sie für weitere Angriffe.
Kriminelle kombinieren die Daten, erpressen Sie, verkaufen die Daten oder machen was immer sie wollen damit.
In den angesprochenen fünf Tagen, in denen Michael all die Foren überprüft hat, hat er 936 GB an komprimierten Stealer Logs geladen. Unkomprimiert waren das 1,77 TB. Diese Daten beinhalten die Stelaer Logs der letzten 30 Tage. Wie groß ist Ihre Festplatte?
In diesen Daten waren 1.683.000 Passwortdateien von 1.683.000 gehackten Maschinen.
Nicht alle Daten sind neue Daten, oftmals verwenden Kriminelle bestehende Daten, kombinieren sie neu und bieten sie an oder veröffentlichen sie. Daher gibt es oft Duplikate oder alte Daten. Natürlich sind in den Daten auch viel Informationen, die für die Use Cases von Michael nicht relevant sind.
51% der Daten waren Duplikate. Von den 1,7 TB der Daten, haben Michael und sein Team nur 5,83GB an eindeutigen, neuen Passwortdateien gefunden. Der Rest waren Duplikate oder aus seiner Sicht nutzlose Informationen.
In diesen 5,83 GB befanden sich 96 Millionen eindeutige Zugangsdaten (Credentials). Diese hat er mit seiner bestehenden Datenbank verglichen und herausgefunden, das es 28 Millionen neue Datensätze gab, die er in sein System übernommen hat.
Das heisst auch, das sind Einträge, die nicht bei HaveIbeenPwned oder anderen zu finden sind. Die hat Michael nämlich schon. 28 Millionen neue Zugangsdaten in fünf Tagen, die noch keiner kennt oder hat.
Neue Zugangsinformationen von einem Drittel der deutschen Bevölkerung in fünf Tagen. Ich war geschockt. Daher dieser Blogeintrag.
2. Combo Lists
So nennt man Daten, die man schon hat, aber mit einem anderen Dienst in Verbindung bringt. Beispiel: In den Foren finden sich Zugangsdaten der E-Mail-Adresse ich@du.de beim Service Service123. Dazu ein Passwort. Nun testen die Kriminellen diese Kombination auch bei Ebay, Facebook, Amazon etc. Finden diese etwas, landen die Daten in sog. Combo Lists.
Tipp: Jeder Service sollte ein anderes Passwort haben. Kein Passwort-Recycling bitte. Sie könnten auch pro Service eine andere E-Mail-Adresse verwenden, aber dazu an einem anderen Tag mehr. Ist schon in Arbeit.
Er hat 1172 Textdateien gefunden, die 208 MB Daten ausmachten. Nicht viel, denken Sie vielleicht. Warten wir es ab.
22% waren Duplikate, 162 MB waren daher einzigartig und neu. Diese 162 MB Textdateien enthielten 2,8 Millionen eindeutige Zugangsdaten. 2.800.000 Konten. Von diesen 2,8 Millionen waren für ihn 400.000 neu und er hat sie in seine Datenbank übernommen.
96 Millionen Stealer Logs
2,8 Millionen Combo Lists
Wenn Sie als neuer OSINT Guru, Schauspielerberater oder sonst was am selben Tag wie Michael angefangen und dieselben Daten die fünf Tage gesammelt hätten, hätten Sie nur durch diese beiden Datentypen fast 100 Millionen eindeutige Daten von Nutzern im Internet. Natürlich hätten Sie die Daten von HaveIbeenPwned geladen und hätten immer noch 28,4 Millionen NEUE Daten in Ihrem System. Über Menschen. Telefonnummern, E-Mail-Adressen und Wohnadressen. Ggf. auch Passwörter oder gehashte Passwörter, also Passwörter, die nicht so einfach zu nutzen sind. Wobei die Hashes von vielen bekannten Passwörtern wie passwort, oder 123456 etc. bekannt sind. Eine Liste der zehn meistgenutzten Passwörter in Deutschland in 2022 hat das HPI veröffentlicht. Das weiß man u.a. daher, da man die Hashes kennt. Aber dazu habe ich mich auch schon geäußert.
3. Data Breaches
Ein Data Breach bedeutet, jemand ist auf kriminelle Weise, durch einen Cyberangriff, eingebrochen und hat Daten abgezogen. Diese liegen meist in sog. Datenbankformaten vor, meist SQL-Dateien. In diesen fünf Tagen hat er 521 neue Datenbanken gefunden. Laut seiner Aussage waren die meisten nicht aus den USA. Natürlich ist er US fokussiert und in den USA passiert auch mehr und wird mehr bekannt, als hier, trotzdem.
Diese 521 Datenbanken entsprachen 18,18 GB Daten. Die durschnittliche Größe einer Datenbank war also 35 MB. Diese 35 MB Daten enthielten für ihn im Durchschnitt 1,7 MB nützliche Informationen. Jede Datenbank hatte im Durchschnitt 3000 Zugangsdaten mit meist gehashten Passwörten, die man also nicht so einfach nutzen kann. Doch die Breaches helfen auch herauszufinden, welche E-Mail-Adresse welchen Dienst benutzt. Aus diesen Dateien kann man mit den bestehenden Informationen ein gutes Profil einer E-Mail-Adresse erstellen. Und damit oft auch einer Person. Wenn die E-Mail markus.mustermann@…. ist, hilft das.
99% der Daten, nachdem die nutzlosen Daten entfernt wurden, waren neu für die Datenbank von Michael.
22% der E-Mail-Adressen hatten sie noch nicht in der Datenbank. Das ist wenig, aber wieviele neue E-Mail-Adressen werden täglich noch angelegt? Die meisten Menschen behalten vor allem ihre privaten E-Mail-Adressen für immer.
Am Ende hat er von den 18,18 GB an gesammelten Daten weniger als 1 GB in seine Datenbank übernommen. In diesen Daten waren 1,5 Millionen neue Credentials.
28,4 Millionen von vorher, plus 1,5 Millionen hier, macht ca. 30 Millionen neue Zugangsdaten. In einer 40 Stunden Arbeitswoche.
4. Data Leaks
Einfach ausgedrückt: Ein Datenleck liegt vor, wenn sensible Daten unwissentlich an die Öffentlichkeit gelangen.
Zum Beispiel waren viele sensible Kundendaten von Online-Shops jahrelang online verfügbar.
Michael’s Team fand ein grosses Leck mit 305 Millionen Einträgen. Dieses enthielt Namen, E-Mail-Adressen, Mobilnummern, Bestellnummern und die Adresse zu Hause. Nicht enthalten waren Passwörter oder gehashte Passwörter.
Dabei waren 68% der E-Mail-Adressen schon im System von Michael und 32% nicht. Nochmal: 32% waren nicht im System, also auch nicht in den o.g. bekannten Online-Systemen.
Oftmals enthalten Leaks nur einen Teil der Informationen, also Handynummer und Name oder Name und Adresse. Alle vier (Name, Adresse, Mobilnummer, E-Mail) zusammen finden sich eher selten. Dadurch war der Datensatz sehr wertvoll. Diese Daten konnte er wieder mit den bestehenden Daten abgleichen, zum Beispiel gleiche Adressen oder Telefonummern, zu denen es dann vielleicht neue E-Mail-Adressen gibt.
Damit werden die Profile immer perfekter. Aber er verkauft sie nicht, sondern nutzt sie zum Schutz seiner Klienten.
5. Ramsomware
Das kennen die meisten: Jemand verschafft sich Zugang zu einem System, meist per Phishing E-Mail, sendet die Daten auf einen Server im Internet, verschlüsselt die Daten auf den Rechnern des Angegriffenen und erpresst ein Lösegeld. Der bekannteste Fall war womöglich die Colonial Pipeline in den USA.
Wenn Firmen das Lösegeld nicht bezahlen, veröffentlichen die Kriminellen einen Teil der Daten, um den Druck zu erhöhen. Bezahlen die Gehackten nicht, dann veröffentlichen oder verkaufen die Hacker die Daten. Oftmals sind das Terabyte von Daten, PDFs, Word-Dokumente, Excel-Dateien und E-Mails.
In den fünf Tagen haben Michael und sein Team 17 neue Opfer gefunden, die nicht bezahlt haben. D. h. nicht, dass es nur 17 Opfer in den fünf Tagen gab. Es sind 17 Opfer deren Daten die Kriminellen in den fünf Tagen veröffentlich haben.
Viele Firmen konvertieren und/oder archivieren ihre Daten im PDF Format. Daher sind viele der Dokumente PDF Dateien. Diese werden über Optical Character Recognition Software in Text umgewandelt. Sie finden also Anschriften, Kontonummern, Rechnungsbeträge, Mahnungen oder andere Informationen in diesen Dokumenten. Wobei der Aufwand dafür sehr viel höher ist. Interessant sind diese Daten natürlich von entsprechenden Firmen, wie Krankenhäusern, Banken, Investment-Firmen aber auch Retailern, weil letztere oft Adressen oder auch Bankkonten enthalten.
In diesem Fall hat er Daten von einem Surgery Center in den USA, also einer medizinischen Institution, die sich auf Operationen spezialisert hat, gefunden. Er fand 374 GB komprimierte Daten, die 682 GB unkomprimiert waren. Sie enthielten Fotos von Patienten. Also Ultraschall-Bilder, CT-Bilder, MRT-Bilder und vieles mehr. Mediznisch sehr sensible Daten. Was sie aber auch fanden waren einescannte Personalausweise und Führerscheine. Insgesamt, sagt er, hat er 17 GB Daten zu seinem System hinzugefügt, ausser den medizinischen Bildern, die ihn nicht interessieren. Die Daten enthielten nur sehr wenige Passwörter.
Fazit
Alle Daten, die Sie im Internet angeben, egal welche, egal bei welchem Anbieter, werden irgendwann öffentlich. Wenn man sich alleine die Zahlen von HPI und HaveIbeenPwned anschaut, dann sind von jedem Erdenbürger fast zwei E-Mail-Adressen mit Passwörtern (gehasht und ungehasht) in der Öffentlichkeit verfügbar.
In nur fünf Tagen haben Michael und sein Team über 30 Millionen neue Credentials, die auch auf den bekannten Webseiten noch nicht bekannt sind, gefunden. Neu für ihn und sein Team, die seit Jahren entsprechende Daten sammeln und überprüfen. Ein kriminelles Start-Up könnte in fünf Tagen über 100 Millionen Credentials sammeln. In fünf Tagen. 100 Millionen.
Das bedeutet, dass E-Mail-Adresse (und/oder Benutzername) und Passwort nicht ausreichen, irgendein Konto zu schützen. Zumindest sollten Sie bei jedem Konto ein anderes Passwort verwenden und diese Passwörter sollten wirklich komplex sein. Ein Passwortmanager wie der kostenlose Bitwarden hilft. Wo immer möglich, sollten Sie die Zwei-Faktor-Authentifizierung aktivieren. Vor allem bei Ihrem primären E-Mail-Anbieter. Sonst sind fast oder alle Ihrer Konten gefährdet. Schauen Sie die Serie zu Passwörtern und auch E-Mails noch mal an.
Das könnte Sie auch zum Nachdenken anregen, wem Sie welche Informationen geben.
- Brauchen Sie auf 20 Medienseiten ein Konto, alle mit derselben E-Mail-Adresse und dem wiederverwendeten Passwort?
- Sollten Sie ggf. doch eine zweite oder dritte E-Mail-Adresse verwenden?
- Sollten Sie vielleicht Mail-Forwarder oder Burner E-Mails verwenden?
- Macht es Sinn, ein Prepaid Handy zu erwerben, als Zweithandy, das Sie für Online Konten verwenden? Ihre Freunde und Familie kennen Ihre eigentliche private Handynummer, aber das Internet und die Kriminellen nicht.
- Ist es für Sie möglich, Ihre Handynummer alle paar Jahre zu wechseln?
Passen Sie auf sich und Ihre Daten auf.