Technik-Update

Übles Datenleck? Eine halbe Million Zoom-Accounts gehackt

Sie ist schon jetzt ein Gewinner der Corona-Krise: die Videochat-Software Zoom. Jetzt sind eine halbe Million User Accounts von Unbekannten gehackt worden.

Videochat-Software Zoom
Videochat-Software Zoom Foto: Getty Images / Yuriko Nakao
Auf Pinterest merken

Aufschwung durch Corona-Pandemie

Aktuell geistern die Nutzerdaten von etwa 500.000 gehackten Zoom-Accounts durchs Netz, frei zugänglich für Jedermann. Zoom, das ist eine durch die Corona-Pandemie global bekannt gewordene Videochat-Software, die massiv vom "social distancing" dieser Tage profitiert hat.

Anfang April 2020 ist einer Sicherheitsfirma in Singapur aufgefallen, dass gehackte Zoom-Accounts in den dunklen Ecken des Internets angeboten wurden.

Offensichtlich wurde nicht einmal Geld dafür verlangt. Die kleinen Chargen von knapp je 300 Accounts dienten wohl nur dem Anfüttern von Interessenten, um dann größere Deals abzuschließen.

Video Platzhalter
Video: ShowHeroes

Daten echt, aber trotzdem kein Leck

Ein US-amerikanisches Tech-Magazin ging der Sache nach und kontaktierte einige der gehackten User, die die Echtheit der Daten bestätigten. Allerdings gaben diese auch an, dass die Login-Daten recht veraltet seien.

Das spricht dafür, dass kein Datenleck bei Zoom vorliegt, sondern die Datensätze vielmehr durch eine sogenannte Credential-Stuffing-Attacke erbeutet wurden.

Dabei handelt es sich nicht um das aktive Hacken bestimmter Datenbanken, sondern das Ausprobieren bereits bekannter Login- und Passwort-Kombinationen bei anderen Diensten.

Diese Methode hat oft Erfolg, weil User dazu neigen, für viele, wenn nicht sogar jeden Dienst im Netz die gleichen Daten zu verwenden.

Fazit

Der vorliegende Fall zeigt zwei Sachen auf. Erstens hat es bei dem Hersteller der Video-Software keinen aktiven Hack gegeben, die Datenbank-Integrität ist also gewahrt. Zweitens scheint es unabdingbar für Nutzer von Internet-Dienstleistungen, für jeden angelegten Account ein anderes Passwort zu benutzen.

Das wird zugegebenermaßen schnell unübersichtlich. Abhilfe können hier sogenannte Passwort-Tresore schaffen, in den man alle unterschiedlichen Passwörter hinterlegt und von wo aus sie automatisch abgerufen und in die Anmeldemasken eingetragen werden.

Den Tresor selbst schützt man widerum mit einem Master-Passwort. Nur dieses muss man sich auf diese Weise letztlich merken.

Wer wissen möchte, ob seine Login-Daten im Netz kursieren, also gehackt wurden, kann dies hier überprüfen. Eine zweite Überprüfungsmöglichkeit findet sich hier (Englisch).