•  

Darknet-Daten + Darknet-Leaks = Erfolgreiche/re Credential-Stuffing-Angriffe

Am 5. Januar 2019 wurden Details eines umfangreichen Leaks bekannt, bei dem neben Journalisten, Youtubern und Künstlern auch hunderte Politiker betroffen waren. Neben geschützen Telefonnummern und Emails wurden teilweise auch sehr persönliche Informationen wie Chatverläufe, Scans von Personalausweisen, Emailverläufe und weitere persönliche, teils brisante Daten veröffentlicht (Neuland 2.0 - Leaks).

Die Links zu den Daten wurden auf einem mittlerweile gelöschten Twitteraccoun bekannt gemacht, die eigentlichen Daten sind heute, am 7.1. größtenteils noch online, da der Haxxer (Mischung aus Hacker und Doxxer) die jeweiligen Informationen auf verschiedenen Portalen hochgeladen hat. 

Die Datensets lassen sich in 2 Bereiche einteilen: Doxxing, also dem Zusammentragen von Informationen, die den Großteil der Betroffenen ausmacht (Email-Adressen, Anschriften, geheime Telefonnummern), und Einbruch in die Accounts und damit Zugang zu weiteren Informationen. Wenn jemand z.B. Zugang zu einem Email-Account hat, so öffnen sich hier weitere Türchen, sowohl was Daten und Zugänge zu weiteren Accounts angeht, als auch die Möglichkeit, den so gehackten mit Malware über eine Spearfishing-Email zu infizieren.

Die nachfolgende Analyse beschäftigt sich mit dem 2. Teil, also den Ursachen, die es dem Angreifer ermöglicht hat, in die Accounts einzubrechen. 

Abgleich der Email-Adressen mit Leaks im Darknet

Wir haben uns am 4.1. die Text-Dateien der Datensets angesehen und sehr schnell festgestellt, dass ein Gros der veröffentlichten Daten aus Online-Accounts stammen (Emailarchive, Chatverläufe, Scans von Dokumenten, Photos, Smartphone-Daten). Unsere Vermutung war, dass der Angreifer Zugriff auf Daten großer Webseiten-Hacks (sog. Darknet-Leaks) hatte, in denen über 5 Milliarden Unique Emails und Passwörter aus mehr als 200 Hacks und Leaks zu finden sind. Mit diesen Daten wäre dann ein Credential-Stuffing-Angriff möglich.

Um diese Theorie zu überprüfen, haben wir die Email-Adressen aus den Neuland 2.0 - Leaks extrahiert und gegen eine Identity-Theft-API getestet, um zu sehen, ob die Adressen in Leaks auftauchen. 

Bitte unbedingt hier weiterlesen.

Opens external link in new windowhttps://zero.bs/neuland-20-leaks.html 

Der Text wurde uns freundlicherweise von zeroBS zur Verfügung gestellt.

 

Diesen Artikel empfehlen