Es gab einmal einen Games-Designer, der mit einem kleinen Fehler ein Wort kreierte, das bis heute den Netz-Jargon prägt: Statt „You've been owned“ (in etwa: „Du wurdest besiegt“) zu schreiben, vertippte er sich und schrieb „You've been pwned“. Seitdem hat sich das Wort pwned zu einem allgemeinen Begriff entwickelt, der beschreibt, wie man von einem Gegner oder einer Situation – häufig digitaler Natur – dominiert wird. Das betrifft auch E-Mail-Hacks und große Daten-Leaks, denen zum Beispiel die Nutzer des Seitensprung-Portals Ashley Madison zum Opfer fielen.
Wer sich nun fragt, ob er selbst mit seiner E-Mail-Adresse gepwned wurde, kann bei Troy Hunt nachfragen. Der 39-jährige australische Sicherheits-Spezialist spürt bedeutende Sicherheitslücken auf und checkt, ob und welche E-Mail-Accounts gehackt wurden. Seine Website Have I Been Pwned enthält mehr als eine Milliarde Details von gehackten Accounts, von Geburtsdaten der Nutzer über Passwörter bis hin zu E-Mail-Adressen. Seit 2013 hat sie außerdem Daten von Unternehmen wie Adobe (152 Millionen E-Mail-Adressen), Ashley Madison (30 Millionen E-Mail-Adressen) und Matel (27 Millionen E-Mail-Adressen) gesammelt.
Jeder kann seine E-Mail-Adressen durch das System jagen, um herauszufinden, ob ein Hacker-Angriff stattgefunden hat. Laut Hunt sind mehr als 350.000 Menschen bei seinem Portal angemeldet, um laufend über die Sicherheit ihrer Accounts informiert zu werden. Im Dezember 2015 veröffentlichte Hunt die rund fünf Millionen vom Hack des Spielzeugherstellers VTech betroffenen Nutzerkonten auf seiner Website. Und im Februar 2016 deckte er Sicherheitslücken in der Software von Nissans Elektroauto Leaf auf.
WIRED UK: Wie kam es zu Have I Been Pwned?
Troy Hunt: Ich hatte schon Analysen zu einer Menge von Daten-Lecks durchgeführt und eines der Dinge, die ich dabei beobachtete, war der Umstand, dass dieselben Individuen plötzlich in verschiedenen Datensätzen auftauchten. Sobald sie mehr als einmal präsent waren, war es möglich, ein reichhaltiges Profil dieser Personen zu konstruieren. Du konntest einen Betroffenen des Adobe-Hacks nehmen und hattest sein Passwort. Dann konntest du in anderen Datensätzen schauen, ob noch mehr Informationen herauszuholen waren, etwa der Mädchenname der Mutter oder das Geburtsdatum. Dadurch entstanden Muster. Ich fragte mich, ob den Menschen wirklich bewusst war, wie weit die Enthüllung ihrer Daten ging.
WIRED: Wie gelangen Sie jedes Mal wieder an die Nutzerkonten?
Hunt: Ich betreibe den Service schon mehrere Jahre und habe einiges darüber gelernt, wie die Informationen verteilt werden: Hacker horten die Daten, um dann mit ihnen zu handeln. Es ist wie ein Kartenspiel, in dem getauscht wird.
WIRED: Machen Menschen Profit, indem sie gehackte Daten verkaufen?
Hunt: Ja, es existieren unzählige Website, die Datensätze schlicht zum Kauf anbieten, und das nicht nur im Darknet. Die andere, für mich spannendere Seite ist der Datenhandel. Ich finde, da sind ausschließlich Pfuscher am Werk: Sie schauen sich einfach gerne um, um einzuschätzen, mit welchem Material sie es zu tun haben, oft mit hochsensiblen Informationen. Ich habe das Gefühl, dass sehr viele sehr junge Menschen in den Handel involviert sind. Nach dem VTech-Hack wurde etwa ein 21-Jähriger inhaftiert. Diese Kids sind sich der Konsequenzen ihres Handelns womöglich gar nicht bewusst.
WIRED: Sehen Sie Trends im Hacking?
Hunt: Es haut mich um, wie häufig sich diese Vorfälle ereignen und wie ernstzunehmend die Daten sind. Viel erschreckender ist jedoch die Anzahl der Fälle, die nicht an die Öffentlichkeit gelangen. Eine Unmenge an Websites, speziell mit der freien, quelloffenen Software phpBB, sind kompromittiert und halten Hunderttausende oder gar Millionen Datensätze bereit. Es gibt so viele Fälle von Daten-Hacks, von denen die beteiligten Organisationen keine Ahnung haben, während sie innerhalb der Händlerkreise ein großes Thema und bestens bekannt sind.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
WIRED: Wie kann es sein, dass die Website-Betreiber davon nichts erfahren?
Hunt: Viele von ihnen sind dafür nicht gut genug ausgerüstet. Das verstehe ich zum Teil. Wenn wir uns jedoch VTech Toys anschauen, mit seinen Milliardenumsätzen, entsteht der Eindruck, dass sie nicht genug in die Sicherheit und in ihr generelles IT-Know-How investiert haben.
WIRED: Wie haben Sie die Daten des VTech-Hacks überprüft?
Hunt: Als sie mir von einem Journalisten zugespielt wurden, war nicht klar, woher sie kamen. Ich war ziemlich misstrauisch, weshalb ich sie genauer prüfen wollte. Dafür schaute ich mir meine Abonnenten-Liste an, kontaktierte 20 der neuesten Abonnenten, die VTech genutzt hatten, und bat sie um ihre Mithilfe bei der Verifizierung. Ausnahmslos jeder schrieb mir zurück und sagte: „Ich bin bei VTech angemeldet und die gehackten Daten enthalten meine korrekten Adressdetails.“ Betrachtet man die Online-Präsenzen der Unternehmen, ist es nicht gerade ungewöhnlich, dass ein solches Leck entsteht. VTechs Webauftritt konnte ich gleich ansehen, dass kein HTTPS im Login verwendet wurde. Ein unverzeihlicher Fehler.
WIRED: Sie haben den Nissan Leaf mit seiner eigenen API gehackt. Könnte das auch mit anderen Geräten funktionieren?
Hunt: APIs sind aus vielen Gründen interessant. Sie sind hauptsächlich Websites, aber anstatt mit HTML zu laufen und hinter dem Browser zu sitzen, werden sie in XML programmiert und durch ein mobiles Gerät gesteuert. Sie sind einen Schritt weiter entfernt als normale Websites und können deshalb die Schwächen des Entwicklers gut verstecken. Das Auto ist in jeder Hinsicht ein Gerät des Internet of Things (IoT) und ich kann mir denken, dass Nissan – wie viele andere – Schwierigkeiten mit seiner Datensicherheit hatte, weil sie schnell den Markt erobern wollten. Der momentane IoT-Rush ist Gold wert für Hacker.
WIRED: Wird dieser Rush irgendwann vorbei sein?
Hunt: Ich sehe noch nicht, dass irgendetwas diese Entwicklung stoppen kann. Ich vermute, dass der Trend zu mehr Marktbreite und Marktvolumen eher noch zunehmen wird. Das einzige, dass sich verschieben wird, ist die Tatsache, dass in zwei Jahren statt 300 Millionen doppelt so viele Datensätze auf meinem System liegen werden. Das ist der Trend. Die Organisationen selbst werden ihre Sicherheitstechnologien wohl nicht sicherer machen.
Dieser Artikel erschien zuerst bei WIRED UK.
