Seit Januar 2018 bietet die Seite cit0day.in gestohlene E-Mail-Adressen und Passwörter zum Verkauf – ein Service, der größtenteils von Kriminellen genutzt wird, z.B. um große Mengen an E-Mail-Adressen als Empfänger für Spam-Kampagnen zu erhalten. Weiterhin werden die geleakten Zugangsdaten für sogenannte Credential-Stuffing-Angriffe benutzt. Hierbei versucht ein Angreifer, sich mithilfe der Daten Zugang zu Unternehmenswebseiten zu verschaffen. Da viele Benutzer für verschiedene Services das gleiche Passwort verwenden, sind solche Angriffe oft erfolgreich, wodurch Angreifer im schlimmsten Fall in Unternehmensnetze eindringen können, um sich dort weiter auszubreiten.

Nach der Schließung der Seite cit0day.in durch Behören, sind die gehandelten Zugangsdaten nun im Internet gelandet, wo sie in Foren und Chatgruppen weiterverbreitet werden. Seither werden die Daten, Medienberichten zufolge, auch vermehrt für Spam-Kampagnen und Credential-Stuffing-Angriffe eingesetzt. Der Datensatz enthält insgesamt 23.618 Datenbanken, die zusammen aus über 13 Milliarden Datensätzen bestehen. Die Datensätze beinhalten teilweise Passwörter im Klartext oder Passwort-Hashes – ein kryptographisches Format, aus dem mit einigem Aufwand das Klartext-Passwort errechnet werden kann.

Von den gestohlenen Daten sind neben Privatpersonen auch Unternehmen aller Größe betroffen. Nach Datenanalysen von NSIDE sind auch einige Daten deutscher Firmen, von DAX-Konzernen bis zu kleinen und mittleren Unternehmen in den Datensätzen enthalten. Betroffene Unternehmen sollten sich in den kommenden Wochen auf vermehrte Angriffe auf exponierte Webseiten oder extern erreichbare Zugänge zum Unternehmsnetz einstellen. Besonders gefährdet sind hierbei Zugänge, die nicht durch mehrere Authentifizierungs-Faktoren abgesichert sind.

In unseren Red-Team-Assessments und Penetrationstests setzen wir ebenfalls öffentlich bekannte Datenlecks (cit0day.in und viele weitere) ein. So profitieren unsere Kunden da sie erfahren, ob sie von Datenlecks betroffen sind und welche Nutzeraccounts lieber gesperrt werden sollten. Zudem geben wir Hinweise durch welche Maßnahmen sie ihre IT-Infrastruktur abhärten können, um sich effektiv gegen derartige Angriffe zu verteidigen. Sollten Sie Interesse haben, sprechen Sie uns an. Wir helfen Ihnen gerne weiter!