Wir hatten gestern Abend per Twitter schon eine kleine Warnung herumgeschickt, jetzt will ich auch hier noch einmal kurz auf die jüngste Hotmail-Attacke eingehen, damit die Feed-Leser aufgerüttelt werden.
Hintergründe
Am Wochenende waren auf der Entwicklerseite Pastebin.com („collaborative debugging tool“) Datensätze aufgetaucht, in denen Benutzernamen und Passwörter von genau 10.028 Hotmail-Nutzern gespeichert waren. Laut Microsoft ist die Authentizität der Daten nicht anzuzweifeln. Die Zugangsdaten gehören überwiegend zu Konten aus dem europäischen Raum, zudem gilt es mittlerweile als sicher, dass weit mehr Nutzer betroffen sein dürften, als zunächst angenommen: der besagte Datensatz enthielt nur Benutzernamen, die mit „A“ und „B“ beginnen. Nach ersten Informationen soll es sich in erster Linie um Konten mit den Endungen @hotmail.com, @msn.com und @live.com handeln.
Phishing-Attacke
In einer Stellungnahme von vergangener Nacht bestätigt Microsoft den Vorfall. „Mehrere Tausend“ Nutzerdaten seien auf der Seite eines Dritten aufgetaucht. Bei einer Untersuchung konnte ein Sicherheitsleck auf Seiten von Microsoft ausgeschlossen werden – vielmehr stammen die Daten von einer Phishing-Attacke, die in der Vergangenheit gefahren wurde. Microsoft habe deshalb einen Standard-Prozess in Gang gesetzt, der den Nutzern dabei helfen soll, wieder Kontrolle über ihre Konten zu erhalten.
Passwörter ändern
Allen – und wirklich allen – Hotmail-Nutzern wird empfohlen, so schnell wie möglich ihre Passwörter zu ändern. Das gilt nicht nur für den Zugang zu den Microsoft-Diensten, sondern auch für andere Seiten: Ein Sicherheitsexperte von Sophos vermutet, dass rund 40 Prozent aller Nutzer dasselbe Passwort bei jeder Anmeldung im Netz verwenden. Wer also auch in Zukunft Kontrolle darüber haben möchte, was unter seinem Namen bei Facebook und Co. gepostet wird, sollte sich schleunigst ein neues Kennwort besorgen (Generatoren können dabei helfen).
Verdächtige Seiten melden
Da der Vorfall wohl auf den europäischen Markt beschränkt ist, rollte auch keine öffentlichkeitswirksame Welle der Empörung auf Redmond zu: Leider ist von Microsoft in dieser Angelegenheit keine Hilfe mehr zu erwarten. Zum Beispiel hat es der Software-Riese bis zur Stunde noch nicht einmal geschafft, eine entsprechende Warnung auf hotmail.de oder live.de einzublenden oder die Nutzer nach dem Login automatisch um eine Passwortänderung zu bitten. Auf die Frage, ob Microsoft nicht mehr gegen deartige Phishing-Attacken tun sollte, heißt es schlicht: „Der Kampf gegen das Phishing erfordert die Hilfe von Technologieführern, Online-Unternehmen, Behörden und Regierungen. Microsoft spielt eine führende Rolle in der Anti-Phishing Working Group.“ Wer auf verdächtige Seiten stößt, die offensichtlich Passwörter abzocken wollen, soll bitte eine E-Mail an reportphishing@antiphishing.org schreiben.
Update, 12.02 Uhr: Auch Gmail, Yahoo und AOL betroffen
Wie BBC News soeben berichtet, seien nicht nur Passwörter von Hotmail-Konten aufgetaucht, sondern auch von Postfächern bei Yahoo, AOL, Gmail „und anderen Service-Providern“. Ingesamt liegen der Redaktion 20.000 neue Datensätze vor. Einige wenige Zugangsdaten hätten sich bei der Überprüfung als veraltet erwiesen – die große Mehrheit würde allerdings noch immer funktionieren. Zu diesem Zeitpunkt ist es tatsächlich für jeden Freemail-Nutzer ratsam, sich schleunigst neue Passwörter zuzulegen.
(André Vatter)
