Account-Übernahme durch Credential Stuffing

Um einen Account bei einem Online-Dienst zu übernehmen, muss ein Cyber-Krimineller nicht zwangsläufig technische Schutzmechanismen aushebeln. Oft genügt es, anderswo erbeutete Zugangsdaten auszuprobieren. In Ausgabe 12/20 deckt Europas größtes IT- und Tech-Magazin c’t einen aktuellen Fall bei der Online-Plattform Kleiderkreisel auf. Dieser zeigt, wie gefährlich es sein kann, für verschiedene Dienste dieselben Passwörter zu nutzen.

Dieselben Zugangsdaten bei mehreren Diensten einzusetzen, geht nur so lange gut, wie keiner der Dienste einer Attacke zum Opfer fällt. Etliche bekannt gewordene Fälle scheinen darauf hinzudeuten, dass Credential Stuffing als Angriffsmaßnahme derzeit besonders beliebt ist. „Dabei wird die technische Infrastruktur eines Dienstes nicht angegriffen“, erklärt c’t-Redakteur Jo Bager. „Vielmehr setzen die Angreifer auf eine sehr menschliche Schwäche der Anwender und nutzen Zugangsdaten, die beim Hack auf andere Dienste erbeutet wurden.“

Ein Zufallsfund ermöglicht einen Blick darauf, wie die Angreifer vorgehen. Ein Leser hat das c’t-Magazin auf einen offen zugänglichen Webserver aufmerksam gemacht. Dort lagen Dateien mit Zugangsdaten von knapp einer Million deutscher und rund 38 Millionen französischer Kunden der Online-Handelsplattform Kleiderkreisel im Klartext. c’t hat die Dateien heruntergeladen und analysiert. „Zwei Dateien mit insgesamt 193 Datensätzen enthielten ein Feld credit_cards, das offenbar den Ablaufmonat der Kreditkarte enthält“, erläutert Bager. In diesem Fall scheint der Angreifer also nicht nur Zugangsdaten gehortet zu haben, sondern in die Accounts eingedrungen zu sein.

Nachdem c’t die Mutterfirma von Kleiderkreisel, vinted.com, auf das Problem hingewiesen hatte, konnte die IP-Adresse des von unserem Leser aufgefundenen Servers einem Spammer und Dictionary Attacker zugeordnet werden. Kleiderkreisel/Vinted und deren Kunden waren nach eigenen Angaben „in den letzten fünf Monaten des Jahres 2019“ einem Credential-Stuffing-Angriff ausgesetzt.

„Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen“, betont Bager. Jeder hat es selbst in der Hand, die eigenen Accounts zu schützen: „Man sollte für jeden Dienst ein anderes Passwort nutzen. Passwort Manager wie KeePass sind dabei hilfreich.“ Auch die Zwei-Faktor-Authentifizierung ist ein wirksamer zusätzlicher Schutz gegen den Fremd-Zugriff auf den eigenen Account.

Für die Redaktionen: Die neue c’t 12/20 liefert neben spannenden Artikeln auch die aktualisierte Version des seit über 15 Jahren bewährten Sicherheitstools der c’t-Redaktion: Desinfec‘t. Neben den vier Virenscannern ist neuerdings ein offener Threat-Scanner mit an Bord, der Emotet und andere Bedrohungen sehr effektiv aufspürt.

Über die Heise Gruppe GmbH & Co KG

Die Computerzeitschrift c’t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als meistabonnierte Computerzeitschrift Europas greift c’t im vierzehntäglichen Rhythmus vielfältige Themen auf – praxisnah und stets auf Augenhöhe mit den Lesern.

Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software-und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.

Mehrmals im Jahr gibt c’t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c’t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c’t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.

Firmenkontakt und Herausgeber der Meldung:

Heise Gruppe GmbH & Co KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 (511) 5352-0
Telefax: +49 (511) 5352-129
http://www.heise-gruppe.de

Ansprechpartner:
Isabel Grünewald
Presse- und Öffentlichkeitsarbeit
Telefon: +49 (511) 5352-344
E-Mail: igr@heise.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel