Account-Übernahme durch Credential Stuffing
Sicherheitsproblem Bequemlichkeit

Hannover, 22. Mai 2020 – Um einen Account bei einem Online-Dienst zu übernehmen, muss ein Cyber-Krimineller nicht zwangsläufig technische Schutzmechanismen aushebeln. Oft genügt es, anderswo erbeutete Zugangsdaten auszuprobieren. In Ausgabe 12/20 deckt Europas größtes IT- und Tech-Magazin c’t einen aktuellen Fall bei der Online-Plattform Kleiderkreisel auf. Dieser zeigt, wie gefährlich es sein kann, für verschiedene Dienste dieselben Passwörter zu nutzen.

Dieselben Zugangsdaten bei mehreren Diensten einzusetzen geht nur so lange gut, wie keiner der Dienste einer Attacke zum Opfer fällt. Etliche bekannt gewordene Fälle scheinen darauf hinzudeuten, dass Credential Stuffing als Angriffsmaßnahme derzeit besonders beliebt ist. „Dabei wird die technische Infrastruktur eines Dienstes nicht angegriffen“, erklärt c’t-Redakteur Jo Bager. „Vielmehr setzen die Angreifer auf eine sehr menschliche Schwäche der Anwender und nutzen Zugangsdaten, die beim Hack auf andere Dienste erbeutet wurden.“

Ein Zufallsfund ermöglicht einen Blick darauf, wie die Angreifer vorgehen. Ein Leser hat das c’t-Magazin auf einen offen zugänglichen Webserver aufmerksam gemacht. Dort lagen Dateien mit Zugangsdaten von knapp einer Million deutscher und rund 38 Millionen französischer Kunden der Online-Handelsplattform Kleiderkreisel im Klartext. c’t hat die Dateien heruntergeladen und analysiert. „Zwei Dateien mit insgesamt 193 Datensätzen enthielten ein Feld credit_cards, das offenbar den Ablaufmonat der Kreditkarte enthält“, erläutert Bager. In diesem Fall scheint der Angreifer also nicht nur Zugangsdaten gehortet zu haben, sondern in die Accounts eingedrungen zu sein.

Nachdem c’t die Mutterfirma von Kleiderkreisel, vinted.com, auf das Problem hingewiesen hatte, konnte die IP-Adresse des von unserem Leser aufgefundenen Servers einem Spammer und Dictionary Attacker zugeordnet werden. Kleiderkreisel/Vinted und deren Kunden waren nach eigenen Angaben „in den letzten fünf Monaten des Jahres 2019“ einem Credential-Stuffing-Angriff ausgesetzt.

„Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen“, betont Bager. Jeder hat es selbst in der Hand, die eigenen Accounts zu schützen: „Man sollte für jeden Dienst ein anderes Passwort nutzen. Passwort Manager wie KeePass sind dabei hilfreich.“ Auch die Zwei-Faktor-Authentifizierung ist ein wirksamer zusätzlicher Schutz gegen den Fremd-Zugriff auf den eigenen Account.

Für die Redaktionen: Die neue c’t 12/20 liefert neben spannenden Artikeln auch die aktualisierte Version des seit über 15 Jahren bewährten Sicherheitstools der c’t-Redaktion: Desinfec‘t. Neben den vier Virenscannern ist neuerdings ein offener Threat-Scanner mit an Bord, der Emotet und andere Bedrohungen sehr effektiv aufspürt.