Datenleck bei Mortal Online: Kriminelle boten 500.000 Nutzeraccounts zum Kauf an

Ein unabhängiger Sicherheitsforscher hat dem Passwort-Prüfdienst Have I Been Pwned 569.703 Kombinationen aus E-Mail-Adressen und Passwörtern zukommen lassen. Es handelt sich um Nutzeraccount-Daten für das Online-Rollenspiel Mortal Online, die Hacker bereits im Juni 2018 im Zuge eines Servereinbruchs bei der Entwicklerfirma Star Vault erbeutet hatten.

In den betreffenden Shop- und Forendatenbanken sollen die Passwörter als MD5-Hashes gespeichert gewesen sein. Ob sie mit Salts, also zusätzlich angehängten Zufallszahlen, versehen waren, ist unklar. Den Hackern gelang es, den schon seit Jahren als unsicher geltenden Verschlüsselungsalgorithmus zu brechen und die Passwörter im Klartext wiederherzustellen. Mortal-Online-Spieler können bei Have I Been Pwned überprüfen, ob sie von dem Leak betroffen sind.

Vertrauliche Daten auf Reisen

Die kopierten Datensätze tauchten – allerdings noch mit verschlüsselten Passwörtern – schon Anfang Juli bei DeHashed, einem Suchdienst für gehackte Datenbanken, auf. Die Betreiber des Dienstes erhielten sie nach eigenen Angaben von einem Pentester und Webentwickler, der auf den Einbruch bei Star Vault hinweisen wollte. Wie er in ihren Besitz gelangt war, ist unklar.

DeHashed unterzog die Daten einer kurzen Analyse und bezifferte die Gesamtzahl der kompromittierten Accounts auf insgesamt 609.485. Neben den E-Mail-Adressen und (zu diesem Zeitpunkt noch verschlüsselten) Passwörtern sollen die Datensätze noch weitere Informationen wie vollständige Namen, Adressen, Geburtsdaten, IP-Adressen und Forenaktivitäten enthalten haben. Kreditkartendaten zählten, wie Star Vault selbst ausdrücklich betonte, aber wohl nicht dazu. DeHashed wies daraufhin, dass die Mortal-Online-Server bereits 2012 und 2015 kompromittiert wurden; umso unverständlicher sei es, dass Star Vault für die Passwortspeicherung noch immer MD5 verwende.

Wie die IT-News-Website Bleeping Computer berichtet, wurden die 569.703 (jetzt bei Have I Been Pwned verfügbaren) E-Mail- und Passwort-Kombinationen zunächst in einem Untergrundforum feilgeboten. Von dort aus seien sie "durch mehrere Hände gewandert" und unter anderem für einen Credential-Stuffing-Angriff auf League-of-Legends-Spieler missbraucht worden. Solche Angriffe basieren darauf, dass viele Nutzer immer gleiche Passwörter auf verschiedenen Plattformen nutzen. Durch simples automatisiertes Ausprobieren (Bruteforce) geleakter Login-Daten gelingt es Angreifern dann, Nutzeraccounts zu kapern.

Passwörter niemals mehrfach verwenden

Der Diebstahl und Verkauf geklauter Zugangsdaten ist und bleibt ein lohnendes Geschäft. Neben der Übernahme aktiver Nutzeraccounts (einschließlich des Diebstahls weiterer Daten wie Namen, Adressen und Kreditkartendetails aus den Nutzerprofilen) und dem bereits erwähnten Credential Stuffing eignen sich solche Daten – sofern E-Mail-Adressen als Nutzernamen dienen – auch als Grundlage für gezielte Spam-Kampagnen. Erst kürzlich berichtete heise Security über Erpressungsmails, deren Absender behaupteten, den Mailempfänger beim Besuch einer Pornoseite mit einer Schadsoftware infiziert und anschließend bei der Nutzung der Seite per Webcam gefilmt zu haben. Für ihr Stillschweigen forderten sie vierstellige Dollarbeträge in Bitcoin.

Die Wahl starker Passwörter oder -phrasen für jeweils nur für einen einzigen Account schützt vor Credential Stuffing und trägt somit dazu bei, den durch Datenlecks entstehenden individuellen Schaden zu begrenzen. Viele Mortal-Online-Gamer folgten diesem Grundsatz offensichtlich nicht. Die DeHashed-Betreiber veröffentlichten eine Liste einiger sehr leicht entschlüsselbarer Passwörter aus dem gestohlenen Datensatz: Strings wie "123456", "1q2w3e4r" und "password" stehen darin ganz oben. (ovw)