Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Datenlecks kombinieren: 1.000 Verheirate beim Seitensprung enttarnt - Cybersicherheit und digitaler Schutz
Offensive Security

Datenlecks kombinieren: 1.000 Verheirate beim Seitensprung enttarnt

Datenlecks passieren leider häufig, nicht jedes enthält sensible Daten. Aber warum ist es gefährlich, wenn Kriminelle viele solcher Datenlecks kombinieren?

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
Aktualisiert: 21. September 2024 2 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Einzelne Datenlecks wirken harmlos - ihre Kombination macht sie gefährlich. Zwei Harvard-Studierende demonstrierten das exemplarisch: Sie verknüpften automatisiert öffentlich zugängliche Datensätze, darunter den Experian-Breach von 2015 mit 15 Millionen T-Mobile-USA-Kundendaten, und identifizierten innerhalb kürzester Zeit eintausend wohlhabende, verheiratete Personen, deren Nutzernamen auf einer Fremdgeh-Plattform auftauchten. Solche angereicherten Profile ermöglichen hochgradig personalisierte Phishing-Angriffe, weil Angreifer Ziele nach Bonität, Familienstand und Verhalten filtern können. Schützen Sie sich durch einzigartige Passwörter für jeden Dienst und regelmäßige Prüfung Ihrer Daten in bekannten Leak-Datenbanken.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (1 Abschnitte)

Datenlecks kombinieren, Zusammenhänge darstellen und pseudonymisierte Profile auflösen um echte Identitäten zu enttarnen. Anbieter verlieren durch Sicherheitslücken regelmäßig Kundendaten  - das passiert leider seit Jahren ständig. Einige dieser Datensätze sind für sich selbst gesehen nicht besonders hilfreich für Kriminelle, da sie zum Beispiel nur Benutzernamen enthalten und keine weiteren persönlichen Daten. Gefährlich wird es, wenn Kriminelle mehrere Datenlecks kombinieren und so Listen von lohnenden Opfern erstellen können. Zwei Studierende der Harvard Universität  haben sich für ein Abschlussprojekt mit diesem Vorgehen beschäftigt. Dabei fanden sie im Darknet diverse Foren, in denen Datensätze aus Datenlecks frei verfügbar gemacht wurden. Diese Daten wurden durch das Ausnutzen von Schwachstellen gestohlen. So auch von einem Vorfall aus 2015, bei dem der Informationsdienstleister Experian um die Daten von 15 Millionen T-Mobile USA Kunden erleichtert wurde.

Datenlecks zu kombinieren gibt tiefere Einblicke

Die Daten, die die beiden Studierenden damit hatten, waren eigentlich schon sensibel genug. Enthalten waren Informationen wie z.B.:

  • physikalische Adresse
  • Telefonnummer
  • Bonität und sogar die
  • Anzahl der Kinder

Trotzdem suchten die Forscher nach einer Möglichkeit diese Daten mit anderen Datenlecks zu kombinieren, um den Wert der Informationen zu erhöhen. Dazu nutzten sie eine selbst entwickelte Software, das automatisiert frei verfügbare Datenbanken durchsucht und verknüpft. Die Kombination von Datenlecks bringt für Cyberkriminelle wertvolle Daten zum Vorschein. Zwei Studierende der Harvard University haben das herausgefunden. Quelle: seas.harvard.edu Auf diese Weise ist es ihnen gelungen innerhalb kürzester Zeit eine Liste von eintausend wohlhabenden, verheirateten Menschen mit Kindern zu erstellen, deren Nutzername oder Passwort auf einer Datingseite für Fremdgeher verwendet wird. Ebenfalls konnten sie eine Datenbank mit sensiblen Informationen über hochrangige US-Politiker erstellen.

Mehr Daten bedeuten mehr Möglichkeiten für Kriminelle

Datenlecks zu kombinieren, ergibt Listen mit lohnenden Opfern. Das führt dazu, das Phishingangriffe mehr Erfolgsaussicht haben. Denn je mehr Informationen ein Angreifer über ein Opfer hat, desto besser lässt sich eine Phishingmail auf dieses Opfer zuschneiden. Aus diesem Grund sind also auch Vorfälle, bei denen “nur” Benutzernamen gestohlen werden, eine Gefahr, wenn diese öfter verwendet werden. Um selbst weniger angreifbar für dieses Vorgehen zu sein, empfiehlt es sich, auf die mehrfache Verwendung von Passwörtern zu verzichten und regelmäßig zu überprüfen, ob die eigenen Daten in Datenlecks vorkommen.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung