Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt!

Hacker haben Login-Daten für den Videokonferenzdienst Zoom erbeutet – auf welche Weise ist noch unklar. Eine vorsorgliche Passwort-Änderung ist ratsam.

Mitarbeiter der IT-Sicherheitsfirma Cyble wollen im Darknet und in einschlägigen Untergrundforen mehrere hunderttausend Zugangsdatensätze für den Videokonferenzdienst Zoom entdeckt haben. Die jeweils aus E-Mail-Adresse, Passwort im Klartext sowie (mindestens teilweise) aus Meeting-URL und sechsstelligem Zoom-Host-Key bestehenden Datensätze wurden demnach für weniger als einen US-Cent pro Stück gebündelt zum Kauf angeboten. In einigen Fällen hätten die Kriminellen sie auch kostenlos online gestellt. Erste Verkaufsaktivitäten will Cyble Anfang April beobachtet haben.

Aus einem Artikel auf der IT-News-Website Bleeping Computer, deren Team mit den Forschern von Cyble sprach, geht hervor, dass Cyble mehr als 530.000 gestohlene Zoom-Accounts à 0,0020 US-Cent als „Komplettpaket“ kaufte, um seine Kunden vor der potenziellen Gefahr warnen zu können. Das Unternehmen habe die Echtheit der gekauften Daten validiert. Das Bleeping-Computer-Team überprüfte und bestätigte seinerseits manuell die Echtheit einer kleinen Teilmenge aus hunderttausenden weiteren Datensätzen.

Datenleck oder Credential Stuffing?

Da Zoom in der Vergangenheit schon mehrfach durch Sicherheitsmängel von sich reden machte, scheint der Gedanke an ein großes Datenleck naheliegend. Unter anderem blockiert Google seit einigen Tagen die Zoom-Software auf den Computern seiner Mitarbeiter, nachdem diverse Sicherheitslücken und Datenschutz-Probleme bekannt wurden.

Bislang hat Zoom allerdings nichts über ein Datenleck verlauten lassen; die Antwort auf eine entsprechende Anfrage durch heise Security steht noch aus.

Bleeping Computer will stattdessen einen Anhaltspunkt für „Credential Stuffing“, also das automatisierte Durchprobieren von Login-Daten aus älteren Leaks, entdeckt haben. Ein vom Bleeping-Team kontaktierter Nutzer habe berichtet, dass es sich bei seinem vermeintlichen Zoom-Passwort in den Datensätzen um ein altes, inzwischen geändertes gehandelt habe. Daraus schließt das Team, dass zumindest einige der Daten aus Credential-Stuffing-Angriffen stammen.

Einem solchen Angriff kann im Grunde jeder Dienst unverschuldet zum Opfer fallen, sofern zusätzliche Authentifizierungsmechanismen fehlen. Und Accountdaten für Videokonferenzdienste dürften gerade während der Coronavirus-Pandemie, die zu einem erhöhten Bedarf an virtuellen Kommunikationsmöglichkeiten führt, eine besonders interessante Beute für Kriminelle sein.

Vorsorgliche Passwortänderung ratsam!!

Sofern Credential Stuffing tatsächlich der Angriffsvektor der Gangster war, ist eine Passwortänderung immer dann notwendig, wenn man dasselbe Passwort bereits für andere Dienste beziehungsweise Accounts verwendet hat. Unter Berücksichtigung von Zooms „Vorgeschichte“ und dem nicht auszuschließenden Leak scheint es allerdings ratsam, die Änderung auch vorsorglich und unabhängig von solchen Überlegungen vorzunehmen. (Heise Security)

1 Like

Update: 14. / 15. 04.2020

Cyble hat BleepingComputer mitgeteilt, dass es sich dabei um Konten für bekannte Unternehmen wie Chase, Citibank, Bildungseinrichtungen und andere handelt.

Für die Konten, die Kunden von Cyble gehörten, konnte das Sicherheitsunternehmen bestätigen, dass es sich um gültige Kontoangaben handelt.

In einer Erklärung gegenüber BleepingComputer gab Zoom an, dass sie bereits Sicherheitsfirmen beauftragt haben, bei der Suche nach diesen Passwort-Dumps zu helfen, damit sie die Passwörter der betroffenen Benutzer zurücksetzen können.

"Es kommt häufig vor, dass Webdienste, die den Verbrauchern dienen, von dieser Art von Aktivitäten ins Visier genommen werden, bei denen in der Regel schlechte Akteure eine große Anzahl von bereits kompromittierten Zugangsdaten von anderen Plattformen testen, um zu sehen, ob Benutzer sie anderswo wiederverwendet haben. Diese Art von Angriffen betrifft im Allgemeinen nicht unsere großen Unternehmenskunden, die ihre eigenen Single-Sign-On-Systeme verwenden. Wir haben bereits mehrere Geheimdienstfirmen damit beauftragt, diese Passwort-Dumps und die Tools zu finden, mit denen sie erstellt wurden, sowie eine Firma, die Tausende von Websites geschlossen hat, um Benutzer dazu zu bringen, Malware herunterzuladen oder ihre Anmeldedaten preiszugeben. Wir setzen unsere Untersuchungen fort, sperren Konten, bei denen wir festgestellt haben, dass sie kompromittiert wurden, und bitten die Benutzer, ihre Passwörter in etwas Sichereres zu ändern.

Die neuen geleakten Accounts sind zur Gegenprüfung bei folgenden Datenbanken hinterlegt:

https://haveibeenpwned.com/

https://amibreached.com/

1 Like