Russische Hacker, eine ominöse IT-Firma und über 1 Milliarde geklaute Passwörter

"Hold Security hat die grösste Sicherheitsverletzung aufgedeckt, die es je gab!" Mit diesem Artikel sorgt die US-Sicherheitsfirma aus Wisconsin gerade für mächtig Furore. Russische Hacker hätten rund 1,2 Milliarden Nutzernamen-Passwort-Kombinationen von Internetprofilen erbeutet, schreibt das Unternehmen. Betroffen seien rund 400'000 Websites und 500 Millionen E-Mail-Adressen.

Was ist eigentlich genau passiert?

Was ist von der Meldung zu halten? Hold Security hat eigentlich einen guten Ruf, deckte das Unternehmen doch bereits Diebstähle von Nutzerdaten bei den US-Firmen Adobe und Target auf. Allerdings gibt es über den wohl grössten Internethack aller Zeiten noch kaum Details.

Nicht einmal die Sicherheitslücken, die ausgenutzt wurden, werden näher erläutert. Hold Security spricht vage von SQL injection flaws - die Nutzung von Lücken in Zusammenhang mit SQL-Datenbanken. Da die Firma aber nicht verrät, ob es sich um neuartige Lücken handelt, und da es "SQL injections" in etlichen Ausprägungen gibt, sind die Informationen für Website-Betreiber nutzlos. Zudem ist unklar, ob die geklauten Daten verschlüsselt sind oder nicht.

Hold Security im Kreuzfeuer der Kritik

Mittlerweile ist Hold Security ins Kreuzfeuer der Kritik geraten. Denn das Unternehmen bietet nun gegen Entgeld einen "Breach Notification Service" an. IT-Admins sollen so herausfinden können, ob ihre Website vom Datenklau betroffen ist oder nicht. Der Dienst kostet 120 US-Dollar pro Jahr.

Laut Forbes wurde das neue Angebot von Hold Security fast gleichzeitig mit einem Artikel der New York Times lanciert und wegen eines Shitstorms auf Twitter und kritischen Fragen des Wall Street Journals auch bereits wieder offline genommen. Wegen Geheimhaltungsverträgen könne Hold Security wohl keine weitere Details zum Fall kommunizieren, schreibt die New York Times weiter.