Wurden Daten aus all diesen 23'000 Websites entwendet?

Aber der Reihe nach. Der PCtipp berichtete über einen anfangs April 2021 publizierten Leak zu rund 530 Millionen Facebook-Konten. Ob man Opfer eines solchen Datendiebstahls geworden ist, sollte man als User direkt vom betroffenen Anbieter selbst erfahren. Manchmal erfährt man erst durch die Medien davon. Und manchmal durch eine simple Abfrage in der Datenbank «Have I been pwned?» (kurz «HIBP») des renommierten Sicherheitsexperten Troy Hunt.

Ein typischer Fall wäre dieser: Eine Abfrage ergibt zum Beispiel, dass die Mailadresse im «Dropbox-Datenleak von 2012» enthalten war. Sofern nicht schon geschehen, loggt man sich in einem solchen Fall beim betroffenen Dienst (hier wäre es Dropbox.com) ein und ändert das Passwort. Wenn Sie für jeden Dienst ein anderes (und zwar ein gutes) Passwort verwenden, wie wir es immer wieder dringend empfehlen, dann ist das meistens alles, was Sie tun müssen und können. Ist ein Social-Media-, E-Mail- oder ein Forums-Account betroffen, prüfen Sie, ob Ihre Kontaktdaten noch stimmen (besonders die Mailadresse oder Handynummer für die Passwortwiederherstellung!) und ob vielleicht ein Angreifer bereits Nachrichten aus diesem Konto verschickt hat.

Falls man dasselbe Passwort auch für andere Dienste benutzt hat, sollte man es bei diesen unbedingt ebenfalls ändern. Und zwar bei jedem Dienst auf ein anderes. Jedes Passwort sollte nur für genau einen Dienst benutzt werden. Der Grund ist einfach: Wenn Angreifer von einem User die Mailadresse (das ist meist gleichzeitig der Benutzername) und ein Passwort haben, dann werden sie dieselbe Mailadressen-/Passwort-Kombination bei etlichen anderen Diensten ausprobieren. Wenn der User leichtsinnig genug war, für alle Dienste dasselbe Kennwort zu verwenden, dann ist der Hacker vielleicht im Facebook-, Google-, Twitter-Konto usw. ebenfalls drin. Und das wollen Sie nicht.