Laut der Internetseite The Register sind rund 617 Millionen Datensätze bestehend aus Benutzernamen beziehungsweise E-Mail-Adresse sowie kryptografisch verschlüsselten Passwörtern zu unterschiedlichen Onlinediensten ins Netz gestellt worden. Jedoch stammt nur ein Teil davon aus bisher nicht gemeldeten Datendiebstählen. Darunter fallen dem Bericht zufolge unter anderem die Zugangsdaten zu 161,5 Millionen Accounts der App Dubsmash, bei der Nutzer in Lip-sync-Videos zu populären Songs posieren können. Die Daten wurden dem Bericht zufolge zum Verkauf angeboten.

Die aufgelisteten rund 92,3 Millionen Zugangsdaten des DNA-Analyse-Dienstes MyHeritage stammen hingegen genauso wie die 150,6 Millionen Log-in-Informationen der Diät-App MyFitnessPal aus bereits bekannten Hackerattacken.

Normalerweise werden die Passwörter der Zugangsdaten mithilfe des sogenannten Hashings geschützt. Dabei werden sie mit einem Algorithmus unkenntlich gemacht. Bei einigen Varianten des Verfahrens oder einer fehlerhaften Umsetzung durch die Anbieter kann es nach Einschätzung von Experten jedoch möglich sein, sie zu entziffern.

Der Verkäufer will für die Daten einige Hundert bis zu knapp 2.000 Dollar pro Firma – in der Digitalwährung Bitcoin, die weitgehend anonymisierte Zahlungen ermöglicht. Auch mit nicht lesbaren Passwörtern können Daten wie E-Mail oder Name für Phishing-Mails zum Abgreifen anderer Daten verwendet werden. Gelingt es, die Passwörter aus den Hashes herauszulesen, könnten Angreifer sie auch bei anderen Onlinediensten ausprobieren, in der Hoffnung, dass Nutzer sie mehrfach verwendet haben.

In den vergangenen Jahren kam es immer wieder vor, dass im Netz in großem Stil Zugangsdaten zu diversen Diensten auftauchten. Zuletzt waren in einer großen Sammlung auch Passwörter im Klartext enthalten.