Der weitreichende Datenklau von Login-Daten zu FTP-Servern betrifft auch Nutzer mit österreichischer IP-Adresse bzw. .at-Domain, wie Cert.at auf seiner Seite warnt. Demnach handelt es sich um 11.000 Accounts verteilt auf 4.300 IP-Adressen bei etwa 280 Providern. Das Cert hat die betroffenen Internet Service Provider bereits informiert.

Daten von Sicherheitsforscher übermittelt

Von wem die Daten stammen, könne man derzeit noch nicht veröffentlichen, schreibt Otmar Lendl im Cert-Blog. Es handle sich um einen “in der Szene sehr bekannten” Security-Researcher, der regelmäßig Daten zu Cybercrime und Botnetzen liefere. “Ob er selber die Daten bei einer Aktion gegen ein Botnet gefunden hat, oder das nur über ihn gespielt wurde, wissen wir nicht”, so Lendl.

Durch Malware abgerufen

Man gehe davon aus, dass die Zugangsdaten aus Konfigurationsdateien von FTP-Clients auf mit Malware infizierten PCs stammen. Gespeicherte Passwörter aus verschiedenen Programmen auszulesen gehöre zum Standard-Repertoire von Malware. Ein “guter Teil” der Credentials sei nicht oder nicht mehr gültig. Teilweise würden auch Passwörter mit Tippfehlern abgespeichert.

Websites verändert

Wann die Zugangsdaten von der Malware abgegriffen wurden, ist nicht bekannt. Laut Lendl wurden einige Accounts jedoch benutzt, um Websites zu manipulieren. (br, derStandard.at, 30.5.2014)