Gigantischer Datendiebstahl - 773 Mio. Mailaccount betroffen

Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.

Das ist Staatsversagen!

Und ich sage es noch mal: niemand hat die Auswirkungen der Digitalisierung richtig verstanden. Hier geht es um Identitätsdiebstahl und damit verbundene Folgeschäden und nicht um "irgenwie falsch gewählte Passwörter ..". Das kommt im schlimmsten Fall einem Mordversuch gleich (Privatbankrott).

hoss hat geschrieben:Nein.

Das war eine rhetorische Frage.

hoss hat geschrieben:Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium.

Leider sitzen da halt undemokratische Lobbies auf den Politikern.

Wenn unsere persönlichen und ziemlich einmaligen Datensätze dieselben Rechte erhielten, wie eine digitale Kopie von einem Helene Fischer MP3 mit persönlichem Wasserzeichen, wären die Probleme gelöst.

Für jeden Datensatz wären dann ein paar tausend EUR Streitwert drin und derjenige, dem er abhanden gekommen ist, könnte teuer abgemahnt und auf Schadenersatz in entsprechender Höhe verklagt werden.

Da braucht man sich auch keinen Kopf zu machen, was "hinreichend sicher" bedeutet. Die Datensammler würden Eigeninteresse entwickeln.

Bei ein paar Bits, die Gedudel beinhalten und Firmen gehören geht das heute so. Bei privatesten Daten von Wahlvieh nicht.

SteffenD hat geschrieben:Ja, alle Paßwörter von Seiten die mit dem Mailaccount zu tun haben, das ist richtig Arbeit
Wenn du mit dem betroffenen Account hier angemeldet bist, dann hier das Paßwort auch ändern (als Beispiel).
Paßwort so lang wie möglich machen.

Das sollte nicht nötig sein!
Für mich besteht ein Account mindestens aus einer E-Mai-Adresse und/oder einem Nutzernamen und einem Passwort. Hier bin ich mit meinem Pentaxians-Account und angemeldet. Der enthält meine E-Mail-Adresse und wurde hoffentlich nicht gehackt.

Gehackt wurde wahrscheinlich mein Adobe-Account. Adobe ist auf "have i been pwned" gelistet, bei den anderen der Liste habe keine Accounts.

Ich habe mich bei "have i been pwned" angemeldet und wurde über einen E-Mail-Link auf eine Seite geleitet, aus der hervorging, dass es mein Dropbox-Account war, der gehackt wurde. Das war aber schon 2012 und 2016. Auf der aktuellen Liste von "have i been pwned" fehlt Dropbox. Mein Passwort hatte ich 2018 schon geändert.

Für beide Accounts habe ich die Sicherheit deutlich erhöht.

Grüße
Gerhard

zenker_bln hat geschrieben:

Gelegenheiter hat geschrieben:Na prima, ich bin mit meinem T-Online-Konto dabei! Komisch, mit T-Online gibt es dauernd Schwierigkeiten, mit Gmail nie. Ich hätte es genau andersherum erwartet.

Danke für den Hinweis!

Das hat nichts mit T-Online zu tun!
Du hast auf irgendeiner Seite zur Registriertung deine *@t-online.de-Emailadresse verwendet.
Diese Seite wurde dann gehakt und deren Datenbestand kopiert.
In einem Fotoforum wie diesem würde ich glatt mal dann "ADOBE" vermuten, das du dich bei denen Registriert hast.

Stimmt, der "HPI Identity Leak Checker" weist Adobe und Dropbox aus.

So als IT-Systemadministrator kann ich mal nen paar Tipps geben, was man in Zukunft beachten kann.

1. Jeder Seite ein anderes Passwort geben.
(Damit man sich das einfach merken kann, kann man die Passwörter "versalzen" - eng. Salted Password)
Eine einfach möglichkeit ist, sich ein etwas auszudenken was man sich merken kann.

Standart Passwort ist z.B. Test#123 für die Seite www.pentaxians.de könnte man es dann entsprechend versalzen.

Test#123!10p oder 10p!Test#123!s

Bei der Version 1 nehme ich die Anzahl an Buchstaben, der jeweiligen Seite. Also für Pentaxians sind es 10. Trenne das ganze durch ein Sonderzeichen + Anzahl der Seite + 1 Buchstabe

Bei der Version 1 mache ich es ähnlich, nur das ich die Anzahl + Buchstabe vor das Passwort setze und am Ende nochmal Sonderzeichen + Letzter Buchstabe dran setze.
(Vorteil hierbei ist, jeder kann das sich das Merken. Aber kein Crawler erkennt was genau dahinter steckt. Die PW's sind somit so gut wie einmalig.)

2. PasswortManager

1. LastPass (Kostenlos + Browser Plugins für Chrome, Firefox und Internet Explorer. Auch verfügbar für Android und MacOS. Das Programm verfügt über eine Autofill Funktion, man muss eigentlich nichts machen als sich das MasterPassword merken) https://www.lastpass.com/de
2. 1Password (Kostenpflichtig ebenfalls mit Plugins und auf Android und MacOS verfügbar)
3. pwsafe (Kostenlos und auch Offline benutzbar - leider ohne jegliche Plugins)

Vielleicht kann ich damit ja dem ein oder anderem Helfen ;-)

Donn!e DarKo hat geschrieben:2. PasswortManager

1. LastPass (Kostenlos + Browser Plugins für Chrome, Firefox und Internet Explorer. Auch verfügbar für Android und MacOS. Das Programm verfügt über eine Autofill Funktion, man muss eigentlich nichts machen als sich das MasterPassword merken) https://www.lastpass.com/de
2. 1Password (Kostenpflichtig ebenfalls mit Plugins und auf Android und MacOS verfügbar)
3. pwsafe (Kostenlos und auch Offline benutzbar - leider ohne jegliche Plugins)

Ich ergänze die Liste mal mit , was gegenüber LastPass und 1Password den Kostenvorteil hat, dass nur Einmalkosten anfallen (kein Abo-Modell). Zudem gibt es auch hier Synchronisation über mehrere Systeme (iOS/Android/Windows/Mac/Linux) hinweg.
Ich nutze das seit 2 Jahren und bin sehr zufrieden damit.

1. Konto-Hack
Was heißt, das ADOBE-Konto (oder andere) wurde gehackt ?
Wurden email-Adressen der registrierten Nutzer runtergesaugt
oder haben sie auch das dazugehörige Paßwort des Zugangs bei ADOBE
oder haben sie auch das Paßwort des email-Konto mit dem sich bei ADOBE registriert wurde
bei Letzterem ist mir nicht klar, wie das bei einem Hack des ADOBE-Kontos gehen soll
2. PW-Manager
Als PlugIn würde ich so etwas nicht verwenden, denn wer weiß, was das PlugIn so alles treibt.
Ein PW-Manager ist für mich nur ein Notnagel, falls ich mal ein PW vergessen habe, z.B. bei längerer Nichtbenutzung.
Also keine AutoFillIn-Funktion benutzen, denn auch dort ist mir nicht mehr klar, wohin dieser Automatismus hin füllt, evtl. auch unbemerkt.
Ansonsten merke ich mir die PWs, was das Gedächtnis ein wenig in Bewegung hält.
3. PWs in Abständen ändern
Ich halte es für unpraktikabel, bei durchschnittlich 10 Zugängen jeden Monat die PWs zu ändern.
Auch mit PW-Manager ist das idiotisch.
Und da inzwischen Banken, Versicherungen u.a. darauf gekommen sind,
daß man mit der Auslagerung der Konten- und Vertragspflege zum Kunden viel Geld spart,
sind es sicher locker 20 PWs.
Dann kommen bei vielen noch zahlreiche "Social"-Media-Accs obendrauf.

Wenn die Politiker mehr mit diesen Problemen konfrontiert wären,
wären sie vielleicht in dieser Hinsicht sensibler und würden sich an dieser Stelle entsprechend mehr einsetzen,
anstatt von Flugtaxis zu träumen
(Das ist kein Aufruf, nur eine Feststellung !!!)
Obwohl, bei durchlesen dieses Satzes fällt mir gleich ein, daß die Sicherheit aus dem Staatssäckl finanziert wird,
welches für Derartiges fast unendlich groß zu sein scheint. Also wird an dieser Stelle für die Sicherheit entsprechend aufgerüstet.
Und das gemeine Volk kann das aus seinem privaten Säckel ebenso tun.
Einbruchsicherung für Wohnung, Auto, Computer usw.
In diesem Sinne ein schönes Wochenende

kris-kelvin hat geschrieben:1. Konto-Hack
Was heißt, das ADOBE-Konto (oder andere) wurde gehackt ?
Wurden email-Adressen der registrierten Nutzer runtergesaugt
oder haben sie auch das dazugehörige Paßwort des Zugangs bei ADOBE
oder haben sie auch das Paßwort des email-Konto mit dem sich bei ADOBE registriert wurde
bei Letzterem ist mir nicht klar, wie das bei einem Hack des ADOBE-Kontos gehen soll
2. PW-Manager
Als PlugIn würde ich so etwas nicht verwenden, denn wer weiß, was das PlugIn so alles treibt.
Ein PW-Manager ist für mich nur ein Notnagel, falls ich mal ein PW vergessen habe, z.B. bei längerer Nichtbenutzung.
Also keine AutoFillIn-Funktion benutzen, denn auch dort ist mir nicht mehr klar, wohin dieser Automatismus hin füllt, evtl. auch unbemerkt.
Ansonsten merke ich mir die PWs, was das Gedächtnis ein wenig in Bewegung hält.
3. PWs in Abständen ändern
Ich halte es für unpraktikabel, bei durchschnittlich 10 Zugängen jeden Monat die PWs zu ändern.
Auch mit PW-Manager ist das idiotisch.
Und da inzwischen Banken, Versicherungen u.a. darauf gekommen sind,
daß man mit der Auslagerung der Konten- und Vertragspflege zum Kunden viel Geld spart,
sind es sicher locker 20 PWs.
Dann kommen bei vielen noch zahlreiche "Social"-Media-Accs obendrauf.

Wenn die Politiker mehr mit diesen Problemen konfrontiert wären,
wären sie vielleicht in dieser Hinsicht sensibler und würden sich an dieser Stelle entsprechend mehr einsetzen,
anstatt von Flugtaxis zu träumen
(Das ist kein Aufruf, nur eine Feststellung !!!)
Obwohl, bei durchlesen dieses Satzes fällt mir gleich ein, daß die Sicherheit aus dem Staatssäckl finanziert wird,
welches für Derartiges fast unendlich groß zu sein scheint. Also wird an dieser Stelle für die Sicherheit entsprechend aufgerüstet.
Und das gemeine Volk kann das aus seinem privaten Säckel ebenso tun.
Einbruchsicherung für Wohnung, Auto, Computer usw.
In diesem Sinne ein schönes Wochenende

Na na nicht immer so Schwarz sehen. Die meisten PasswortManager sind als sehr sicher gestestet worden. Immerhin verdienen die Unternehmen damit auch Geld ;-) Ihr unternehmen würde also, gerade in den Staaten, viel Geld für Nachlässigkeit bezahlen. Wenn man einen der bekannten Dienste benutzt, ist man schon sehr sicher. Und wenn Troy Hunt 1Password empfiehlt, sollte man schon darauf vertrauen das es sicher ist. Der Mann hat Ahnung ;-)

Außerdem kann man mit Wireshark sehr einfach Prüfen, was wohin gesendet wird. Das hab ich z.B. mit LastPass gemacht und deswegen benutze ich es auch.

Zu deiner Frage bzgl. ADOBE. In Datenbanken werden HASH werte gespeichert, diese HASH werte kann man eben berechnen bzgl es gibt riesige Liste, wo die drin stehen mit den dazugehörigen Passwörtern. Wenn die Datenbank mal abgegriffen wurde, hat man alle User und alle HASH werte für die Passwörter. Wenn das nicht funktioniert kann man auch generisch HASH werte erstellen lassen und immer wieder gegenprüfen, je länger in dem Fall das PW desto länger dauert es natürlich.