Gigantischer Datendiebstahl - 773 Mio. Mailaccount betroffen

hoss hat geschrieben:Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.

Echt jetzt?
Hm, wie wäre das denn hier im Forum zum Beispiel? Sagen wir mal, die Leute, die das hier unentgeltlich machen, machen mal einen Fehler. Jeder Mensch macht ja mal einen Fehler. Jedenfalls erbeuten irgendwelche Leute meine Zugangsdaten dieses Forums. Ich selbst war noch so doof, die selben Zugangsdaten für mein Paypal Account zu verwenden. Die Diebe waren etwas cleverer und prüfen so etwas natürlich als erstes. Und siehe da, sie schicken fröhlich Kohle von meinem Paypal Account irgendwohin in die Welt.
Soll ich dann die Betreiber dieses Forums in Haftung nehmen? Ist es das, was Du meinst? Oder müssen sie noch mit strafrechtlichen Konsequenzen rechnen? Weil das für Dich "einem Mord" gleichkommt!

Und wie war das noch mit der Beweisführung? Wer Schadenersatz haben will, muss ja beweisen, dass der Beklagte den Schaden verursacht hat. Wie könnte man im o.g. Fall ausschließen, dass die Diebe die Daten nicht irgendwoanders herhaben? Oder einfach geraten? Mit Troyaner ausgespäht?

Sind "sicher" und "unkompliziert" nicht zwei Merkmale, die sich gegenseitig behindern? Oder wäre es für Dich unkompliziert genug, wenn dieses Forum alle zwei Wochen ein neues Passwort von Dir verlangt, um das Risiko zu verringern? Oder müssen es alle 24h sein, damit es sicher genug ist für Dich? Müssen die Betreiber nun unbedingt eine Zwei-Faktor-Authentifizierung hier einbauen, um vor Schadensersatzforderungen sicher zu sein?

Ich hoffe meine Fragen zeigen, dass der Vergleich zwischen der realen Welt und der virtuellen Welt oft schwierig ist. Hast Du schon mal versucht, ein selbst gebautes Auto für den öffentlichen Straßenverkehr zuzulassen? Oder auch nur ein selbst entwickeltes elektronisches Gerät in den Verkehr zu bringen?
Dabei wirst Du lernen, wie aufwendig und teuer es ist, diese von Dir vom Staat eingeforderte Sicherheit herzustellen.

Wir beklagen uns immer dann über zu viel Bürokratie, wenn sie uns daran hindert, etwas zu tun, wozu wir gerade Lust haben. Zum Beispiel mal eben ein Forum zum Thema Fotografie "in den Verkehr" zu bringen und dabei auch noch die Vorschriften zum Urheberrecht oder der DSGVO zu beachten. Das ist ja immer alles sooooo kompliziert bei uns.
Aber wehe der Staat macht mal weniger Vorschriften und Bürokratie und erwartet von uns, dass wir auf uns selber aufpassen, und das geht schief. Dann sind fehlende Vorschriften und Bürokratie Staatsversagen.

Oh man...

Donn!e DarKo hat geschrieben:Zu deiner Frage bzgl. ADOBE. In Datenbanken werden HASH werte gespeichert, diese HASH werte kann man eben berechnen bzgl es gibt riesige Liste, wo die drin stehen mit den dazugehörigen Passwörtern. Wenn die Datenbank mal abgegriffen wurde, hat man alle User und alle HASH werte für die Passwörter. Wenn das nicht funktioniert kann man auch generisch HASH werte erstellen lassen und immer wieder gegenprüfen, je länger in dem Fall das PW desto länger dauert es natürlich.

Wenn, wie Du schreibst, die HASH-Werte und die dazugehörigen PWs gespeichert werden,
hat der HASH-Wert keinen Sinn
Meinem Verständnis nach gebe ich meinen Zugangsnamen und mein PW ein
und der ADOBE-HASH-Algo ermittelt den HASH-Wert und schaut nach, ob der zu meinem Zugangsnamen paßt.
Die Gauner können bei ADOBE nur die Liste der Zugangsnamen und die der HASH-Werte klauen.
Doch das sollte ihnen nichts nutzen, denn mit Zugangsnamen und HASH-Wert können sie sich nicht einloggen.
Dumm wird es, wenn die Gauner den ADOBE-HASH-Algo gestohlen haben.
Dann können sie rückwärts aus dem HASH-Wert das PW berechnen
Und wenn dann jemand das selbe PW für sein email-Konto benutzt ist er im Arsch
und darauf zielen die Gauner wohl ab.
Aber das Problem entsteht, wenn ADOBE oder welcher Anbieter auch immer sein HASH-Algo nicht schützt

Nachtrag:
Es gab oder gibt immer noch einen Werbeblocker für Firefox,
der zwar Werbung blockt, aber nach Hause übermittelt auf welchen Seiten sich der Firefox-User so rumtreibt.

kris-kelvin hat geschrieben:

Donn!e DarKo hat geschrieben:Zu deiner Frage bzgl. ADOBE. In Datenbanken werden HASH werte gespeichert, diese HASH werte kann man eben berechnen bzgl es gibt riesige Liste, wo die drin stehen mit den dazugehörigen Passwörtern. Wenn die Datenbank mal abgegriffen wurde, hat man alle User und alle HASH werte für die Passwörter. Wenn das nicht funktioniert kann man auch generisch HASH werte erstellen lassen und immer wieder gegenprüfen, je länger in dem Fall das PW desto länger dauert es natürlich.

Wenn, wie Du schreibst, die HASH-Werte und die dazugehörigen PWs gespeichert werden,
hat der HASH-Wert keinen Sinn
Meinem Verständnis nach gebe ich meinen Zugangsnamen und mein PW ein
und der ADOBE-HASH-Algo ermittelt den HASH-Wert und schaut nach, ob der zu meinem Zugangsnamen paßt.
Die Gauner können bei ADOBE nur die Liste der Zugangsnamen und die der HASH-Werte klauen.
Doch das sollte ihnen nichts nutzen, denn mit Zugangsnamen und HASH-Wert können sie sich nicht einloggen.
Dumm wird es, wenn die Gauner den ADOBE-HASH-Algo gestohlen haben.
Dann können sie rückwärts aus dem HASH-Wert das PW berechnen
Und wenn dann jemand das selbe PW für sein email-Konto benutzt ist er im Arsch
und darauf zielen die Gauner wohl ab.
Aber das Problem entsteht, wenn ADOBE oder welcher Anbieter auch immer sein HASH-Algo nicht schützt

Okay ich hab mich falsch oder missverständlich ausgedrückt.

Es gibt Passwortlisten im Internet, zum runterladen. Darin stehen Passwörter z.B. 1234 die dazugehörige Summe ist $1$zwub7SyR$iY2/hxugafwd6ZkoTvPR01
Somit kann ich über die Summe, die ich abgleiche einfach auf das Klartext Passwort schliessen.

Datenbanken sind meisten mit Username im Klartext aufgebaut.
Die können dann wie folgt aussehen
kris-kelvin/$1$zwub7SyR$iY2/hxugafwd6ZkoTvPR01

Jetzt kenne ich also den Usernamen und die Summe aus dem Passwort. Die Summe aus dem Passwort vergleiche ich mit einer der liste oder allen, von z.B. dieser Seite https://wiki.skullsecurity.org/Passwords

Das wird dann einfach nur verglichen. Ist der schnellste Weg.

Alternative kann ich mir auch die Summe aus einem Passwort berechnen. In dem ich einfach ein Programm laufen lassen und z.B. bei 1 Anfange und bei 99999 aufhöre.
Also z.B.
1 $1$.qy.KsM8$kKQkIpDjFbjSln7l.rptX1
2 $1$UQzcXXmr$P6ugO75oWh00QZSnKlGzn/
...
12 $1$.0T3ncKr$nhxou.MWHQl8o2AHWbLff0
usw.

kris-kelvin hat geschrieben:Nachtrag:
Es gab oder gibt immer noch einen Werbeblocker für Firefox,
der zwar Werbung blockt, aber nach Hause übermittelt auf welchen Seiten sich der Firefox-User so rumtreibt.

Ja sowas gibt es, dafür gibt es aber auch die Community und White Hacker die sowas gegenprüfen und dann aufdecken ;-)

imhotep hat geschrieben:Echt jetzt?
Hm, wie wäre das denn hier im Forum zum Beispiel? Sagen wir mal, die Leute, die das hier unentgeltlich machen, machen mal einen Fehler. Jeder Mensch macht ja mal einen Fehler. Jedenfalls erbeuten irgendwelche Leute meine Zugangsdaten dieses Forums. Ich selbst war noch so doof, die selben Zugangsdaten für mein Paypal Account zu verwenden. Die Diebe waren etwas cleverer und prüfen so etwas natürlich als erstes. Und siehe da, sie schicken fröhlich Kohle von meinem Paypal Account irgendwohin in die Welt.
Soll ich dann die Betreiber dieses Forums in Haftung nehmen? Ist es das, was Du meinst? Oder müssen sie noch mit strafrechtlichen Konsequenzen rechnen? Weil das für Dich "einem Mord" gleichkommt!...

Ich wüsste jetzt nicht, das Paypal Accountdaten auf dem Forumserver lagern.

hoss hat geschrieben:Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.

Das ist Staatsversagen!

Und ich sage es noch mal: niemand hat die Auswirkungen der Digitalisierung richtig verstanden. Hier geht es um Identitätsdiebstahl und damit verbundene Folgeschäden und nicht um "irgenwie falsch gewählte Passwörter ..". Das kommt im schlimmsten Fall einem Mordversuch gleich (Privatbankrott).

Du hast vollkommen Recht, der Anbieter muss für fahrlässig verursachte Probleme haften, das sollte selbstverständlich sein. Ein schönes Beispiel hierfür kann man ja derzeit bei der Autoindustrie beobachten. Leider nur un Amerika - da müssen sie zahlen, bei uns scheint das nicht zu funktionieren. Der Dieselfahrer bleibt auf den Kosten sitzen und bekommt einen Pseudo-Anreiz um ein neues "sauberes" Auto beim gleichen Hersteller zu kaufen. Das ist Staatsversagen!

Zum Autofahren braucht man aber einen Führerschein und man muss sich nach der Straßenverkehrsordnung richten. Wenn jemand für seine Bank-Zugangsdaten dasselbe Passwort nutzt wie für dieses Forum und ggf. noch andere Accounts ist das im übertragenen Sinn mindestens ein Verstoß gegen die online-Straßenverkehrsordnung oder sogar ein Fahren ohne Führerschein. Wir alle (oder viele von uns) bewegen uns doch ohne Schutz in einem Internet, das einer 6-spurigen Autobahn gleicht, wie Motorradfahrer im T-Shirt.

Einen Führerschein fürs Surfen im Internet will ich natürlich auch nicht. Aber ein bisschen Eigenverantwortung hat man schon auch.

Grüße
Gerhard

Gerhard_S hat geschrieben:

hoss hat geschrieben:Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.

Das ist Staatsversagen!

Und ich sage es noch mal: niemand hat die Auswirkungen der Digitalisierung richtig verstanden. Hier geht es um Identitätsdiebstahl und damit verbundene Folgeschäden und nicht um "irgenwie falsch gewählte Passwörter ..". Das kommt im schlimmsten Fall einem Mordversuch gleich (Privatbankrott).

Du hast vollkommen Recht, der Anbieter muss für fahrlässig verursachte Probleme haften, das sollte selbstverständlich sein. Ein schönes Beispiel hierfür kann man ja derzeit bei der Autoindustrie beobachten. Leider nur un Amerika - da müssen sie zahlen, bei uns scheint das nicht zu funktionieren. Der Dieselfahrer bleibt auf den Kosten sitzen und bekommt einen Pseudo-Anreiz um ein neues "sauberes" Auto beim gleichen Hersteller zu kaufen. Das ist Staatsversagen!

Zum Autofahren braucht man aber einen Führerschein und man muss sich nach der Straßenverkehrsordnung richten. Wenn jemand für seine Bank-Zugangsdaten dasselbe Passwort nutzt wie für dieses Forum und ggf. noch andere Accounts ist das im übertragenen Sinn mindestens ein Verstoß gegen die online-Straßenverkehrsordnung oder sogar ein Fahren ohne Führerschein. Wir alle (oder viele von uns) bewegen uns doch ohne Schutz in einem Internet, das einer 6-spurigen Autobahn gleicht, wie Motorradfahrer im T-Shirt.

Einen Führerschein fürs Surfen im Internet will ich natürlich auch nicht. Aber ein bisschen Eigenverantwortung hat man schon auch.

Grüße
Gerhard

Das ist wäre der Tod für viele Communitys. Jeder der so etwas Freiwillig macht, würde sich dann davor streuben die Verantwortung ist einfach zu groß. Und ich kann dir sagen ein System sicher zu machen Kostet VIEL GELD und Know How ...

Außerdem müsste man dann auch differenzieren, meistens kann ein Forenbetreiber nichts dafür z.B. in dem Fall das die Forensoftware eine Sicherheitslücke hat. Das bedeutet man müsste dann den Forenhersteller dafür haftbar machen. Auch hier würden viele aufhören zu Entwickeln. Warum? Weil viele Menschen das eben Kostenlos als Hobby machen. Wer ist den Haftbar für ein OpenSource Produkt? Wo eine ganze Community dahinter steht?

Meistens tauchen Sicherheitslücken auch erst auf, wenn sie eben ausgenutzt wurde!

Bei einem Kommerziellen Produkt ist das ganz anders, da könnte jemand haften der dafür Geld verlangt.Aber auch hier gilt, jedem ist freigestellt den Dienst zu nutzen oder eben nicht. Und auch hier wäre in einem Fall der Kompromitierung eben das Produkt nicht in Gefahr. Man kann ja weiterhin das Produkt benutzen ohne Probleme.

Meine Meinung ist daher ganz einfach, jeder ist selbst für seine Daten verantwortlich. Jeder ist selbst dafür Haftbar, wenn er es sich einfach macht und überall die selben Login Daten benutzt. Solange es Menschen gibt, die so fahrlässig mit der Passwortvergabe umgehen solange wird man auch Hacker finden, die es auf PP Konten und Co. abgesehen haben.

hoss hat geschrieben:

imhotep hat geschrieben:Echt jetzt?
Hm, wie wäre das denn hier im Forum zum Beispiel? Sagen wir mal, die Leute, die das hier unentgeltlich machen, machen mal einen Fehler. Jeder Mensch macht ja mal einen Fehler. Jedenfalls erbeuten irgendwelche Leute meine Zugangsdaten dieses Forums. Ich selbst war noch so doof, die selben Zugangsdaten für mein Paypal Account zu verwenden. Die Diebe waren etwas cleverer und prüfen so etwas natürlich als erstes. Und siehe da, sie schicken fröhlich Kohle von meinem Paypal Account irgendwohin in die Welt.
Soll ich dann die Betreiber dieses Forums in Haftung nehmen? Ist es das, was Du meinst? Oder müssen sie noch mit strafrechtlichen Konsequenzen rechnen? Weil das für Dich "einem Mord" gleichkommt!...

Ich wüsste jetzt nicht, das Paypal Accountdaten auf dem Forumserver lagern.

Teilweise schon, da es genügend Einfältige gibt, die sich mit z.B.

Username: Alfred E. Neumann
Passwort: Mad-Magazine

nicht nur hier anmelden, sondern auch bei PayPal. (Das war jetzt bloß ein Beispiel!)
Hat man obiges abgegriffen, probiere ich die Webseiten durch: Adobe, PayPal, Amazon, Google, ....

kris-kelvin hat geschrieben:Die Gauner können bei ADOBE nur die Liste der Zugangsnamen und die der HASH-Werte klauen.
Doch das sollte ihnen nichts nutzen, denn mit Zugangsnamen und HASH-Wert können sie sich nicht einloggen.
Dumm wird es, wenn die Gauner den ADOBE-HASH-Algo gestohlen haben.

Nunja, die HASH-Werte werden doch größtenteils durch Standard-Algos berechnet.

z.B. von dem geknackten SHA-1 -> https://www.heise.de/security/meldung/F ... 22005.html

https://de.wikipedia.org/wiki/SHA-2

Meine sind auch sauber.

Ich hab mal meine frühere Mailadresse eingegeben und siehe da, die ist betroffen.
Die Domain inkl Mailadresse habe ich seit über nem Jahr nicht mehr ..........