News Datenleck: BKA entdeckt 500 Mio. E-Mail-Adressen samt Passwörtern

[Stambischlambi]

Gut, meine 2. Email, die ich genau für solche Wegwerfzwecke führe, hats wohl irgendwann mal 2015 erwischt oO. Naja, mit der E-Mail ist daher wie gesagt eh nichts zu holen.

So ganz werde ich da aus dem ersten "Leak" aber nicht schlau.

1x Unknown (Exploit.in Compilation) August 2015 (Passwort) (was soll das denn sein?)
1x aternos.org Dezemer 2015 (Passwort) (da hat eh niemand was von und ich war da glaub auch nie wieder drin )

 

[arvan]

Exploi.In ist wie bereits gesagt eine 10GB große Passwork Leak Datenbank mit E-Mail und Kennwort im Klartext.
Macht dir also gern die Mühe und lad sie dir runter und suche selbst, du wirst deine Mail dort drin finden samt einen verm. von dir verwendeten Passwort. Die Daten sind aus unterschiedlichen Quellen gehackt worden, LinkedIn z.B.

 

[MXE]

ist doch der alte Käse mit dem Dropbox Leak von 2012 und dlh.net von 2016

 

[Beitrag]

Prüfung gemacht. Meine wichtigste Adresse (t-online) und meine Trash-Zeug-Adresse (web.de) sind safe, meine zweitwichtigste Adresse (gmail) wurde wohl im Oktober 2015 geleakt, Passwort und IP. Praktisch, dass einem auch angezeigt wird, über welche Seite/welchen Dienst die Login Informationen geklaut wurden. Ist irgendein Forum für Cheats, auf dem ich mich vor drölf Jahren mal registriert habe um die Links sehen zu können und letzlich nie irgendetwas gemacht geschweige denn runtergeladen habe. Also komplett unnötig und ärgerlich, dass durch den Spaß der Account unsicher wurde.
Dass jemand mein gmail Passwort hatte, wusste ich schon. Hatte ein paar Monate nach besagtem Zeitpunkt einen gescheiterten Google Loginversuch aus Hongkong. Das pw natürlich direkt darnach geändert auf ein anderes, dass ich nirgends sonst verwendet hatte. Etwas später hatte ich das pw dann aber doch noch bei einem anderen Dienst verwendet und vor ein paar Monaten wieder ein gescheiterter Loginversuch aus China. Von einem zweiten Leak steht in der Datenbank aber nichts. Deswegen mal ein Hinweis von mir: Es könnte sein, dass zu irgendeinem Zeitpunkt 2016/17 auch Logindaten von Warframe gehackt wurden.
Bei verschiedenen Seiten die selben Login-Informationen zu nutzen war schon grob fahrlässig. Es reicht, wenn ein Dienst gehackt wird und alle anderen sind gefährdet. Hab daraus gelernt. Seit einigen Monaten nutze ich nen Passwortmanager und hab bei allen wichtigen Diensten unterschiedliche PWs. Bei den ganzen weniger wichtigen Sachen muss ich aber noch neue PWs setzen.
Am sichersten würde man wohl fahren, wenn man auch für jeden Dienst eine andere E-Mail verwendet, das wird mir aber zu unübersichtlich und aufwendig. Überall neue verschiedene PWs und gut ist.

 

[Irrlicht_01]

Ja, bei dem p3d leak war ich dabei. Ich hatte jedoch gleich danach das Passwort geändert. Das war ein Uraltpasswort was ich zwar nur für 3 oder 4 Foren vor ca. 15 Jahren benutzt habe, aber trotzdem habe ich jetzt mal diese Accounts etc mit neuen individuellen Passwörtern versehen.

Wurde auch Zeit..

Es könnte sein, dass zu irgendeinem Zeitpunkt 2016/17 auch Logindaten von Warframe gehackt wurden.

Sowas, gerade bei der Überprüfung meiner Passwortliste gesehen, dass ich das Warframe Passwort noch bei ungefähr 10 anderen Adressen verwende (Onlineshops, die ich ewig nicht besucht habe).

Das werde ich später auch noch ändern in individuelle Passwörter.
Wenn das getan ist hat endlich jede noch so unbedeutende Seite ihr eigenes Passwort. ..Und die Sicherheitssünden aus vergangenen Dekaden haben ihr Ende gefunden.


PS: Das mit dem gescheiterten Loginversuch auf Google aus China hatte ich auch schonmal vor ca. 3 Jahren. Zu dem Zeitpunkt waren meine wichtigen Accounts aber schon alle mit individuellen Passwörtern belegt bzw. sogar mit 2-Wege Sicherheit über das Handy, wenn verfügbar. Weder beim Hasso Plattner Institut, noch auf der Seite HaveIbeenpwned findet sich ein Hinweis auf einen leak. Da fragt man sich schon, wann und wie die da drangekommen sind bzw. welche Leaks nicht bekannt sind.

Man passt ja schon auf, öffnet keine Mailanhänge, ist nicht auf unseriösen Inetseiten unterwegs und schließt auch keine USB-Geräte an fremde PCs an oder gar fremde USB-Geräte an den eigenen Rechner. Sogar das regelmäßige Checken nach unbekannten Prozessen oder unerklärlichem Ramverbrauch gehört für mich dazu.

 

[N1truX]

Da fragt man sich schon, wann und wie die da drangekommen sind bzw. welche Leaks nicht bekannt sind.

Man passt ja schon auf, öffnet keine Mailanhänge, ist nicht auf unseriösen Inetseiten unterwegs und schließt auch keine USB-Geräte an fremde PCs an oder gar fremde USB-Geräte an den eigenen Rechner. Sogar das regelmäßige Checken nach unbekannten Prozessen oder unerklärlichem Ramverbrauch gehört für mich dazu.

Ich weiß nicht wie es bei Gmail ist, aber viele Mail-Clients bauen per Default keine verschlüsselte Verbindung auf und übertragen das PW ab Werk im Klartext. Vor allem Thunderbird ist in der Hinsicht ein echtes Negativbeispiel.

Angenommen Du bist in einem Public WiFi... Schon hat unter Umständen irgendwer die Adresse und das PW mitgelesen. Deswegen achte ich bei der Einrichtung jetzt immer auf eine TLS-Verbindung, bzw. nutze, sollte der Mailserver das nicht unterstützen, einen VPN-Tunnel.

 

[ZeroBANG]

hmm meine 2. mail ist sogar mehrfach dabei...

Unknown (Anti-Public Combolist) Dez. 2016 Betroffen <- was soll das sein?
epicgames.com Aug. 2016 Betroffen <- uhuh?
nexusmods.com Dez. 2015 ✓ Betroffen <- ouch
last.fm Jun. 2012 ✓ Betroffen <- benutz ich schon ewig nicht mehr...


...naja dann ist wohl klar wie die an mein Twitter passwort gekommen sind, der account wurde 2 mal übernommen (passwort wurde allerdings nicht geändert) und dann hab ich auf einmal ganz komische Leute in der friendlist gehabt die ich dann manuell löschen durfte weil der Twitter support zu blöd ist backups zu machen oder nen account zurück zu rollen (und 500+ Leute aus der friendlist zu werfen ist ganz schön klick-arbeit).

jetzt wäre interessant zu wissen WELCHE passwörter das sind (für wichtigen kram benutz ich natürlich einzigartige passwörter, aber nicht bei jedem schrottigen gaming forum).

 

[tree-snake]

Wo kann man das puncto Caseking nachlesen?

#46

https://www.computerbase.de/forum/threads/leak-hack-von-kundendatenbank.1473770/page-3

 

[Shelung]

Diese Unknown (Anti-Public Combolist), Unknown (Exploit.in Compilation) sind also nur Sammlungen.

Sehr präzise ...

Ich habe nicht den geringsten schimmer welcher Account das sein könnte. Gerade bei meiner Spam Adresse...
Naja wird wohl nur irgendwas belangloses sein...

 

[Lightning58]

Also irgendwie ist mir das suspekt

Ich habe jetzt beim HPI und bei haveibeenpwned.com meine Hauptmail und meine 2. Mail überprüft und beide tauchen nirgendwo auf. Dabei weiß ich, dass meine Hauptmail schon vor mehr als 10 Jahren geklaut wurde. Auch komisch, dass meine 2. Mail nirgendwo auftaucht, weil die oft für nicht so wichtige Sachen benutzt wie z.B. nexusmods benutzt wurde...

Es gibt ja auch noch 10minutemail für Newsletter-Gutscheine usw.

 

[Turrican101]

Man passt ja schon auf, öffnet keine Mailanhänge, ist nicht auf unseriösen Inetseiten unterwegs

Haha, es sind auch schon Rechner infiziert worden, die auf seriösen Seiten waren, weil der Virus dann über Werbung gekommen ist. Warst du 2003 schon im Internet? Da gabs mal nen coolen Virus, der den PC abschießen konnte, bloß weil der PC mit dem Internet verbunden war. Ohne dass man den Browser überhaupt starten musste.

 

[Vulture]

Frage eines IT-Laien:

Wie ist es möglich, dass ein bestimmter gehackter Dienst, sagen wir mal ein Forum, an mein E-Mailpasswort kommt?
Ich melde mich da an und gebe ja selber nur meine E-Mailadresse an.

Mir erschließt sich nicht wie die von da aus auch an mein Passwort kommen. Oder ist das Problem einfach nur, dass die Leute so dumm sind und für alles das selbe Passwort nutzen, also vom Forumspasswort aufs E-Mailpasswort geschlossen werden kann?

 

[SilentBob_]

Exploi.In ist wie bereits gesagt eine 10GB große Passwork Leak Datenbank mit E-Mail und Kennwort im Klartext.
Macht dir also gern die Mühe und lad sie dir runter und suche selbst, du wirst deine Mail dort drin finden samt einen verm. von dir verwendeten Passwort. Die Daten sind aus unterschiedlichen Quellen gehackt worden, LinkedIn z.B.

Woher genau weißt du, dass die Passwörter dort im Klartext vorliegen?
Prinzipiell würde ich mir die Exploit.In sogar runterladen, rein aus Interesse was genau bei mir betroffen ist.
Allerdings schätze ich, dass es dafür kaum eine "seriöse" Quelle geben wird und man sich dann beim Download gleich etwas einfängt.

Das HPI gibt bei mir als Datum August 2016 an; kann mMn dann egtl. nur Dropbox sein. Oder gab's zu dem Zeitpunkt noch einen anderen bekannten Leak?? Auf besonders vielen Seiten bin ich ohnehin nicht angemeldet.

 

[Himbeerdone]

Es geht nicht um das Email- Passwort. Sondern um deine Email- Adresse in Kombination mit dem gehackten Passwort des jeweiligen Dienstes (z.B. des Forums)

Oft wird- wie du schon richtig erkannt hast, die selbe Kombination überall verwendet. Dies ist das eigentliche Problem.

 

[McGybrush]

Also bei mir Ist Myspace von 2013 gelistet. Dabei hab ich den Account vorher schon in einer aufräum Aktion gelöscht/abgemeldet. Ich hab noch von 2011 eine eMail wo MySpace mich mal drauf hingewiesen hat das jemand versucht hat meine Kontaktadresse in MySpace zu ändern und wenn ich es nicht war soll ich mit bei MySpace melden.

 

[Vulture]

@0Himbeerdone:

Danke für die Aufklärung.
das heißt also wenn ich ein Passwort exklusiv für die Mailadresse und sonst nichts verwende bin ich auf der (relativ) sicheren Seite?

 

[DieRenteEnte]

@Vulture:
​Richtig. So ist es sicherer!

​So solltest du es beispielsweise mit nur einer E-Mail-Adresse handhaben:

ForumXY = Benutzername ("Vulture"), Passwort ("Vu1tuRE#32"), E-Mail-Adresse ("vulture@aol.com")
​SeiteXY = Benutzername ("Greif"), Passwort ("345#vooGEL!"), E-Mail-Adresse ("vulture@aol.com")​
Bankseite123 = Benutzername ("Papagai"), Passwort ("voGel*bunt!124"), E-Mail-Adresse ("vulture@aol.com")
usw.

​Also bei nur einer E-Mail-Adresse wenigstens verschiedene Benutzernamen mit vor allem verschiedenen Passwörtern!

​Denn wenn ich deine E-Mail-Adresse habe und dein Passwort, könnte ich bei einer beliebigen anderen Seite oder Spiel oder Shoppingseite mich mit deiner gleichen E-Mail-Adresse und dem gleichen Passwort anmelden und wenn du ganz dumm bist, dann sogar mit dem gleichen Benutzernamen. Das wäre natürlich das NonPlusUltra für jeden der dir Schaden möchte und sich ansonsten null mit Datensicherheit auskennnt. Da muss man auch kein "Hacker" sein, das schafft tatsächlich jedes Kind.


Noch sicherer ist es für jede einzelne Seite oder Forum oder sonst was:
​Verschiedene Benutzernamen +
verschiedene Passwörter +
verschiedene E-Mail-Adressen


Gehe immer davon aus, dass deine Daten bereits nach kurzer Zeit irgendwo wieder gespeichert sind.
​Somit solltest du wenigstens dein Passwort regelmäßig ändern.

Ein simples/einfaches Beispiel wäre:

Name+Seite+Geburtsdatum
​=VultureComputerBase2004

​oder

Name + Monat + Jahr
= VultureJuli2017

​Nun solltest eine Art Formel ausdenken, damit du ständig dein Passwort ändern und trotzdem merken kannst:
​Name mit Zahlen und Sonderzeichen + Teil des Monats + Teil des Jahres x 2
​= Vu1tur3JUL34

 

[owned_you]

Ich schlage ein Update des Wissens vor.
Nein, man braucht heute nicht mehr Explizit einen Anhang in der Mail öffnen, damit man sich unbemerkt Schadsoftware downloaden kann.
Nein, es ist nicht so, dass man vorher um Erlaubnis gefragt wird, weil im Zweifel dank aktueller Gesetzesänderungen die Beweislastumkehr gilt.
Nein, Anti Spyware Programme und Windows Security Updates schützen davor nicht.
Nein, dass Grundgesetz schützt aktuell auch nicht davor, weil, seihe aktuelle kürzlich getroffene weitreichende Gesetzesänderungen, welche erst durch Verfassungsklagen, welche Jahre dauern werden noch so bestand haben werden.

Alles korrekt aber trotzdem unpassend! Wenn dich die Geheimdienste der Staat ins Fadenkreuz nehmen hast du eh verkackt da nützt nur noch Stecker ziehen und selbst das nicht 100%!

Aber "normale" Angriffe finden trotz das driveby bereits uralt ist in über 90 % der Fälle immer noch auf dem guten alten Weg statt, wo die "Dumpfbacke" vor der Tastatur zu 100% erfoderlich ist! Und das sehr erfolgreich wie man immer wieder sieht! Alle Verschlüsselungstrojaner der letzetn Zeit nutzen zwar Exploits, aber um in das System einzudringen brauchten sie erst eine Dumpfbacke die draufklickte!

Nen gutes Sicherheitskonzept mit PW nicht in digitaler Form irgendwo gespeichert; sein System aktuell halten; 2 Faktorauthentifizierung auf unabhängigen Geräten; Brain 2.0 und du bist so sicher wie es nur geht!

Leider scheitert das in der Masse daran das sich die Brain2.0.exe nicht updaten lässt!


@Highspeed Opi: Naja man muss aber unterscheiden Wichtige Seiten (Geld), Wichtige Seiten (Sonstiges) und total unwichtige Seiten ... was juckt mich eine Seite bei der ich mich anmelden muss weil ich ne Info etc. suche aber danach nie wieder brauche ? da läuft die unter User:User PW: Passwort ;p oder nen shice ForenPW? absolut unwichtig also wozu extreme Sicherheit betreiben?

Bei unwichtigem nehm ich sogar sowas: http://bugmenot.com/
den der Beste Schutz sind immer noch Daten die gar nicht erst existieren.

ich ziehe bei wichtigen Sachen das Prinzip vor: PW zusammengesetzt aus Master + Dienst Anhängsel Algorythmus und wann immer möglich 2 Faktor so hast du sichere PW die du dir trotz Komplexität merken kannst! Und PW die ich mir merken kann, kann man auch nicht so einfach unbemerkt abziehen!

 

[halbtuer2]

Lol, ich bin zwar betroffen, aber: die Email war nur eine Registrierungsemailadresse und das Paßwort für das Forum, welches in benutzt habe, war mein Standartpasswort, welches ich auch hier bei CB benutze.
Was solls, ich mach mir deswegen keinen Kopf, hab auch keine Lust deswegen irgendwelche PW's zu ändern.

 

[DarkerThanBlack]

Kann die ASC-Datei nicht lesen. Hab schon mehrere Programm probiert und auch per Internet versucht, aber es kommt immer der Fehler, konnte Datei nicht lesen.
Was soll das ?
Können die nicht ein gängigeres Format für solche Checks verwenden ??