News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

[Gandalf2210]

@Hax0r123
Geschieht dem Andre ganz Recht, so oft wie der immer die Chef hat raushängen lassen. #willkür

Naja, der Großteil meiner Accounts ist nur um links in Foren zu sehen. Die wichtigen Sachen haben 2 Faktor auth

 

[Knuddelbearli]

Geht ueber folgenden Link: https://haveibeenpwned.com/DomainSearch

EDIT:
Habe es gerade ausprobiert, auf meiner Domain keinen Breach, auf meiner alten gmx-Adresse zwei

Breaches — 1 email found

Email Pwned sites

kickstarterXXX@XXXXXX.XX Kickstarter


gar nicht mitbekommen das Kickstarter gehackt wurde aber gut zu wissen

 

[Bartmensch]

Also bei mir hat sich nichts geändert. Zwei Adressen sind mal irgendwo aufgetaucht. Passwörter haben ich schon mehrmals geändert.
Paswörter in Foren oder anderen Anwendungen haben nichts mit denen meiner Mailaccounts zu tun...Von daher keine Gefahr in meinen Augen.

 

[M-X]

"Have I Been Pwned" wird ein immer interessantes ziel für Hacker, die haben gleich alles aufeinmal.

Da hast du natürlich recht, aber die aktuellen collections sind ja auch schon fast alle öffentlich verfügbar und trotzdem werden sie zum kauf angeboten. Es geht darum das die taten alle als Paket verfügbar sind.

Kann aber auch sein das die nur Hashes von der Mailadresse speichern, da wäre es kein Problem. Ich gehe davon aus das sie keine Passwörter speichern. Nur die info ob das Passwort auch dabei war.

 

[CrEaToXx]

Naja, der Großteil meiner Accounts ist nur um links in Foren zu sehen. Die wichtigen Sachen haben 2 Faktor auth

Warum das bis heute kein Standard für alle Plattformen ist, verstehe ich nicht?

 

[M-X]

Damit Sie ihre Userzahlen pushen können.

 

[mambokurt]

Man kann seine Email jederzeit auf Korruption prüfen.
Man kann Browser und seinen PC auf automatische Passwortalgorythmen programmieren.
Man kann aufhören daran zu glauben kostenfreie Virenprogramme wären zuverlässig. Gut ja, aber nicht vollumfänglich. Um kostenfreien Gesamtschutz zu erhalten, muss man mehrere Programme parallel laufen lassen. Was eventuell dazu führt, dass sich dann jeder wieder über miese Performance echauffiert.
Masterpassworte. Kein automatisches Login bzw. Speicherung von Login-/Account-/ oder im schlimmsten Fall Kontodaten(kein Scheiß, ich kenne Leute die aus Faulheit alles speichern und sich dann über "Unsicherheit" wundern).
Die Möglichkeiten die ein Router bietet möchte ich gar nicht detaillieren.
Es spricht absolut nichts gegen eine kombinierte Nutzung von Windows Defender mit "insert_any_Virenprogramm_here".

Ich fahre bis jetzt sehr zuverlässig mit einer ständig aktualisierten Fritze, G-Data, WD und im Akutfall Malwarebytes. Außerdem ist es ratsam die komplette Browserhistorie zu löschen (strg+ shift + entf), jedes mal wenn ihr das Netzt verlasst. Kann man natürlich auch automatisch machen. Ich mag es aber lieber zu kontrollieren was passiert ist. Sowas wirkt beruhigend. Das schafft auch größeren "Argumentationsspielraum", wenn man wirklich mal die Schuld auf die "Verantwortlichen" schieben möchte...

Richtig, wenn Schlangenöl nicht hilft... kippen wir noch mehr Schlangenöl drauf! Das aus der News sind alles Breaches aus Onlinesdiensten, benutz einfach für die wichtigen jeweils ein eigenes Passwort und nicht das selbe wie für den Mailaccount -> save. Browserhstory löschen? Was soll das bringen? Drölf Virenprogramme? Wenn dir wer einen aktuellen Trojaner unterschiebt hilft dir das bestimmt. Dann sieh lieber zu dass dein Mailprogramm und dein Browser nicht von sich aus irgendwelche Formate öffnen. Mach dir die Arbeit halt an den richtigen Ecken: sichere Passwörter, unterschiedlich für alle wichtigen Dienste (also fürs CB Forum würd ich jetzt nicht unbdingt ein 20 stelliges Passwort generieren lassen O.o), keine Passwörter zwischenspeichern, ordentliches OS nutzen und Router der überhaupt mal Sicherheitsupdates sieht ist schon mehr als 99.9% der User überhaupt auf die Kette bekommen. Ich weiß gar nicht warum man in 2019 überhaupt noch darüber reden muss, das sind die selben Maßnahmen die schon seit 20 Jahren angesagt sind -.-

Ergänzung (18. Januar 2019)

Warum das bis heute kein Standard für alle Plattformen ist, verstehe ich nicht?

Weil ich meine Mailadresse oder meine Handynummer nicht jedem Hirseforum gebe für 2FA? Wer keine Zahlungsdaten von mir hat kriegt auch kein 2FA, wer Zahlungsdaten von mir hat _muss_ 2FA machen, ansonsten kriegt er keine Zahlungsdaten

 

[TNM]

Ist schon viel Panikmache dabei.

Klar, war deine E-Mail 1x in irgendwas dabei, dann ist sie in ALL diesen Sammlungen natürlich für immer dabei. Ist erstmal nicht schlimm, solange man nicht das "alte" PW nutzt, selbsterklärend.

Nur weil die Adresse bekannt ist hat man nicht gleich den Einbrecher im Haus.

p.s. ruft mich wenn mal eine der Biometrischen gehackt wird, dann wirds lustig! (ändert eure PW's...ähm...ups)

 

[Yuuri]

Warum das bis heute kein Standard für alle Plattformen ist, verstehe ich nicht?

Weil es absolut unnütz ist, wenn die Plattform gehackt wird. Wenn du eh einmal Zugriff hast, kannst du von jedem User auch einfach das Passwort ändern und 2FA deaktivieren oder Konten auch einfach löschen. Du kannst auch einfach nur den Shared Key vom 2FA auslesen und zukünftig nutzen.

Aus User-Sicht aber genauso: Warum sollte ich meinen CB-Account mit 2FA absichern? Bei Amazon und anderen Sachen, wo ggf. Kontodaten liegen... Ok. Aber Foren und Co.?

 

[cbtestarossa]

Warum das bis heute kein Standard für alle Plattformen ist, verstehe ich nicht?

Weil es bei Wischiwaschi Accounts nichts bringt und du dann bei Handys deine Anonymität aufgibst.
Aber wer es will kann es sich ja optional aktivieren falls vorhanden.

 

[hide.me]

Alles schon gewusst und wie immer sehr late diese Informationen.
Wenn man bedenkt, dass nach den IT Foren erst Wochen danach bei allen anderen ankommt ist die Reaktionszeit auf solche Leaks locker 2-3 Jahre.
Ich kenne diverse Listen da ich im Auftrag meiner Firma im Netz Recherchiere.
Schon seit Jahren.
Es ist inzwischen sehr schlimm.
PW change ist Pflicht, hilft aber wenig.

 

[markox]

Hm, meine Haupt Mail Adresse ist angeblich hier von betroffen: "Adobe-Hack betrifft bis zu 150 Millionen Kunden". Dabei hatte ich zu diesem Zeitpunkt gar kein Adobe Account. Erst über zwei Jahre Später, als die Fotolia geschluckt hatten.
Eine meiner zweit Email Adressen ist gleich drei Mal schwer betroffen . Naja, die kam immer nur in Kombination mit meinem Standard Passwort für nicht sensible Accounts zum Einsatz. Auch wenn sich da jemand mit auf bestimmt über 100 Internet Seiten anmelden würde, könnte er damit keinen Schaden anrichten, außer vielleicht den US Wahlkampf zu manipulieren oder so , aber da fange ich jetzt nicht mehr mit an, bei hunderten Seiten mein Passwort zu ändern und mit nem Passwortmanager zu verknüpfen.

 

[msgt]

...Man kann aufhören daran zu glauben kostenfreie Virenprogramme wären zuverlässig...

ich habe das mal für dich korrigiert

 

[DieRenteEnte]

Bin ich richtig in der Annahme, dass das eigentliche Problem das ist, dass selbst starke Passwörter in diesen Leaks enthalten sind, weil sie unverschlüsselt von Webseiten abgegriffen wurden?

So ist das bzw. genau deshalb sind starke Passwörter nicht automatisch sicher.
Ein Passwort mit allen möglichen Symbolen von allen möglichen Sprachen und 1.000 Stellen ist wertlos, wenn die Seite zu blöd ist es richtig zu sichern.
Genauso ist es mit Trojanern oder wenn man die Kommunikation oder Daten von selbst relativ gut gesicherten Diensten abgreift.

Beispiel:
Bei einem Android Smartphone werden Tastatureingaben für Wortkorrektur, etc. zu Google geschickt und wenn ein entsprechender Angestellter eine schöne Summe für diese Daten angeboten bekommt, kann er diese verkaufen und es als "Hack" darstellen.

Oder wenn du ein "Raubmordkopierer" bist und Behörden einfach aufgrund der Gesetzeslage die Zugangsdaten von Google erhalten, ist so ein langes Passwort ebenfalls wertlos.

In diesem Sinne ist ein "normales" aber nicht dummes Passwort ausreichend, um es als Schutz gegen Kinder, Zufallseingaben durch Fremde, etc. zu verwenden.
Eine 2-Faktor-Authentifizierung ist ebenfalls sicherer, solange es nichts mit SMS zu tun hat.
SMS sind nämlich unsicher und können abgefangen werden. So ist es seit Jahren möglich sich mit einem WhatsApp / Telegram Account einzuloggen. Selbst in einer ein paar Jahre alten Doku hat es die Polizei bestätigt und damit Drogendealer die Telegram genutzt haben verfolgt.

 

[mambokurt]

"Have I Been Pwned" wird ein immer interessantes ziel für Hacker, die haben gleich alles aufeinmal.

Ja, oder sie bezahlen einfach die $45 für die 4 TB und sparen sich Aufwand und Aufsehen

Ehrlich gesagt weiß ich auch nicht was ich von solchen Sammlungen halten soll, wieviele Menschen benutzen denn in 2019 noch für wichtige Dienste das gleiche Passwort?

 

[Master1989]

Ist schon viel Panikmache dabei.

Klar, war deine E-Mail 1x in irgendwas dabei, dann ist sie in ALL diesen Sammlungen natürlich für immer dabei. Ist erstmal nicht schlimm, solange man nicht das "alte" PW nutzt, selbsterklärend.

Nur weil die Adresse bekannt ist hat man nicht gleich den Einbrecher im Haus.

p.s. ruft mich wenn mal eine der Biometrischen gehackt wird, dann wirds lustig! (ändert eure PW's...ähm...ups)

Ob Panikmache oder nich, ich hab das jetzte mal zum Anlass genommen, meine Passwörter alle neu zu erstellen.
Und jaa, ich nutze die teilweise schon sehr lange🙄😅

 

[Markenbutter]

Ich zitiere mal meinen Post aus diesem Thread Erneute Lücke erlaubte Zugriff auf Fotos von 6,8 Mio. Nutzern

Mal im Ernst, wen wunderts ? Ist ja nicht nur Facebook, denke irgendwann kommt der ganz große Knall.
Dann werden von vielen Menschen Daten veröffentlicht auf einer Seite die für alle einsehbar sind und wo man dann die ganzen dunklen "Informationen" eines einzelnen jeden Menschen sehen kann.
Mit der immer steigenden Digitalisierung und der Verschiebung des Lebens in das Internet kein undenkbares Szenario.

Kommt dem Szenario immer näher.

 

[EvilsTwin]

Only a Sith deals in absolutes...natürlich tragen beide die Verantwortung. Es können auch beide die "Schuld" tragen. Wenn du unzufrieden mit der Leistung deines Providers, oder Betreiber der Plattform bist, warum nutzt du sie dann?...also mit diesen erheblichen Sicherheitszweifeln, würde ich mich doch viel lieber im Wald einbuddeln^^

Wenn der User ein "sicheres" Passwort erstellt, das regelmäßig ändert, dann hat er getan was er kann.
Wenn so eine Seite jetzt gehackt wird, sagen wir 2 Wochen vor dem nächsten PW Wechsel, dann ist Deiner Meinung nach der Nutzer Mitschuld?
Das kannst Du sicher erläutern.
Das ich mit "meinem" Betreiber oder Provider unzufrieden bin habe ich im übrigen nirgends behauptet.
Sind die Gründe für die Unzufriedenheit systemisch, dann darf man auch einen solchen darauf hinweisen und das auch bemängeln.
Wirklich schlimm ist, das solche Platitüden die deutlich mehr notwendige Kritik bei vielen und viel zu oft abwürgt. Nach dem Motto, "was willst Du denn, Du bist doch selber Schuld".
Um auf Augenhöhe Verantwortung zu tragen/teilen braucht es auch gleiche oder vergleichbare Vorraussetzungen. Und die sind in 99,% nicht gegeben. Es wird ja sogar oft beworben das man als "großer" Player die Daten seiner Kunden viel viel sicherer verwahren kann. Das man sich damit auch prominent und asap für X Hacker interessant macht, fällt mal eben unter den Tisch.
So lohnt es dann auch.
Und genau deswegen lasse ich solche Sätze auch nur selten unbeantwortet. Eben weil zu viele das machen und womöglich noch glauben.

 

[Sykehouse]

Weil ich meine Mailadresse oder meine Handynummer nicht jedem Hirseforum gebe für

OTP for the win

 

[hide.me]

Hier verstehen viele wirklich nicht, dass solche Leaks auch mit starkem PW passieren.
Denn da werden nicht einzeln von Script Kiddies irgendwelche Brute Force Attacken gefahren.
Das geht gar nicht bei der Anzahl an Accs.
Hier werden ganz andere Mittel und Wege benutzt.
Ein gutes PW ist nur eine Basis.