ComputerBase Menü
Aktuelles

GMX-Sicherheitswarnung, Databreach

Eigenbrötla

Eigenbrötla

Cadet 4th Year
Registriert
Jan. 2009
Beiträge
125
Heute bemerke ich plötzlich, dass das Mailabholen von einer meiner GMX-Adressen, über imap, nicht mehr funktioniert. Dann kam von GMX die Sicherheitswarnung:

Zu Ihrem persönlichen Schutz haben wir vorsorglich Ihr Postfach gesperrt, da unsere automatischen Sicherheitssysteme Unregelmäßigkeiten beim Zugriff auf Ihren GMX Account festgestellt haben bzw. Ihre GMX E-Mail-Adresse von einem sicherheitsrelevanten Vorfall bei einem externen Online-Dienst betroffen sein könnte.
Wir werden Sie aus diesem Grund beim nächsten Login auffordern, Ihr Passwort zu ändern.

Und in einer zweiten Mail:
Verdacht auf Fremdzugriff – jetzt prüfen!
Eine Prüfung unserer Sicherheitssysteme hat ergeben, dass sich Dritte unbefugt in Ihr GMX Postfach eingeloggt haben. Mit dieser E-Mail möchten wir Sie über die Hintergründe und die ergriffenen Gegenmaßnahmen informieren.
Nach unseren Ermittlungen müssen wir davon ausgehen, dass sich Dritte über aus unbekannten Quellen erbeutete Zugangsdaten Zugang zu bestimmten Nutzerkonten von GMX verschafft haben. Die verwendeten Zugangsdaten stammen nach unseren bisherigen Erkenntnissen aus einem früheren Data-Breach eines anderen Unternehmens und sind nicht durch eine Sicherheitslücke bei GMX bekannt geworden.
Wir haben ermittelt, dass die Angreifer in den betroffenen Nutzerkonten Filter-, Weiterleitungs- und Löschregeln für bestimmte eingehende E-Mails eingerichtet haben. Die Angreifer wurden dadurch in die Lage versetzt, die betroffenen Postfächer einzusetzen, um im Namen des Postfach-Inhabers beispielsweise Accounts bei eBay-Kleinanzeigen einzurichten und zu administrieren.
[...] Nach dem derzeitigen Ermittlungsstand haben wir, abgesehen von dem Umstand, dass die Filter-, Weiterleitungs- und Löschregeln eingerichtet worden sind, keine weiteren Hinweise darauf, dass dies tatsächlich geschehen ist. Vorsichtshalber empfehlen wir Ihnen jedoch, auch persönlich genau zu beobachten, ob Sie ungewöhnliche Aktivitäten in Bezug auf Ihr Postfach feststellen.
Zur Sicherheit haben wir alle eingerichteten E-Mail-Filterregeln in den betroffenen Postfächern zurückgesetzt.
Ich habe also versucht, mich auf der GMX-Webseite einzuloggen. Wurde aufgefordert, das alte Passwort einzugeben und darunter ein neues. Klappte, und nach Check meiner persönlichen Daten, Weiterleitungsadresse, Filterregeln ... stellte ich keinerlei Änderungen fest. Meine umfangreichen Filter waren nicht gelöscht, nur deaktiviert. Habe alle genau geprüft und wieder aktiviert.

Konkrete Frage nun: Was genau ist da passiert, könnte passiert sein? Mein Passwort für dieses GMX-Konto war 12-stellig, alphanumerisch, mit Sonderzeichen usw. Ich habe es ausschließlich für den GMX-Account verwendet. Was genau ist ein Databreach? Wenn ich diese GMX-Adresse auf einer anderen Seite verwendet habe (mit anderem Passwort) und diese Seite gehackt wurde, haben die Hacker nur meine Mailadresse bekommen und das Passwort für die Seite dort, aber nicht das Passwort für meinen GMX-Account.

Danke für Erläuterungen, ich will das verstehen.
 
  • Gefällt mir
Reaktionen: madmax2010
  • Gefällt mir
Reaktionen: madmax2010 und BFF
  • Gefällt mir
Reaktionen: madmax2010
Auf https://haveibeenpwned.com/ war ich schon, da sind 6 Breaches:
Adobe: In October 2013
Anti Public Combo List (unverified): In December 2016
Collection #1 (unverified): In January 2019
Exploit.In (unverified): In late 2016
Gamigo: In March 2012
River City Media Spam List (spam list): In January 2017
Das alles ist nicht gerade aktuell. "Adobe" also, hm, 2013, und Gamigo, schon möglich, dass ich dort vor 12 Jahren mal einen Account hatte ... Das andere sind Listen mit meiner Adresse plus Pwd, aber es ist unklar, wo das abgegriffen wurde, richtig?
Auf https://sec.hpi.de/ilc/?lang=de sind ebenfalls Adobe u. Gamigo vertreten und diverse Listen.
Wenn ich auf https://haveibeenpwned.com mein altes Passwort prüfe, wird gemeldet, es sei auf keinen Hackerlisten aufgetaucht. Bleibt die Frage, wie kam da angeblich jemand in mein GMX-Konto?

Soll ich jetzt auf Verdacht bei allen Accounts, für die ich besagte GMX-Adresse verwende, das Passwort ändern? Das sind richtig viele! Bei zwei wichtigen habe ich es soeben geändert.
 
Ja. Wenn es Selbiges war wie bei GMX.

Man kommt rein mit dem richtigen Passwort.
 
  • Gefällt mir
Reaktionen: madmax2010 und redjack1000
NEIN, das GMX-Passwort habe ich nirgends sonst verwendet. Ich glaube offen gesagt auch nicht, dass wirklich jemand in meinem GMX-Konto drin war. Jedenfalls ist das Passwort da jetzt geändert.
Das Zweite aber ist, ob ich auf Verdacht diverse Accounts auf anderen Seiten mit neuen Passwörtern ausstatten soll? Würdet ihr das tun?
 
Ja.
Ergänzung ()

Achso.

Eigenbrötla schrieb:
Nach dem derzeitigen Ermittlungsstand haben wir, abgesehen von dem Umstand, dass die Filter-, Weiterleitungs- und Löschregeln eingerichtet worden sind
Zum Vergrößern anklicken....

Hast Du mal nachgeschaut ob das mit den Filtern/Weiterleitung/ etc. Regeln bereinigt ist?

GMX schreibt nicht umsonst persoenlich an. Wenn die Recht haben, sollte irgendwo Dein Account benutzt werden um irgendwas in Deinem Namen zu tun und Du solltest das nicht mitbekommen in den Mails.

Und deswegen solltest Du Dich schleunigst darum kuemmern das alle Deine Accounts wo die GMX-Adresse eingetragen ist abgesichert sind.
 
Zuletzt bearbeitet:
Nochmal: Ich verstehe nicht, wie jemand sich in meinen GMX-Account einloggen konnte (wenn es bei GMX selbst angeblich kein Problem gegeben hat).
Zweitens: Die Mail war nicht nur an mich: "Zugang zu bestimmten (!) Nutzerkonten von GMX" ... Und der Betreff heißt "Verdacht (!) auf Fremdzugriff". Bei einigen wurden also Weiterleitungen eingerichtet. Bei mir nicht, ich habe alles überprüft. Tatsächlich etwas weitergeleitet scheint bei niemandem worden zu sein.
Drittens: Ich habe diese GMX-Adresse seit zig Jahren, alle zu ändern ist quasi unmöglich, und auch unnötig, weil diese Seiten keine persönlichen (richtigen) Daten von mir haben. Aber an relativ wichtigen gibt es schon 12, wie ich gerade in meinem Passwortmanager recherchiert habe. Die werde ich wohl ändern, aber heute freut mich das nicht mehr. Erstmal danke.

PS: 2-Faktor-Authentifizierung habe ich nicht, weil GMX dafür die Telefonnummer braucht/will. Und ein Mail-Weiterleiter von mir bestimmt keine bekommt. Erstens weil ich nie sicher sein kann, zu welchen anderen Zwecken GMX die Nummer noch verwendet (Werbung), zweitens, weil ich, wenn etwas mit dem Account passiert, die Nummer auch noch wechseln muss.
 
Zuletzt bearbeitet:
Leute, es KOTZT mich an. Es ist wieder passiert. Selbe GMX-Adresse. Wieder muss ich beim Anmelden auf der GMX-Homepage ein neues Passwort vergeben, weil sie das alte gesperrt haben. Wieder stelle ich keinerlei Änderungen in meinem Konto fest. Aber alle Mailfilter sind von GMX deaktiviert worden, muss sie also alle durchsehen und wieder aktivieren. Wieder sagen sie mir, der Databreach muss außerhalb von GMX stattgefunden haben. Das ist unmöglich, weil ich auf etlichen Seiten wie gesagt ebenfalls die Passwörter gewechselt habe - und dort NIE das GMX-Passwort verwendet habe. Es kann sich also gar keiner bei mir auf GMX mit einem anderswo erbeuteten Password eingeloggt haben ...
Wie oft geht das Spiel jetzt noch? Hat einer eine Erklärung, was da gerade bei GMX abgeht? Ich scheine nicht das einzige Opfer zu sein.
 
  • Gefällt mir
Reaktionen: micha47
Hast Du 2FA an bzw. nutzt Du die GMX App?

Nachfragen ob man die IP woher der Angriff kam bekommen kann werden die wohl ablehnen wegen Datenschutz oder so.

Bei einem Microsoft Account sieht man wenigstens noch woher ungefähr und mit welchem System der Account angefragt wurde.

Die Möglichkeit GMX zu verlassen, zumindest für das Wichtigste eine alternative Adresse zu verwenden, besteht nicht?
 
Nein, keine 2FA. Weder will ich auf meinem Smartphone die GMX-App installieren, noch GMX meine Smartphone-Nummer geben.
Ich habe mehrere GMX-Adressen, die anderen sind nicht betroffen. Meine wirklich wichtigen Mailadressen sind gar keine GMX-Adressen, sondern von meinem ISP. Das Problem, die besagte GMX-Adresse einfach zu kübeln, habe ich schon genannt: ich habe sie auf schätzungsweise 50+ Webseiten als Kontaktadresse angegeben. Das wäre nicht nur die Arbeit, die Seiten abzuklappern und eine neue Adi einzutragen, sondern erstmal rauszufinden, wo überall ich die GMX-Adresse verwendet habe (habe da 3 Passwortmanager i.w.S.).
Werde morgen den GMX-Support kontaktieren und mal gucken, was ich rausfinde. Aber wahrscheinlich werden mir die auch bloß die 2FA empfehlen.
 
Eigenbrötla schrieb:
Nein, keine 2FA. Weder will ich auf meinem Smartphone die GMX-App installieren, noch GMX meine Smartphone-Nummer geben.
Zum Vergrößern anklicken....

Dann musst Du mit solchen Dingen leben. 2FA dient einzig Deiner Sicherheit. GMX ist es im Grunde egal und hat auch keine weiteren Interessen an Deiner Mobilnummer.
 
  • Gefällt mir
Reaktionen: BFF und Dr. McCoy
Eigenbrötla schrieb:
Leute, es KOTZT mich an. Es ist wieder passiert. Selbe GMX-Adresse. Wieder muss ich beim Anmelden auf der GMX-Homepage ein neues Passwort vergeben, weil sie das alte gesperrt haben. Wieder stelle ich keinerlei Änderungen in meinem Konto fest. Aber alle Mailfilter sind von GMX deaktiviert worden, muss sie also alle durchsehen und wieder aktivieren. Wieder sagen sie mir, der Databreach muss außerhalb von GMX stattgefunden haben. Das ist unmöglich, weil ich auf etlichen Seiten wie gesagt ebenfalls die Passwörter gewechselt habe - und dort NIE das GMX-Passwort verwendet habe. Es kann sich also gar keiner bei mir auf GMX mit einem anderswo erbeuteten Password eingeloggt haben ...
Wie oft geht das Spiel jetzt noch? Hat einer eine Erklärung, was da gerade bei GMX abgeht? Ich scheine nicht das einzige Opfer zu sein.
Zum Vergrößern anklicken....
Ich kann Dir leider auch nicht sagen, was dort gerade die Gründe sind, ich habe aber das gleiche Problem wie Du - und zwar auch am 12.03.2024 (10:32) und am 18.03.2024 (16:50)
Das PW für GMX verwende ich nur dort und habe ich natürlich nach dem 12.3. geändert und auch das verwende ich nur dort.
Die Filterregeln sehen für mich auch gut aus, sind aber alle disabled - allerdings schreiben sie auch etwas von "zurückgesetzt", vielleicht meinen sie damit, dass sie sie deaktiviert haben, vielleicht aber auch, dass sie sie auf einen früheren Stand zurückgesetzt haben.
Die 2FA habe ich bisher auch nicht aktiviert, da bin ich noch hin- und hergerissen und muss es mir genauer ansehen - ich möchte mich ungerne zu abhängig von meinem Smartphone machen bzgl. des Zugriffs auf mein Mailkonto.
Also kann ich leider nicht viel beitragen, außer dass ich genau die gleiche Situation an den gleichen Tagen habe.
 
  • Gefällt mir
Reaktionen: Eigenbrötla
@micha47: Da bin ich ganz bei, auch in der Einstellung zur Smartphone-Abhängigkeit. Mit 2FA ist die GMX-App obligat. Das heißt, man kann nicht mehr mit Thunderbird (imap) die Mails abholen. Ich will sicher nicht 2 Geräte haben (PC und Smartphone), auf denen Mails eingehen. Auch glaube ich nicht, dass man den GMX-Newsletter in der App wegfiltern kann wie in Thunderbird.
Ich habe ja keine Ahnung, aber einen Verdacht. Könnte ein Zusammenhang mit VPN bestehen? Gestern habe ich nämlich 1, 2 Stunden vor der GMX-Sperre VPN gestartet. In der halben Stunde wird Thunderbird GMX auf Mails gecheckt haben. Wenn nun im gleichen Zeitfenster gerade jemand versucht hat 500x bei mir auf GMX einzuloggen und das "schlauerweise" mit deutschen IPs? Aber ich zusätzlich über VPN mit einer rumänischen? Könnte das die Sperre getriggert haben? Wäre eigentlich eine Schande für GMX, aber denkbar ist alles.
 
Eigenbrötla schrieb:
Könnte das die Sperre getriggert haben? Wäre eigentlich eine Schande für GMX, aber denkbar ist alles.
Zum Vergrößern anklicken....

Das ist keine Schande.
Sowas hat bei jedem Dienst zu triggern weil für den Dienst kein gewohntes Verhalten des Accounts erkennbar ist.

Outlook.com als Beispiel macht das ebenso.
Hab ich mehrfach erleben dürfen weil ein paar Bots quer durch Europa meinten meinen Account anmelden zu müssen. Spätesten nach der dritten IP war der Account zu.

Wenn Dein VPN auch noch das OS und Browser fälscht, wundere Dich nicht. Du bist selbst der Auslöser für das Zuziehen.
 
@BFF: Momentchen, so einfach kann es nicht sein. Ich würde zum ersten Mal hören, dass man, wenn man VPN laufen hat, man sich nicht mehr bei Webmails einloggen sollte. Eine solche Warnung kam mir nie unter. Allenfalls wie gesagt in der Kombination meines VPN und eines gerade stattfindenden Angriffs wäre die Sperre erklärlich. Dazu kommt ein Weiteres: Besagte GMX-Adresse frage ich in Thunderbird nicht automatisch ab, sondern nur händisch. Ich kann es nicht ausschließen, erinnere mich aber nicht, während dieser VPN-Sitzung die Mails händisch abgefragt zu haben. Andererseits fragt Thunderbird eine zweite GMX-Adresse automatisiert ab und hat das wohl auch während des VPNs getan. Diese GMX-Adresse wurde aber nicht gesperrt. Nochmal, so einfach, wie du es darstellst, wird es nicht sein.
Kontaktnahme mit GMX war gar nicht möglich, als Free-Kunde. Die vorgefertigten Antworten waren nicht aufschlussreich. Sie haben übrigens auch keinen Hinweis auf VPN enthalten.
 
Im GMX Live Chat bekommst du auch als Free Kunde direkten Kontakt zu Servicemitarbeitern:

IMG_20240319_134628.jpg

Ergänzung ()

Nachtrag, was sind denn das für VPNs, die du da nutzt?
 
Ah, okay, so ein Consumer VPN.

Ja, das wissen die VPN-Anbieter selber, dass die E-Mail-Anbieter sowas nicht mögen, und weisen daher in ihren FAQs teilweise bereits schon selbst auf mögliche Konfliktpunkte hin. Hier ein Beispiel im Anhang.

IMG_20240319_140811.jpg

Bei den großen Anbietern greifen dann einfach Automatismen im Hintergrund. Selbst, wenn das in diesem Fall nicht die Ursache wäre, ist es doch ein zusätzlicher potenzieller Konfliktpunkt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
GMX: Nach Log-In soll fremde Kontaktadresse bestätigt werden
Antworten
2
Aufrufe
3.110
Kwyjibo90
K
Irrlicht_01
GMX E-Mail Kontaktadresse geändert - aber nicht für meinen Account?
Antworten
5
Aufrufe
2.330
Irrlicht_01
Irrlicht_01
S
Merkwürdiger GMX Sicherheitshinweis.
5 6 7
Antworten
126
Aufrufe
11.571
MichiM57
M
M
GMX Filter verschwunden
Antworten
1
Aufrufe
982
kartoffelpü
K
Travis
auffällig viele fehlgeschlagene Login-Versuche in GMX-Account
2 3
Antworten
43
Aufrufe
5.217
BFF
BFF
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz