WARNUNG! 16 Millionen E-Mail-Adressen geknackt

[macfan]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem großflächigen Identitätsdiebstahl. Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Mehr als die Hälfte gehört zur .de Top-Level-Domain.

Auf der Seite https://www.sicherheitstest.bsi.de/ könnt ihr feststellen, ob ihr betroffen seid. Wenn ja, solltet ihr schleunigst das Passwort ändern.

Gruß, Horst

[JayTee]

Die Seite ist total überlastet...

... hab gerade zehn accounts testen lassen

Was ich allerdings ein bisschen blöd finde, man bekommt nur ne Mail wenn gehackt.
Hätts schon besser gefunden wenn man auch informiert würde wenn nix passiert ist.

[macfan]

Was ich allerdings ein bisschen blöd finde, man bekommt nur ne Mail wenn gehackt.

Und die Mail geht an den gehackten Account, den man nicht mehr abfragen kann, falls der Hacker das Passwort geändert hat .

Gruß, Horst

[JayTee]

Jepp, etwas "unschlau"

[Gerti]

Hi!

Oh, eine EMailadressensammelstelle...

Gruß,
Gerti

[Twilight]

twilight

[macfan]

[quote="Gerti"]Oh, eine EMailadressensammelstelle...[/quote]
Du musst für dich entscheiden, ob du dem BSI glaubst, dass deine E-Mail-Adressdaten nach dem Test gelöscht werden oder ob du lieber das Risiko eingehst, mit einem gehackten Account, der für Shopping, Weiterleiten von SPAM usw. genutzt werden kann weiterzuarbeiten. (Der Rechner wurde dann u. U. auch noch gehackt.) Das muss jeder selbst wissen...

Gruß, Horst

[wohliks]

[quote="macfan"]...oder ob du lieber das Risiko eingehst, mit einem gehackten Account, der für Shopping, Weiterleiten von SPAM usw. genutzt werden kann...[/quote]Prinzipiell müsste es ja ausreichen, wenn man bei allen seinen Accounts das Passwort ändert (und dabei ein starkes Passwort verwendet): Geht das nicht mehr, weil der Hacker ein neues Passwort gesetzt hat, guckt man eh' dumm und braucht eine neue Mailadresse - kann man sich anmelden und sein Passwort ändern, guckt der Hacker dumm, denn er kann mit den gehackten Passwort nix mehr anfangen.

Ob die Funktionsweise Testseite des BSI so eine Super-Idee ist, weiß ich nicht recht, denn: Wenn der Account gehackt ist, kann die Antwortmail abgefangen werden und ich kriege nichts mit - wenn er nicht gehackt ist, krieg' ich keine Rückmeldung - wozu soll das Ganze dann eigentlich gut sein?

[macfan]

Prinzipiell müsste es ja ausreichen, wenn man bei allen seinen Accounts das Passwort ändert

Nicht unbedingt. Sollte man befallen sein, sollte man laut BSI auch mehr tun:

Betroffene Internetnutzer sollten in jedem Falle zwei Maßnahmen ergreifen:

Der eigene Rechner ebenso wie andere genutzte Rechner sollten auf Befall mit Schadsoftware überprüft werden. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt, die hierfür genutzt werden können.

Anwender sollten alle Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops, E-Mail-Accounts und anderen Online-Diensten nutzen. Es sollten auch diejenigen Passwörter geändert werden, die nicht zusammen mit der betroffenen E-Mail-Adresse als Login genutzt werden. Dies ist deshalb empfehlenswert, weil im Falle einer Betroffenheit die Möglichkeit besteht, dass ein benutzter Rechner mit einer Schadsoftware infiziert ist. Diese kann neben den in den Botnetzen aufgetauchten Benutzerkennungen auch andere Zugangsdaten, Passwörter oder sonstige Informationen des Nutzers ausgespäht haben.

Es ist dann schon etwas aufwändiger, wenn das per Verdacht gemacht wird.

Ob die Funktionsweise Testseite des BSI so eine Super-Idee ist, weiß ich nicht recht, denn: Wenn der Account gehackt ist, kann die Antwortmail abgefangen werden und ich kriege nichts mit - wenn er nicht gehackt ist, krieg' ich keine Rückmeldung - wozu soll das Ganze dann eigentlich gut sein?

Ich finde das auch nicht so toll. Bei mir geht es aber trotzdem. Ich habe einen Haupt-E-Mai-Zugang, bei dem ich sicherheitshalber das Passwort geändert habe. Der sammelt bei allen anderen die Mails ein und würde einen Fehler melden, wenn ein Passwort nicht mehr funktioniert.

Gruß, Horst

[macfan]

Hier ein Link zu den Problemen des Verfahrens.

Gruß, Horst

[007]

Laut der Panikmache in den Medien können die Hacker nun mit den gekapertem
E Mail Konten einkaufen und anderen Schabernack treiben.
Verstehe ich nicht ganz.
Ob Amazon, Ebay oder sonst ein Händler bei dem ich einkaufe, nur mit meiner Mail
Adresse ist es nirgendwo möglich etwas zu bestellen.
Und Mails von Ebay enthalten nicht meinen Ebay Namen.
Bei allen Konten meiner Internet Shops habe ich einen Anmeldenamen und
ein Passwort.
Nur mit der E Mail Adresse kann man da nicht wirklich etwas anfangen.

[wohliks]

[quote="007"]Laut der Panikmache in den Medien können die Hacker nun mit den gekapertem E Mail Konten...[/quote]Wenn man mal die Horrormeldungen außer Acht lässt und sich bei seriöseren und fachlich versierteren Quellen informiert, formt sich ein sehr viel differenzierteres Bild:

Es geht nämlich nicht (bzw. nicht hauptsächlich) um gekaperte E-Mail-Accounts, sondern man hat eine Liste gefunden, die aus E-Mail-Adressen und Passworten besteht - es kann sich also genausogut um einen Zugang zu einem Webforum, Webshop oderwasauchimmer handeln, bei dem eben die Mailadresse als Username dient (und davon gibt's ja jede Menge).

Besonders blöd ist das vor Allem für diejenigen, die aus Bequemlichkeit für alle Zugänge - und womöglich auch den E-Mail-Account - das gleiche Passwort verwenden.

Sollte wirklich der Mailaccount gekapert sein, kann der Kaperer natürlich auch die BSI-Mail abfangen - in dem Fall ist keine Antwort vom BSI noch längst keine Entwarnung.

Schlauer wär's gewesen, den Nicht-Betroffenen eine ausdrückliche Entwarnungsmail zu schicken (und die Betroffenen könnte das Problem wesentlich besser eingrenzen, wenn sie wüssten, welches ihrer Passworte denn ausgespäht wurde, weil eigentlich nur so eine Zuordnung zu einem bestimmten Zugang möglich wäre).

Auf jeden Fall schadet es nicht, den Rechner mal wieder von desinfec't oder einem anderen geeigneten Tool eingehend untersuchen zu lassen...

[Gerti]

Hi!

Das ganze ist mir suspekt.
Auf meine erste Eingabe auf der Webseite kamen Stunden später eine Hand voll Emails, dass meine Adresse betroffen sei. Ob der Code korrekt war, wusste ich nicht mehr, da ich mit einer schnelleren Antwort gerechnet hatte...ich meine aber, er ist korrekt gewesen.
Habe das Formular daher gestern und auch heute noch einmal ausgefüllt, dieses mal aber keine Antwort bekommen.
Wie kann das sein, dass meine Adresse einmal drin sein soll und am nächsten Tag nicht mehr?

Gruß
Gerti

[Stiefel72]

Ja so kann man auch schnell an ganz viele Adressen kommen.

[steve]

Erste Auswirkungen?

[Roemer]

... da muss man erst mal drauf kommen.

[wohliks]

Erste Auswirkungen?

Genau da zeigt sich das Problem der BSI-Aktion: Es gibt unzählige Dienste, bei denen die Mailadresse als Benutzername für den Zugang dient - ohne detaillierte Kenntnis der kompromittierten Passwörter ist dem betroffenen User aber eine Zuordnung nicht möglich.

Bleibt also nur, bei wirklich allen Accounts, wo die Mailadresse zur Benutzeranmeldung genutzt wird, die Passworte zu ändern...

...und die Erkenntnis, dass es ausgesprochen leichtsinnig wäre, für alle Zugänge das gleiche Passwort zu verwenden.

[macfan]

die Erkenntnis, dass es ausgesprochen leichtsinnig wäre, für alle Zugänge das gleiche Passwort zu verwenden.

In der Tat. Gerade habe ich eine Mail von einem Online-Händler (spiele-offensive.de), bei dem ich öfter kaufe, erhalten. Auch hier wurden die Daten gestohlen:

wir müssen Ihnen leider mitteilen, dass die Datenbank unserer Onlineshops das Ziel eines erfolgreichen Hackerangriffs geworden ist. Der Datendiebstahl fand am 1. Februar 2014 statt und richtete sich auf die bei uns gespeicherten Kundendaten. Nach unseren Erkenntnissen ist es den Angreifern gelungen, Datensätze unserer Kunden zu kopieren. Sehr warscheinlich sind auch Sie davon betroffen.

Diese Daten wurden dabei von den Angreifern erbeutet:
- Vorname
- Name
- Emailadresse
- ggf. das verschlüsselte Passwort

Betroffen sind sowohl die Daten von Kunden mit als auch von Kunden ohne Kundenkonto. Sollten Sie ein Kundenkonto bei uns führen, ist das Passwort ebenfalls, allerdings ausschließlich in verschlüsselter Form, betroffen. Wir verwenden aus Sicherheitsgründen eine Ein-Wege-Authentifizierung, durch die man das eigentliche Passwort nicht ohne erheblichen Aufwand ermitteln kann. Dennoch empfehlen wir all unseren Kunden, ihr Passwort regelmäßig zu ändern. Insbesondere dann, wenn Sie das Passwort auch für andere Dienste verwenden, sollten Sie es auch dort ändern.

Nach bisherigen Erkenntnissen sind Bankdaten vom Angriff NICHT betroffen. Kreditkartendaten oder Daten von Internetzahlungsanbietern, wie z.B. Paypal speichern wir grundsätzlich nicht. Bitte beobachten Sie dennoch Ihre Kontobewegungen ganz genau. Unerlaubten Abbuchungen können Sie bei Ihrer Bank einfach und schnell widersprechen.

Wichtig:
Die erlangten E-Mailadressen und Namen werden sehr warscheinlich für Phishingversuche eingesetzt werden. Achten Sie insbesondere auf E-Mails, in denen Sie gebeten werden, Paypalzahlungen zu authorisieren oder Paypalpassworte abzugleichen oder etwas derartiges bei anderen Zahlungsdienstleistern zu tun. Ebenso gefährdet sind Zugangsdaten für soziale Netzwerke, wie Facebook oder Twitter oder zu sehr bekannten Onlineshops, wie Otto, Zalando oder Amazon. Durch die passende Anrede werden diese Emails täuschend echt aussehen. Die Emails werden auf jeden Fall Links zu einer Webseite enthalten, die der Originalwebswite täuschend ähnlich sieht. Achten Sie daher ganz besonders darauf, ob die URL, also die Webadresse im Browser, die richtige ist. Im Zweifel geben Sie die Adresse Ihres Zahlungsanbieters lieber selbst direkt in den Browser ein, bevor Sie sich einloggen. Öffnen Sie außerdem keine E-Mailanhänge, die Sie nicht erwarten oder die ungewöhnlich erscheinen!

Gruß, Horst

[TV-Junkie]

Hat da jemand ein tolles System wegen der Passwörter? Eines zu zu machen, was z.B. eine Geschichte ist, davon z.B. die anfangsbuchstaben jedes Wortes, ggf hier und da als Zahl, ist ja noch einfach. Meiner einer ist aber auf X diensten angemeldet, das kann ich mir nicht merken Ich brauche also was, was sicher ist (na ja, was ist schon sicher), aber die Passwörter irgendwie enthält

[macfan]

Es gibt ja Programme, die Passwörter managen. Dann musst du dir nur eines merken. (Das darf aber nie geknackt werden!) Dennoch hast du dann für jede Anmeldung ein eigenes Passwort.

Ich verwende 1Password. Das läuft auf allen Plattformen.

Gruß, Horst