|
Nachrichten: Datenhandel
Interessanter Bericht:
https://www.zdf.de/nachrichten/heute...gebot-100.html Hier kann man überprüfen, ob man betroffen ist: https://haveibeenpwned.com/ Sammelsurium aus unterschiedlichen Quellen "Der Datendiebstahl in der Datensammlung Collection Nr. 1 von 773 Millionen", betitelte Troy Hunt seinen heutigen Eintrag. Es geht dabei um 773 Millionen Mail-Adressen und 21 Millionen Passwörter. Das klingt zunächst einmal hochdramatisch und scheint gigantisch. Doch auf den zweiten Blick entpuppt sich die von Troy Hunt "Collection #1" genannte Datensammlung als ziemliches Sammelsurium. Die Daten stammen aus sehr unterschiedlichen Hacks und Datenleaks der vergangenen Monate. |
Das Tool ist uesless und prüft nur bei welchem mail Provider man ist und obs da Hacks gabe, hostet man mails selber sieht es gut aus, ist man bei gmail oder xahoo sieht es im tool schlecht aus
|
naja HIBP prüft schon explizit ob eine Mailadresse im Zusammenhang mit einem veröffentlichten Hack stehen. Sollte eine mailadresse deines privaten Mailservers mal in einer von Hunts gesammelten Veröffentlichungen sein, würde die auch bei HIBP als "pwned" erscheinen
Die aktuelle Geschichte ist mich Zweischneidig... Zum einen enthält die Veröffentlichung eine hohe Anzahl von Mailadressen, die aber wahrscheinlich über Jahre gesammelt wurden. Die veröffentliche Liste enthält nur Mailaddressen ohne Passwörter. In der selben Veröffentlichung ist, zum anderen, eine Liste mit einer großen Anzahl Passwörter enthalten (ohne Bezug zu irgendeiner Benutzerkennung). Ich habe leider noch keine Details zur Auswertung der Passwort Daten gesehen. Unter Umständen ist das auch nur ein wildes Sammelsurium aus Passwortlisten, die schon lange öffentlich sind. |
Die aktuellen Nachrichten regen hoffentlich zumindest zum Nachdenken über z.B. eine Zwei-Faktor-Authentifizierung - wenn möglich, wie z.B. bei Google und PayPal - und unterschiedliche Passwörter bei verschiedenen Konten an.
Sich mit der gleichen Mail-Adresse UND dem gleichen Passwort bei vielen Diensten anzumelden, ist fahrlässig. @Fuexline: Wenn Du mit Deinen selbst verwalteten E-Mail-Accounts auch kommunizierst, ist die Wahrscheinlichkeit dennoch groß, dass sie irgendwo von Datensammlern abgegriffen werden. Und haveibeenpwned prüft eben nicht nur, bei welchem Provider die E-Mail-Adresse gehostet wird. Ich habe es gestern mit einigen Kollegenadressen getestet. Die meisten wurden bei dem gleichen bekannten Angriff abgefischt, aber nicht alle. |
Zitat:
|
Die meisten Fahrlässigkeiten funtionieren lange ohne Probleme. Der Krug geht so lange zum Brunnen, bis er bricht.
|
Dem widerspreche ich nicht.
Meine Emailadresse mit dem dazugehörigen Passwort existiert seit 21 Jahren. Habe wohl einst das richtige gewählt. :roll: So mal am Rande. Meine erste Emailadresse gab es bei germanynet. Irgendwas mit 106.... usw. Die kenne ich nicht mehr. Danach folgte "nexgo.de", dann "arcor.de". Nexgo gibt es nicht mehr, Arcor gibt es nicht mehr, dennoch, beide funktionieren noch heute mit ein und demselben Passwort, ohne dass es je gehackt wurden. |
Zitat:
Auch spätere Änderungen sind dann echt aufwendig. Als ich alle meine Account-Mailadressen von webdomain in maildomain umbenannt habe war ich ordentlich beschäftigt. Nicht nur ändern, sondern auch erneut korrekt dokumentieren. |
Zitat:
|
@flyppo: Und bei Amazon, eBay, kleinen Krautern usw. meldest Du Dich mit der immer gleichen Kombination aus E-Mail-Adresse und Passwort an? Wohl hoffentlich nicht?
Das reine Abgreifen von E-Mail-Adressen ist ja erst mal nicht so kritisch, wenn man beim Lesen ankommender Mails das Gehirn nicht komplett ausschaltet. Ich habe schon mal Phishing-Spam mit korrekter Anrede, E-Mail-Adresse und Telefonnummer erhalten. Gelöscht und fertig, da es ungezielte Angriffsversuche waren. KI wird aber sicher auch bei kriminellen Angreifern mehr und mehr eine größere Rolle spielen, so dass gezieltere Angriffe auch ohne großen Personalaufwand stattfinden könnten. P.S.: scheinbar ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:34 Uhr. |