Bin ich paranoid? Facebook gehackt

[CyborgBeta]

Ich verstehe nicht, weshalb immer behauptet wird, der Facebook-Account sei "gehackt" worden ... Es ist äußerst unwahrscheinlich, dass sich jemand externes Zugang zum Account verschafft hat. Obendrein ist es rufschädigend, denn du behauptest ja indirekt, dass die Datenbank oder der Login von Facebook kompromittiert sei.

Wahrscheinlicher ist es, dass du einfach unachtsam warst, und Freunden, Bekannten oder Partnern, etc. dein Facebook-Passwort mitgeteilt hast (auf welchen Weg auch immer). Das ist aber kein "Hacking" - sondern eher "social engineering".

 

[AGB-Leser]

Viele FB Accounts, viele GMX Adressen... Na wenn das mal nicht einer gewissen Arbeit gewidmet war, egal welche Politische Richtung, aber es wurde bestimmt gut geflamed

Wenn irgendwie alles kompromittiert wurde, bist du vielleicht noch woanders gehackt, da nützt auch dein PC Reinstall nix. Und auch immer die Frage, warum hat es dich so getroffen?

Hast du mal geschaut wo deine Mail Adressen überall geleaked/gepwned wurden? Mobile Geräte richtig geprüft? Auch deine GoogleMail geprüft?

Wie jetzt? Nur weil jemand mehrere Konten bei einem Dienst hat, wird einem gleich so eine scheiße unterstellt?
Vielleicht mal auf die Idee gekommen, dass man Freundes- und Kollegenkreise anders nicht getrennt bekommt? Tut mir leid, aber das war ja wohl nichts...

 

[PolarNacht]

Ich verstehe nicht, weshalb immer behauptet wird, der Facebook-Account sei "gehackt" worden ... Es ist äußerst unwahrscheinlich, dass sich jemand externes Zugang zum Account verschafft hat. Obendrein ist es rufschädigend, denn du behauptest ja indirekt, dass die Datenbank oder der Login von Facebook kompromittiert sei.

Wahrscheinlicher ist es, dass du einfach unachtsam warst, und Freunden, Bekannten oder Partnern, etc. dein Facebook-Passwort mitgeteilt hast (auf welchen Weg auch immer). Das ist aber kein "Hacking" - sondern eher "social engineering".

Das habe ich zu 100% definitiv nicht. Ich weiß das sowas natürlich schon öfter mal passiert, aber ich kann versichern das es bei mir nicht so war.
Zumal ich ja die Email bekommen habe das jemand (in dem Fall in der Nähe von Hanoi/Vietnam) das geändert hat.
Ebenso dessen Email Adresse kann ich sehen.
Ja VPN ich weiß.

 

[Dr. McCoy]

Ein unbefugter Dritter kann sich jedoch nicht einfach so durch Luft und Liebe Zugriff auf fremde Konten verschaffen.

Es gibt so viele unterschiedliche Angriffsvektoren auf verschiedenen Ebenen, die teilautomatisiert oder automatisiert erfolgen, die sich beispielsweise auf gleiche oder ähnliche Passwörter bei verschiedenen Diensten, Sicherheitslücken in der Software des Anwenders, Fehlkonfiguration oder Fehlverhalten im Rahmen von Social Engineering, usw. beziehen und dabei explizit auf den Standardanwender abzielen!

Oft lese ich, man sei ja als Normalanwender eigentlich gar keinen lohnendes Ziel für einen "Hacker". Und diese Annahme ist einfach falsch, nicht zuletzt, weil eben eine große Masse von Standardanwendern immer wieder ziemlich gleiche Fehler begeht.

Somit setzen aussichtsreiche "Mainstreamangriffe" an genau solchen Verhaltensweisen an, und sind durch den Erfolg in der Masse besonders lukrativ. Weil damit ganz einfach eine schnelle und weitflächige Verbreitung von Malware und vergleichbaren Inhalten möglich wird. Somit können auch einfach relativ viele Datensätze in kurzer Zeit abgegriffen werden.

Eine einzige Lücke im gesamten Sicherheitskonzept eines jeden Nutzers reicht bereits aus, um immer wieder solchen Problemen ausgesetzt zu sein.

Um so etwas zu verhindern, ist also Konsequenz auf gesamter Breite notwendig, und nicht nur punktuelle Maßnahmen.

 

[CyborgBeta]

Das habe ich zu 100% definitiv nicht. Ich weiß das sowas natürlich schon öfter mal passiert, aber ich kann versichern das es bei mir nicht so war.
Zumal ich ja die Email bekommen habe das jemand (in dem Fall in der Nähe von Hanoi/Vietnam) das geändert hat.
Ebenso dessen Email Adresse kann ich sehen.
Ja VPN ich weiß.

Hast du denn jetzt noch Zugang zu deinem Account?

Verwendest du eigentlich Windows? Ist das immer aktuell?

 

[PolarNacht]

Wie gesagt, ich vermute Zugriff auf meine alte gmx Adresse welches zu meinem verschulden ein eher Lasches passwort hatte (ist gelöscht) die stand tatsächlich auch auf mehreren Listen und Spambots.
Das Facebook passwort war computergeneriert.

Beim zweiten Account kann ich es allerdings nicht nachvollziehen.
Es bestanden bei keinen der Accounts 2FAs

Ergänzung (30. Juni 2023)

Hast du denn jetzt noch Zugang zu deinem Account?

Verwendest du eigentlich Windows? Ist das immer aktuell?

Zum Hauptaccount von Facebook theoretisch ja. Kann mich einloggen aber scheitere dann an der gesetzten 2fa welche nicht von mir ist.
Passwort ändern ist möglich, aber eine fremde Email wurde ebenfalls eingetragen.
Ein Ausweisdokument werde ich sicher nicht bei FB hochladen. So wichtig ist mir das dann doch nicht.
Da ich keinen echten Namen dort verwendet hatte sondern einen Künstlernamen wäre das sowieso schwer zu erklären und zu verifizieren.

Beim anderen wurde meine Email Adresse entfernt und eine fremde eingefügt. Da besteht keine Möglichkeit.

Windows 10, aktueller Build

 

[CyborgBeta]

@PolarNacht Dann bleiben ja jetzt nur zwei Möglichkeiten, entweder, FB ganz den Rücken zu kehren, oder sich neu (mit Echtdaten) zu registrieren. Zweiteres aber nur, wenn du sicher sein kannst, dass dein Computer/PC/System nicht kompromittiert ist, also, dass kein Virus drauf ist. Und dann, wie üblich, eine sichere Mail verwenden, ein sicheres Passwort und ggf. auch 2FA aktivieren.

 

[PolarNacht]

Ja FB hab ich den Rücken gekehrt. Ich brauche es nicht mehr.

Ich habe danach umgehend wie bereits geschrieben alle Passwörter Computergeneriert geändert auf 16 Zeichen, (manche hatten das schon) allen Accounts wo es möglich ist eine 2fa aktiviert und vom Google Authenticator zum besseren Aegis Authenticator gewechselt, auch wegen der Backup Funktion und der Appschutz ansich.
Windows wurde neu installiert, war ungewollt da ich in der registry was versemmelt hatte, aber so hatte es immerhin einen nutzen.
Alte Konten auf Seiten die ich nicht mehr nutze habe ich, sofern möglich gelöscht.
Ebenso 2 Email Adressen gelöscht, und ausgedünnt

 

[CyborgBeta]

Und die Frage des richtigen Passwort-Managers ist auch nochmal heikel und wird gerne kontrovers diskutiert ... ich will keine Werbung machen, aber ich verwende https://bitwarden.com/de-DE/ und bin damit bisher immer gut ausgekommen. Falls ein Wechsel in Betracht gezogen wird, sollten die bisherigen Passwörter erst sicher exportiert und dann sicher importiert werden.

 

[PolarNacht]

Ja da bin ich auch noch am überlegen... Derzeit verwende ich den von Google und hab mich ebenfalls schon über Passwortmanager informiert.

Ansonsten hab ich meine Passwortliste noch auf interner SSD (keine Betriebssystemplatte) und extern auf USB Stick sowie externe Festplatte gesichert.
Danke für den Tipp mit Bitwarden.
Reicht hier auch schon eine Freeversion aus?

 

[User007]

Ansonsten hab ich meine Passwortliste noch auf interner SSD (keine Betriebssystemplatte) und extern auf USB Stick sowie externe Festplatte gesichert.

Hierbei geht's ja nicht um die redundante Sicherung (Backup) der PW-Listen, sondern um eine Erschwernismethode für nicht authorisierte Zugriffe durch bspw. Verschlüsselung zu schaffen/nutzen.
​

Reicht hier auch schon eine Freeversion aus?

Einige Passwort-Manager sind eh OpenSource und stehen unter GPL, somit sind sie kostenfrei nutzbar.

Recherchier' dazu bspw. mal hier - und entscheide Dich für das für Dich Passende.​

 

[PolarNacht]

Also im Grunde auch besser als der von Google, welchen ich aktuell verwende, nehm ich an.
Werd ich mir auf jeden Fall anschauen, vielen Dank 🙂

 

[User007]

[...] besser als der von Google, [...]

Da muß man halt damit rechnen, dass von G* zur Verfügung gestellte (insbesondere kostenfreie) Dienste durchaus auch von denen (so, wie auch von anderen Anbietern) ausgewertet werden (können) - nur das Anbieter, die eine (öffentlich verifizierbare) Dienstleistung eh nur kostenfrei und nicht noch in kostenpflichtigen Varianten anbieten eben auch kein Interesse an Deinen pers. Daten haben, um Dir dazu passend Angebote/Werbung etc. "unterzujubeln".
Ein mögl. Risiko darfst/kannst/sollst/mußt Du für Dich selbst zuweisen.​

 

[PolarNacht]

Ist richtig ja. Ich dachte ja auch mal der Google Auth. wäre gut genug und reicht völlig. Bis ich die Open Source Aegis Auth. gefunden hatte bzw als Empfehlung sah. Und ja, so vieles Besser dort.

Ich denke ich gehe wie CyborgBeta mit Bitwarden. Auf alle Fälle besser als der Google Manager, was ja nicht gerade schwer ist.

 

[AGB-Leser]

wenn's nur um otp geht, kann ich dir noch andOTP empfehlen. Die funktioniert komplett offline und kann eine Sicherung der appdaten lokal machen.

 

[PolarNacht]

Ja hab ebenfalls ohne Cloud, ist möglich, aber speichert auch Lokal Backups ab nach jeder kleinsten Änderung, oder halt manuell.

Irgendwie bin ich nun, da ich in dem ganzen langsam fahrt aufnehme, auch gewillt, selbst die Emailanbieter zu wechseln.
Hat jemand Erfahrung in beispielsweise Tutanota? Oder was nutzt ihr so als Emailanbieter?

 

[AGB-Leser]

Du kannst deine Mails ja auf verschiedenen Diensten verteilen, falls einer mal rumspinnt

 

[CyborgBeta]

Reicht hier auch schon eine Freeversion aus?

Ja, die free Version reicht vollkommen aus. Lass dir bitte keinen Quatsch erzählen.

Mit KeePass wärst du in deinem Fall unsicherer dran. Das ist die einzige taugliche open source Alternative.

Ergänzung (2. Juli 2023)

Du kannst deine Mails ja auf verschiedenen Diensten verteilen, falls einer mal rumspinnt

Deine Abneigung gegenüber Google ist ja schön und gut, aber hier geht es um Sicherheit. Da nützt dir AGB lesen auch nicht viel. Dein Datenschutz interessiert keinen.

 

[MaliByte]

Für Emails kann ich gerne Posteo(.de) weiterempfehlen. Kostet allerdings 1€/Monat. Nutze ich schon seit Jahren und bin sehr zufrieden mit dem Dienst.