News BSI: 16 Millionen gestohlene Identitäten entdeckt

[met]

Nochmal zum Verständnis:

Wenn meine Mailadresse auch betroffen ist, bedeutet das NICHT, dass auch meine Adresse gehackt wurde, oder?

Dazu das BSI:

Bei den digitalen Identitäten handelt es sich jeweils um E-Mail-Adresse und Passwort. E-Mail-Adresse und Passwort werden als Zugangsdaten für Mail-Accounts, oft aber auch für Online-Shops oder andere Internetdienste genutzt.

Heißt das zumindest irgendein Passwort vorliegt das im Zusammenhang mit der angegebenen E-Mail-Adresse genutzt wird. Es muss aber nicht zwangsläufig auch das Passwort zu dem E-Mail-Konto sein.

Ergänzung (21. Januar 2014)

Deswegen wären Informationen zur Herkunft der Daten wichtig.

Die Herkunft ist ein Botnetz. Woher soll das BSI wissen wie der Botnetzbetreiber an diese Daten gelangt ist? Am wahrscheinlichsten ist das der Inhaber der E-Mail-Adresse einen kompromittierten PC der Teil des Botnetzes ist genutzt hat um sich mit eben diesen Daten sonstwo einzuloggen.

 

[Soulfly999]

Ich werde mich also auch hüten auf die Seite vom BSI zu gehen, um meine E-Mail-Adressen quasi zu bestätigen (und dann auch noch eine IP hinterlassen).

Ist doch super kannst jetzt schön mit einem Proxy deine IP verschleiern und es wird dazu nie eine passende E-Mail geben. Uiiiii....

Sorry aber so ein Schwachsinn. Was sollen die denn dann damit anfangen.
Wenn man will kommt man viel einfacher an deine Daten. So eine Webshop oder auch Foren speichern teilweise auch gerne mal deine Mail mit ner IP. Und als wenn die nicht Ortsbezogene an deine IP kommen könnten. zur Not gehen Sie einfach zu deinem Provider.

 

[bu.llet]

Eine Sprache, welche direkt von einer Konsole oder von einem Terminal verstanden wird z.B. Python, Perl, bash oder andere Sprachen welche unter Linux direkt mit an board sind. Auf was ich hinaus wollte ist, eine Sprache die ohne den Webserver auskommt. Dazu gehört z.B. PHP nicht.

Meinst du eine Sprache die in einem Interpreter ausgeführt werden kann? Scriptsprachen?

 

[JuggernautX]

Evtl. bin ich tatsächlich Paranoid aber dem BSI traue ich keinen Meter (das hat dieser Verein definitiv auch nicht verdient), wenn die wirklich so besorgt um unsere Sicherheit sind, sollten die was gegen das Schnüffeln der USA unternehmen.

 

[Hancock]

@Cool Master:
php -f kennste nicht? Jede Sprache kann man im Terminal ausführen.
Du willst sagen, dass Apache nicht die ganze Arbeit macht, sondern irgendein anderes Modul im Hintergrund (btw. ist ein nginx-Server).

Ich test mal auch meine Emailadressen. Kann nicht schaden.

 

[met]

Ist schon der Hammer. Es gibt Menschen die Angst haben dem BSI eine Email-Adresse (ohne sonstigem Zusammenhang) mitzuteilen, gleichzeitig hat man aber Angry Birds, Taschenlampen-Apps und Barcode-Scanner auf dem Smartphone die nicht nur die eigene Identität sondern zum Teil gleich die ganze Kontaktliste an irgendeinen Internetkonzern weitergeben. *Kopfschüttel*

 

[Chriz]

Evtl. bin ich tatsächlich Paranoid aber dem BSI traue ich keinen Meter (das hat dieser Verein definitiv auch nicht verdient), wenn die wirklich so besorgt um unsere Sicherheit sind, sollten die was gegen das Schnüffeln der USA unternehmen.

Was genau denkst Du, wird das BSI mit Deiner Mailadresse anfangen? über die dynamische IP, mit der Du das Formular ausgefüllt hast, werden sie sicherlich nicht auf Deinen Rechner kommen? ein Trojaner auf der BSI-Seite? ...eher unwahrscheinlich...

Das schlimmste was wohl passiere kann ist, dass Du den wöchentlichen Newsletter "BSI aktuell" erhälst! ;-)

 

[Paratronic]

Au ja, wöchentlich 7 x "BSI aktuell"! ^^
Nach einer Stunde noch keine Mail und noch nix im Spamordner bei GMX - bin dann wohl mal raus *froi*

 

[Soulfly999]

Was genau denkst Du, wird das BSI mit Deiner Mailadresse anfangen? über die dynamische IP, mit der Du das Formular ausgefüllt hast, werden sie sicherlich nicht auf Deinen Rechner kommen? ein Trojaner auf der BSI-Seite? ...eher unwahrscheinlich...

Das schlimmste was wohl passiere kann ist, dass Du den wöchentlichen Newsletter "BSI aktuell" erhälst! ;-)

Genau, bekommst dann eine Desktop-Benachrichtigung deines komprimierten PCs nach der Eingabe deiner Email.

 

[A. Sinclaire]

Habe nun auch mal meine Emails gecheckt... meine Ramsch-Addy die seit ~10 Jahren für jeden Schrott herhält war dabei.. aber die wichtigen Email-Adressen nicht... wie vermutet.

 

[run_for_fun]

Die bisherige Quote unter den hier Kommentierenden finde ich irgendwie "erschrecken" immerhin schon 4 von 108.

Welcome to the Botnet und was nun ? Eure Reaktion finde ich ungewohnt cool

 

[Unrealfreak]

Hab gerade nachgeschaut...letzter Login war vor 4 Tagen.
Bin ich somit außen vor mit meinem WEB.de Postfach?

 

[JuggernautX]

Also Leute jetzt mal im ernst.

Wie soll den einer (der absolut keinen Plan von dieser Materie hat) an diese Sache gehen?
Zuerst mal:
-Was ist ein Botnetz?
-Wie ist das BSI an diese Liste gekommen?
-Was wird denn mit einer "geklauten Mailadresse" angestellt und wenn sie geklaut wurde und irgendein Unfug damit gemacht wird, warum bekommt der reguläre Besitzer kein "Feedback"?
-Was passiert wenn ich das PW von diese Mailadresse ändere oder soll ich den Acc löschen?

Die ganze Sache ist doch vollkommen undurchsichtig, nicht klar nachvollziehbar und auch nicht plausible

Das BSI könnte ja auch die ganzen hier abgefragten Mail zu irgendwelchen Zwecken sammeln, wer weiß was da noch kommt. Kann das irgendwer ausschließen?

 

[fox40phil]

Leute bitte fallt nicht darauf rein und verwendet auf keinen Fall die BSI Seite!

ändert einfach eure Passwörter und dann hat sich das alles schon erledigt! Anstatt dass ihr denen jetzt eure Mail Adresse gebt...

 

[DERLanky]

Ist schon der Hammer. Es gibt Menschen die Angst haben dem BSI eine Email-Adresse (ohne sonstigem Zusammenhang) mitzuteilen, gleichzeitig hat man aber Angry Birds, Taschenlampen-Apps und Barcode-Scanner auf dem Smartphone die nicht nur die eigene Identität sondern zum Teil gleich die ganze Kontaktliste an irgendeinen Internetkonzern weitergeben. *Kopfschüttel*

Der mit großem Abstand beste Kommentar auf diesen Seiten. Das sollte sich jeder mal auf den grauen Zellen zergehen lassen. Trotzdem schadet es nicht die BSI Seite zu ignorieren und einfach alle Passwörter zu ändern. Hier sei noch bedach das ein reines ändern der Passwörter des Mailaccounts nicht reicht. Gibt es Seiten oder Dienste bei denen man sich mit der Mailadresse + Passwort anmeldet und hat man dann das selbe Passwort verwendet wie für den Mailaccount, sollte man dies natürlich auch ändern.

Da ich auch beruflich viele Passwörter benötige kann ich nur jedem RoboForm als lokale Version (ohne Cloud Speicherung) empfelen. Eins der wenigen Programme dessen Kauf ich bis heute nie bereut habe.

 

[run_for_fun]

Alles schlechte was du dir in der Computerwelt vorstellen kannst, können die Jungs, die das Botnetz betreiben mit Hilfe "deines" Computers durchführen. Von Versand von Spam, Ddos-Attacken bis hin zu Klickbetrug. Auf Wikipedia kannst du dir mal Details ansehen.

 

[JuggernautX]

Leute bitte fallt nicht darauf rein und verwendet auf keinen Fall die BSI Seite!

ändert einfach eure Passwörter und dann hat sich das alles schon erledigt! Anstatt dass ihr denen jetzt eure Mail Adresse gebt...

Diese Bedenken habe ich auch aber anscheint sind wir in der Minderheit.....

 

[Yuuri]

Ich glaube auch nicht, das google Millionen an Servern hat. 1 Mio Server vielleicht, aber nicht mehrere Millionen.

Nein?

"We have something over a million servers in our datacenter infrastructure," said Ballmer, noting that the build-out started in support of the Bing and Office 365 services, which provided institutional knowledge that is being built into Azure server farms.

Ballmer only lays claim to second place from those billions of dollars in capital expenditures that funded datacenters all over the world. "Google is bigger than we are. Amazon is a little bit smaller," he said.

http://www.artificialbrains.com/google/datacenters (entspricht 1.836.440 Servern) -> https://plus.google.com/+JamesPearn/posts/VaQu9sNxJuY (etwa nun genau ein Jahr alt)

 

[LeChris]

Ich halte diese News und die nicht sehr kritische Bewertung seitens CB ebenfalls für sehr bedenkenswert. Welche Sicherheiten sind denn hinterlegt, dass hier nicht eine Datenbank mit e-Mail-Adressen, welche eine "Identität" überhaupt repräsentieren, erst aufgebaut wird? Was würde ich machen, wenn ich so etwas wollte?

- Angst schüren
- eine als verbreitet vertrauensvoll propagierte Instanz (BSI) darstellen oder benutzen
- die leider ziemlich "einfach" denkende Masse einfach nach einem "Check" fragen - eine mit Zufallsmoment ausgelöste Antwort ist ja nur recht und billig


PS: e-Mail-Datenbanken haben die Dienste und jeder sonstige Stakeholder sowieso. Wahrscheinlich auch Techniken, um diesen einen Score zu verpassen, ob die eher Ramsch oder ernsthaft genutzte sind. So eine Abfrage kann solche Scorings bestätigen oder Verbesserungspotential aufzeigen...

 

[Creeed]

Das Schlimme ist ja nicht dass es Leute gibt die meinen die Seite wäre nur zum Abfischen der Mailadressen da. Das Schlimme ist dass diese Leute noch in aufklärerischer Absicht laut schreiend durch die Foren rennen und Leuten die wenig Ahnung haben irgendwelche Horrorstories vom Schaukelpferd erzählen. Mit den so vorgebildeten "Pseudo Spezialisten" haben es dann nachher Kundendienstler und andere Dienstleister zu tun die sich mit dem angeblichen Fachwissen herumschlagen dürfen.

Jeder Leidgeprüfte in der Richtung neigt zum schlagartigen Erwürgen des Kunden wenn der sagt "Aber in der ComputerBILD [hier eventuell anderen Verbreiter von geistigem Fußpilz einfügen] steht das aber anders." Ich mache dann in der Regel meinen Koffer zu und gehe mit dem Hinweis er solle sich an seinen geistigen Beglücker wenden, der hat ja anscheinend mehr Ahnung. Auf solche Kunden kann ich gerne verzichten.

@LeChris
Wenn ich Daten haben will gehe ich zu einen Adresshändler. Derzeitiger Kurs für Name, Adresse, Mailadresse, 89 Cent pro Datensatz wenn die Daten verifiziert sind. Wenn ich will kann ich jetzt sofort 20.000.000 Datensätze nur für Deutschland kaufen, gar kein Problem. Wenn ich ein wenig mehr zahle mit allen anderen wichtigen Daten wie Telefonnummer, Kontonummer usw. Das ist kein Schattenhändler oder was illegales. Nein, das ist ein offizieller Datenhändler hier im Ort, übrigens einer der größten Deutschlands. Das Geschäft ist völlig legal.