News Datenleck: BKA entdeckt 500 Mio. E-Mail-Adressen samt Passwörtern

[Merle]

@Gleipnir: und nochmal: der Datensatz hat da aber schon x Jahre beim Anbieter existiert unter Umständen. Er spielte auf alte Passwörter an. Die können Uralt sein und nur der Account wurde nie gelöscht...

 

[Gleipnir]

wenn der Account aktiv genutzt wird oder wurde und der Hack 2016 stattfand dann ist auch das PW von 2016 und nicht das was man 2005 gesetzt hat und wenn man sich 2005 mal wegen einer Frage dort registriert hat und seitdem nicht mehr dort war kann es doch einem egal sein.
Verstehe aber auch nicht warum Betreiber nicht regelmäßig ausmisten und die Leichen entfernen oder wenn sie Foren auf "Read only" setzen die alte Account DB aktiv lassen.

 

[UndTschüss]

Ich habe alle meine Passwörter in einer verschlüsselen Word Datei auf dem Desktop! Ich traue keinem Passwort Manager!

 

[Ozmog]

Nach zig Versuchen, habe ich es immer noch nicht geschafft, eine meiner Adressen zu prüfen. Ständig 503 oder 504 nach der Adresseingabe. Jetzt steht da Wartung, wo ich zuvor die Adresse eingeben konnte. Dann bleibt nur noch mir ein neues Passwort auszudenken, Mist, das war so gut. Bis ich mich dann an ein neues gewöhnt habe...

 

[Popey900]

Ich habe alle meine Passwörter in einer verschlüsselen Word Datei auf dem Desktop!

Das ist natürlich sehr praktische, wenn man unterwegs mal was kontrollieren möchte.

 

[Troma_Fanboy]

Ich hoffe es ist keine .docx sonst knack ich dir dein Dokument in 30s
In meinen Open Source Passwortmanager KeePass2 hab ich vollstes vertrauen.

Ich hab die Datei auf OneDrive gelagert um immer Zugriff zu haben und die Einträge synchron zu halten.
Für Sicherheit sorgt eine Schlüsseldatei die nur auf meinen Geräten liegt und das Masterpasswort.
So viel Sicherheit reicht mir.

 

[Koto]

Na ja auch eine TXT Datei ist sicher. Wenn Sie nicht gerade "Hier sind meine Passwörter drin an den Dieb der sie klauen will.txt"

LOL

Wenn irgendwo ne TXT liegt. Muss ein klauer ja hell sehen können. Man sollte so was aber eben nicht Online liegen haben. Sonst ist ein Klau echt der Supergau.

Also die Seite geht immer noch nicht. Da schau ich mal in 2 Wochen nochmal vorbei LOL

 

[Piktogramm]

Ich hoffe das ist Sarkasmus der da zum Tragen kommt

Ein Script zu schreiben welches auf Verdacht Dateien parst ist nicht schwer. Da sucht man ja einfach aufgebaute Sachen wie:
<username> / <password> bzw. <url> / <username> / <password>
Wobei man das mit den Textrennern entsprechend flexibel handhaben kann ohne sich ein Bein auszureißen.

 

[Launebub]

Zur Zeit sind Wartungsarbeiten ^^

 

[ripa]

Who cares, ob eine mittelprächtige Seite ausgelastet ist? Anlaufpunkt Nr. 1 ist seit vielen Jahren https://haveibeenpwned.com. Einmal den Notify aktivieren und fertig. Und als Domain Admin kann man seine gesamte Domain prüfen.

 

[AdmiralPain]

Also wenn ich das BK.A. wäre, und erst vor einigen Tagen offiziell die Legitimierung zur Überwachung per Gesetz erhalten hätte (Whatsapp, Verschlüsselung auf Verdacht überwachen) , dann würde ich mir exakt so etwas einfallen lassen.
Warum? Weil es nämlich jetzt eine Grauzone ist, und man quasi als Bürger in der Gegen-Beweis Pflicht ist.

Schon hat das BK.A. tausende neue E Mail Adressen, und meist mit klarem Namen dazu.
Und auch noch die Gewissheit, dass dieses alles aktive Nutzer sind.
Ja besser geht es doch nicht, dazu auch noch freiwillig.
Und dann beschweren sich die Leute über FaceBook Profile.

Welchen Nutzen man davon haben kann? Biometrische Daten, Analysen von User Profilen zu Namen, durch Namen und Mail Adressen, dazu das Verhalten der Person durch den Abgleich dieser Daten, und des Freundeskreis, ja auch dieser ist betroffen, denn all das ist ja auch die Konnektivität zu Whatsapp und Co (dessen Accounts für die meisten User ähnliche Namen und E Mail Adressen inne haben), was man ja seit kurzem nun auch offiziell überwachen darf.

Der Bürger aus Glas, und er ist es freiwillig, ja weil er angst hat das seine Daten missbraucht werden könnten. *hust* .
Ja, vor ein paar Jahren hätte ich das auch noch für eine billige VT gehalten, aber nach all den Gesetzesänderungen der letzten Monate nicht mehr so ganz.

 

[Mr.Smith]

"Nutzt sichere Passwörter!"

NAja, wenn die Datenbank geknackt wird und die Passwörter nicht ordnungsgemäß verschlüsselt sind, bringt das auch nix.
Es muss im Grunde heißen: Sichere Passwörter und regelmäßige Aktualisierung

mehrfaktor autorisierung..
anderer standort, anderes gerät von dem zugriff erfolgt -> erstmal noch per handy oder so zusätzlich erlauben.

und ja, ein PW Manager kann auch mal alle Daten verlieren, theoretisch.. und dann hast es verkackt.. Außer halt zusätzlich standort&gerät&browser ...

 

[Himbeerdone]

Für mich zeigt sich vorallem ein Problem auf. Das RESTLOSE Löschen von Accounts sollte wesentlich vereinfacht werden.

 

[Turrican101]

das Jahr wird ja angegeben und wenn da 2016 steht wird wohl kaum das PW von 2005 im Datensatz stehen

"Diese Daten wurden in der zum angegebenen Zeitpunkt veröffentlichten Identitätsdatenbank der jeweiligen Quelle gefunden."

Das ist der Zeitpunkt der Datenbank, nicht der Daten. Ich bekomme ab und zu z.b. Spam mit Fake-Rechnungen, in denen mein Name, meine Adresse und meine Telefonnummer steht. Alle richtig. Aber mit ner Telefonnummer, die nicht zur Adresse passt, bei der ich diese Nummer hatte und ner Adresse, bei der ich seit Jahren nicht mehr wohne.
Und wenn in dem "Leck" jetzt weitere so aktuelle Daten stehen kann mir das ziemlich egal sein. Weiß ich aber nicht, weils ja nicht angegeben wird...

 

[be_myself]

Die Seite zum Prüfen funktioniert nicht denn ein aufrufen ist nicht möglich "504 Gateway Time-out"

 

[foxio]

Find irgendwie seltsam dass man im gleichen Atemzug von "sicheren Passwörtern" direkt Passwortmanager erwähnt die sämtliche Passwörter über ein Masterpasswort freigeben... Da nutzt am Ende dann auch nichts wenn man überall andere Passwörter hat. Zumal da gerade LastPass über die Jahre immerwieder eigene Sicherheitslecks hatte.

Es gibt keine "sicheren" Passwort. Es gibt nur "einfach zu knackende" und "schwer zu knackende" Passwörter.
Gut. Man könnte auch sagen es gibt "sichere" Passwörter und "wenig sichere" Passwörter. Kommt aber auf dasselbe hinaus. Am Ende bleibt: Alle Passwörter sind knackbar.

Im Netz ist es einfach wichtig, sich ein "solides" Sicherheitsnetz zu bauen. Das heißt: Nicht zu einfache Passwörter. Nach Möglichkeit für jeden Dienst ein eigenes Passwort (am einfachsten lässt sich das sicher lösen, indem man sich ein "Basis"-Passwort mit veränderlichen Teilen ausdenkt). KeePass und LastPass halte ich auch nicht für ideal, weil man hier hinter einem "Master"-Kennwort letztlich sogar Passwörter bündelt, was sich auch aushebeln lässt.

Nutzt die Zwei-Faktor-Authentifizierung. Ja. Auch das lässt sich grundsätzlich knacken. Erhöht aber die Schwierigkeit. Und man ist eben nicht Opfer bei jedem Kinderangriff.

Benutzt das eigene Hirn - nutzt nicht überall dieselbe Mail (der Onlineshop XYZ brauch nicht deine PRIVATE oder BERUFLICHE Mail-Adresse)...

Kurz: Wände so hoch bauen, wie möglich. Am Ende aber trotzdem die Ernüchterung: Wenn jemand wirklich möchte, wird er durchkommen. Weil den 100% Schutz gibt es nicht.

Naja, du lädst hoffentlich das Key-File nicht öffentlich hoch? Ich habe das Key-File nur lokal bei mir auf dem Rechner. D.h. normalerweise hat darauf niemand Zugriff.

 

[Gleipnir]

"Diese Daten wurden in der zum angegebenen Zeitpunkt veröffentlichten Identitätsdatenbank der jeweiligen Quelle gefunden."

auch so die Daten wurden 2005 geklaut, obwohl ich da noch keinen Account hatte und das in der Mail angegebene Datum zur der offiziellen Stellungnahme passt. Dazwischen liegen Wochen und nicht Jahre, wenn ich das aber seit Jahre nicht genutzt habe ist das PW natürlich Uralt (interessiert mich dann aber auch nicht), genau so wissen wir nicht was in diesen DB steht ob diese aus Daten auch den selben Quellen stammen.

Ich habe 7 Einträge in der Mail
2x eine DB aus dem Darknet wo man nicht weiß wo die Daten herstammen und wie aktuell die sind
1x eine chinesische Seite (von 2011) wo ich definitiv nie angemeldet war
1x ein französischer ISP, kann sein das mal da ein Forum wo ich angemeldet war gehostet wurde
1x Avast mit Namen- Zeitpunkt der in der Tabelle steht ist bestätigt, im Forum muss man aber normal keinen Namen nicht angeben
1x ein Forum wo ich seit 2007 nicht mehr war und damit logischerweise auch das PW aus der Zeit stammt
1x CD Projekt Red (da gibt es auch eine Meldung das Ende 2016 das alte stillgelegt Forum gehackt wurde), habe ich aber seit Jahren nicht mehr genutzt, Account brauchte man ja damals um das Ur Witcher 1 auf Witcher 1 EE zu erweitern

 

[|SoulReaver|]

Es gibt keine "sicheren" Passwort. Es gibt nur....Kurz: Wände so hoch bauen, wie möglich. Am Ende aber trotzdem die Ernüchterung: Wenn jemand wirklich möchte, wird er durchkommen. Weil den 100% Schutz gibt es nicht.

Mein Reden mache ich auch so. Habe fünf E-Mail Adressen die in Kategorien eingeteilt sind. Für alles ein eigenes Passwort. Ich habe über zwanzig Passwörter und die sind auf Papier gut aufbewahrt, denn Papier kann man nicht hacken. Aber mit der Zeit wie bei mir merkt man sich diese. Wenn man sich im Netz mit Hirn bewegt ist das auch schon viel wert. Wichtig ist auch, dass man seinen Freundeskreis sensibilisiert. Gerade da wird mit Daten nur so freizügig herum geworfen. Solche Leute haben bei mir nichts verloren. Viele die es erwischt sind meist selber schuld, weil sie zu offen und ohne nach zu denken sich im Netz bewegen, und da haben es die Bösen dann auch leicht. Beliebt sind Gratis Programme bei denen man seine E-Mail Adresse angeben soll. Ein Klassiker.

 

[Wardaddy]

Der ewige Rat: Nutzt sichere Passwörter!

Und wie gehabt gilt der Grundsatz: Es ist äußerst ratsam, für sämtliche Internetdienste unterschiedliche Passwörter zu verwenden. Das gilt insbesondere, wenn sensible Informationen wie Bankdaten hinterlegt sind. Recht einfach lässt sich das mit Passwort-Managern wie KeePass und LastPass umsetzen, zudem sollte man – sofern es der Anbieter unterstützt – eine Zwei-Faktor-Authentifizierung verwenden.

Der Rat ist leider der Totale schwachsinn weil Schadware wie z.b LostDoor,xRat oder Ramcos über einen Keylogger verfügen und sogar die Passwörter aus dem Browser auslesen können wenn sie dort gespeichert werden.

Schaut euch mal son paar Rats und Bots an und ihr werdet schnell feststellen das euer ach so sicheres Passwort ein haufen dreck ist und viele dieser Tools verfügen auch über die Fähigkeit Keepass und Lastpass auszulesen.

Ein Passwort allein ist fürn arsch,es muss schon eine zweifaktoer Authentifizierung mindestens her ansonst bringt euch euer "Super3vilfuck1ngm3ga1337p4ssw0rd.com" garnichts.

Da grinst der Typ auf der anderen Seite und stellt es wider online,das ist jetzt etwas krass von mir Formuliert aber es ist wirklich so.

Hier nurmal eine FUnktionen eienr malware die man locker ohne Probleme erwerben kann.

Keylogger
Name Entfernt includes powerful and versatile Keylogger functionality.
The Offline Keylogger will automatically log data and store it encrypted on the remote machine.
You can retrieve it anytime, manually or automatically via AutoTasks.
–
Remcos Keylogger captures:
Keystrokes – Active Window – Clipboard Copy/Paste – Idle time​

oder

Password Recovery
–
Name Entfernt remote passwords from any popular browser:
Internet Explorer – Google Chrome – Mozilla Firefox – Safari – Opera – Yandex
–
and from a wide variety of Instant Messaging software:
Pidgin – Trillian – Miranda – ICQ – Digsby – PaltalkScene – Windows MSN/Live Messenger
–
and Email Clients:
Thunderbird – Outlook​

Die klauen euch das Super Passwort unterm Arsch weg ohne mit der Wimper zu zucken.

Online Keylogger
let’s you see what’s going on in realtime, without storing any remote log!
Any single keystroke will be displayed as soon as typed.
​

Selective Keylogger
Want to capture only user input which happens in one or more defined windows, programs or webpages? With the Selective Keylogger mode, the Keylogger will self-activate when user enters a target window, and will self-disable when exits from it.​

File Manager
Manage remote files and transfer one or multiple at once.

File Search
want to look for a file on any of your machines? Perform a fast file search on one, multiple hosts or your entire network. At the same time!​

und das sind noch harmlose Funktionen.

 

[|SoulReaver|]

Der Rat ist leider der Totale schwachsinn weil Schadware wie z.b LostDoor,xRat oder Ramcos über einen Keylogger verfügen und sogar die Passwörter aus dem Browser auslesen können wenn sie dort gespeichert werden.

Wer so blöd ist und Passwörter im Browser und anderswo auf dem PC speichert ist selber schuld. Ganz einfach...

Magst nicht noch die Keylogger und co verlinken? Ich mein was soll das hier?