News Gamigo: Angeblich elf Millionen Passwörter frei verfügbar

[Fortatus]

Ach so wenn du des Schlüssel in deinem Auto stecken lässt, bist du natürlich nicht schuld.
Wenn du deine Haustür offen stehen lässt bist such auch nicht schuld, schon klar.
Es sind die die diese Dummheit ausnutzen.
Komisch das deine Versicherung in diesen Fällen nicht zahlt weil es grob fahrlässig war.

Und das selbe gilt hier.
Komisch das es andere schaffen ihre Daten zu sichern.

Wenn man das Auto in die Garage stellt (Die Passwörter stehen nicht im Klartext auf der Seite) und den Schlüssel stecken lässt, kann einem zugegebenermaßen eine Mitschuld gegeben werden. Aber selbst wenn die Garage schlecht gesichert ist, ist derjenige, der sich unerlaubt Zutritt verschafft der Kriminelle. Bevor man die Passwörter bekommt, muss man in die Datenbank einbrechen.
Und wenn man sich Zutritt verschafft hat, kann man den Autoschlüssel abziehen, an der Haustür klingeln und denjenigen drauf hinweisen.
Oder man fährt mit dem Auto weg bzw. stellt die 500MB ins nächste Forum.

Dazu kommt, dass, wenn du dein Auto bei einem Dienstleister parkst und es dort gestohlen wird, der Dienstleister haftbar ist.

Selbst wenn die Haustür offen steht, fällt nicht direkt der komplette Rechtsschutz weg, sondern derjenige kann noch für Hausfriedensbruch, unbefugtes Betreten o.Ä. belangt werden. Es hängt auch von der Schwere der Fahrlässigkeit ab, welche Konsequenzen sowas hat.

 

[Rob83]

Meine mail ist auch dabei -.-
Wie wäre es mal mit gesalzenen Strafen für so Luschen?
Ist das zum Sport geworden Kundendaten praktisch ungesichert rumliegen zu lassen?

Und was hat das mit Autos zu tun? Bei der Registrierung wurde einem Sicherheit versprochen, wo ist diese nun? Wo die Entschädigungen für den Aufwand? Gutscheine, games?

 

[AsusIntelNvidia]

Mich würde diese Liste auf jeden Fall in der Richtung interessieren, das ich wissen möchte ob meine unzähligen Passwörter alle sicher sind, und nicht mit einer simplen Wörterbuch Atacke geknackt werden könnten

 

[Creeed]

...Die Passwörter stehen nicht im Klartext auf der Seite...

Aber im Klartext in der Datenbank, alleine dafür gehört der Programmierer gesattelt und mit 80 gegen die Wand geritten. Welcher halbwegs klar denkende Progger baut so etwas und welcher Honk nimmt so etwas überhaupt für den Livebetrieb ab? Verschlüsseln, egal welcher Algorithmus, und Salt sollte inzwischen Standard sein. Wenn das nicht vorhanden ist würde ich mir arge Bedenken um die Gesamtsicherheit des Systems machen. Aber die Firmen denken anscheinend nicht so weit. War es nicht bei einem der Sony Hacks wo aufgefallen ist dass neben der Kreditkartennummer auch die Codes der Karten in der Datenbank gespeichert wurden? Da waren doch die Kreditkartenunternehmen auf dem Kriegspfad weil das nun wirklich nicht vorkommen sollte. Ich möchte nicht wissen was dann in Datenbanken von Google oder Facebook alles vor sich müffelt an Daten...

Von der Qualität der Passwörter mal ganz abgesehen, inzwischen sollte doch schon der letzte Indianer mitbekommen haben wie man vernünftige Passwörter bastelt, ist ja jetzt nicht so dass in den letzten Wochen keine Hacks bekannt wurden. Allein die Geschichte mit Yahoo und GMX sollten jedem zu denken geben.

 

[Sir_Sascha]

@Mods: wie sieht das denn eigentlich hier bei CB aus? Hier sind doch die PWs sicher gut geschützt oder? Und mich würd ja auch brennend interessieren wieviele Angriffe denn so im Monat die Seite zu verzeichnen hat. Das dürfen doch sicher auch welche sein, denn unbekannt ist CB ja mittlerweile nicht mehr.

 

[Raptor2063]

also ich sehe es auch so:
Erster Schuldiger ist ganz klar der/die Täter, er wußte was er tut und nimmt die Folgen in Kauf, erst recht wenn er solche Daten mehr oder wenig jedem frei zur Verfügung stellt.
Aber der Betreiber trägt ganz klar eine Mitschuld wenn er es einem Täter leicht oder besonders leicht macht und sollte auch entsprechend dafür haften.

Eine 100%ige Sicherheit gibt es nicht, also pauschal den Betreiber mithaften zu lassen wäre auch falsch, dennoch gibt es immer einen aktuellen Stand der Technik und diese sollte vorhanden sein. Ist er es nicht und es passiert was gehört er ebenfalls mitbestraft. Ich denke wenn die Gesetzeslage so klar geregelt wäre würden auch viel mehr Betreiber mehr tun.

Das fängt bei mir schon allein da an, dass unsichere Passwörter (zu kurz, keine Groß/Kleinschreibung, keine Sonderzeichen etc. ) gar nicht zugelassen werden! Und ganz klar müssen diese Verschlüsselt abgelegt werden.
Als weitere Sicherheitssperre könnte man z.B. zwei komplett getrennte Datenbanken nutzen, auf einer liegt nur das Passwort auf der anderen Name/Email und verbunden über Pointer welcher aber wieder verschlüsselt/codiert sind. Dann müsste man zumindest in zwei Systeme einbrechen und bräuchte noch den entsprechenden Schlüssel um zu wissen was wozu gehört.

Es gibt auf jeden Fall Mittel und Wege es einem eventuellen Einbrecher zumindest deutlich schwerer zu machen! Man kann nur hoffen, dass endlich draus gelernt wird. Trotzdem sollte man auch alles dran setzen solche Penner zu erwischen und einzuknasten!

 

[Elcrian]

Es war eine der ersten Sachen die ich (nach Vigenère) zum Thema Cryptologie lernen durfte: Passwörter werden a) verschlüsselt (und zwar via Einweg-Hash wie MD5 oder SHA) und b) gesalzen.
Ist das hier passiert, wäre ja sogar ein "nur" mit MD5 verschlüsseltes PW (was übrigens nicht "unsicher" ist) nur noch via Dictionary-Attack rauszufinden. Wer nun aber "ente" als Passwort hat dem ist nicht zu helfen.

Wäre es im Klartext gespeichert wäre es eine unfassbare Blöd- und Frechheit.

 

[Riou]

Mein Account ist nicht betroffen!

 

[Takoru]

Ouch, mich hats erwischt.

Vollidioten, verdammte. Passwörter gehören richtig gespeichert!

 

[przszy]

Artikel-Update: Inzwischen hat sich Gamingo zu dem Zwischenfall geäußert:

Wie bekannt, gab es Anfang März 2012 einen Sicherheitsvorfall beim Online-Gaming-Anbieter GAMIGO, im Zuge dessen Nutzernamen und Passwörter einer älteren Datenbank-Version entwendet worden sind.
Diese Daten sind jetzt offenbar erneut im Netz aufgetaucht, enthalten nach unserem Wissen aber keine neuen Erkenntnisse.

Alle erforderlichen Maßnahmen wurden damals umgehend eingeleitet. Dazu gehörten die Information aller betroffenen Nutzer, das Zurücksetzen der Passwörter, die Abschaltung der gehackten Datenbank, eine umfassende IT-Sicherheitsprüfung, das Offline-Stellen von Teilbereichen des Angebots, die Information der zuständigen Behörden sowie die Klärung juristischer Fragen.

Selbstverständlich werden wir die jetzige Veröffentlichung zum Anlass nehmen, den Vorgang erneut kritisch zu überprüfen.

 

[SiTcaC]

Mein account ist nicht betroffen zum Glück.
Habe aber Pw geändert man weiss ja nie

 

[MrTengu]

Ouch, mich hats erwischt.

Vollidioten, verdammte. Passwörter gehören richtig gespeichert!

Falsch. Passwörter gehören NIE gespeichert. Immer nur Hashes.

Übrigens, ganz einfacher Test, ob eine Seite euer Passwort speichert: Verwendet die "Passwort vergessen" Funktion. Bekommt ihr euer Passwort zugeschickt, wird es gespeichert. Wird ein neues generiert, ist alles ok.

 

[Dese]

@highspeed opi

alle leute die ich kenne die raubkopieren haben sehr wohl das geld um sich spiele zu kaufen aber haben einfach keine lust für etwas geld auszugeben was man ohne probleme gratis bekommt
vor allem wenn leute wie du solch einen klaren fall von diebstahl bagatellisieren
wer sich ein gaming pc oder eine konsole leisten kann um diese raubkopierten spiele zu spielen der kann sich auch spiele dazu leisten
außerdem geht mir diese rechtfertigung aber sowas auf den keks
kein mensch hat ein angeborenes anrecht auf luxusgüter
wer meint arm zu sein muss halt damit leben, genau wie ich damit leben muss, dass ich kein milliardär bin

du hast die argumentation mal überhaupt nicht verstanden.
ausserdem macht mir dein umfeld sorgen... Oo

außerdem lehne ich mich mal sehr weit aus dem fenster und behaupte, dass durch raubkopien deutlich mehr menschen geschädigt werden als durch 100 millionen geklaute emails
der schaden einer geklauten mail liegt nämlich genau bei 0€ bis maximal spam
dazu ist der schaden gratis zu beheben durch ein wechsel des passwortes

du bist schon längst aus dem fenster gefallen bei der theorie...

 

[Wishbringer]

Es die so viel gerühmte Verhältnismäßigkeit:

Wenn man einen Schuppen hat, wo nur alter Schrott drin ist, reicht ein Haken, um die Tür zuzuhalten,
wenn da Werkzeug drin ist, kommt ein einfaches Sicherheitsschloss vor,
wenn man einen Sportwagen in der Garage hat, setzt man noch eine Alarmanlage und eine Verriegelung ein.
wenn Goldvorräte ala Fort Knox gelagert werden, ist es ein Hochsicherheitscenter mit Armee, Überfliegverbot, 5m Wänden etc.

Nun haben Millionen Accounts, wo Bankdaten hinterlegt werden ein nicht unbeträchtliches wirtschaftliches Gewicht.
Da reicht der Haken oder das Vorhängeschloss nicht. Im virtuellen Raum ist da Fort Knox gefragt und nicht die Billiglösung.

Das nur zu Euren Auto, Haustür und Brückengeländervergleichen.

 

[Zeboo]

Eine Anzeige gegen Gamigo wäre jetzt das einzig richtige. Wenn meine Bank meine Daten auch einfach so auf einem "alten DB" oder gleich auf die offene Straße setzen würde wäre ich auch nicht begeistert.

 

[dflt]

Dass unregistriert PwndList meint, einen Treffer zu haben und mit Registrierung dann auf einmal kein Treffer mehr, ist mir auch passiert..
Wie das hier bei CB mit der Verschlüsselung etc. ist wäre auch interessant, wobei ich bezweifel dass man hier "schlecht" damit umgeht. Gamigo hingegen hat damit wirklich auf ganzer Linie versagt, wenn verschlüsselte geklaut werden, meinetwegen - shit happens. Aber MD5 bei alten Datenbanken und teilweise blanke PWs sind einfach strafenswert.

 

[Euphoria]

Ah sind ja nur 4 Monate vergangen bis man das meldet
Es muss eindeutig ein Gesetz her, der sowas bestraft. Ich meine es würde auch sofort Probleme geben, wenn ein Unternehmen Kundenakten irgendwie in einem offenem Gebäude für jeden frei zugängig platzieren und nicht genügend Vorkehrungen vornehmen.

Auch die Hacker verstehe ich nicht so recht, die schaden damit höchstens den Anwendern und nicht dem Unternehmen, denn die machen weiter wie bisher. Wenn man schon sowas veröffentlicht, sollte man unter Umständen es soweit zensieren, dass man die Daten nicht missbrauchen kann.

 

[LtBill]

Also März ist schon krass und ziemlich dreist von solch einem Unternehmen! Hätten jetzt die Hacker die Listen nicht veröffentlicht, wäre der Diebstahl mit Sicherheit nie bekannt gegeben worden!

 

[TNM]

Die Leute sollten nur eine Lehre aus dieser und ähnlichen Sachen ziehen:

Ihr seit selbst verantwortlich für eure Sicherheit, denn diese Unternehmen werdens nicht für euch tun. Also, so wenig Klarnamen wie möglich im Netz, Wegwerf-E-mails für alles was nicht beruflich ist (da ist dann auch das PW egal) und nur Zahlungsmittel nutzen bei denen ihr Zahlungen abbrechen/zurückbuchen könnt ohne Beweispflicht (z.b. Kreditkarte).

Stichwort Cloud: genauso unsicher für Privatleute, wer dort wichtige Daten hochläd dem ist auch nicht mehr zu helfen.

 

[Takoru]

Falsch. Passwörter gehören NIE gespeichert. Immer nur Hashes.

Übrigens, ganz einfacher Test, ob eine Seite euer Passwort speichert: Verwendet die "Passwort vergessen" Funktion. Bekommt ihr euer Passwort zugeschickt, wird es gespeichert. Wird ein neues generiert, ist alles ok.

Super Info, vielen Dank!