News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

bugmum schrieb:
Aus meinem Verständnis haben die doch nur die Information das es einen leak für diese emailadresse gab. Die sollten doch nicht das PW dazu abspeichern. Außerdem bedienen sie sich doch nur den allgemein verfügbaren leaks. Wozu die auch noch knacken, wenn man einfach so an alles drankommt.
Have I Been Pwned
Der Leak selber scheint aber echt hart zu sein. Das könnten dann ja mehrere Mrd. Emails + PW sein. Also im Schnitt quasi jeder xD.
Naja Passwörter kann man dort ja auch suchen. Also die wurden auch mit abgespeichert.
 
Denkwürdige Geschichte, plötzlich sprechen alle nur noch von Passwort Managern. :D

Merkwürdig, all die Jahre wurde die breite Masse dazu ermutigt sich und ihr Leben völlig zu virtualisieren und am besten auf zehn Plattformen hochzuladen und jetzt gibt’s bald einen Krieg über die Deutungshoheit über die eigenen Daten und Privatsphäre.

Bin mal gespannt welcher Großkonzern da dann das Rennen macht [und damit noch mehr Macht anhäuft.]
 
Denkwürdig ist es taucht eine Email Sammlung auf und viele sind der Meinung deren Passworts sei betroffen...... Warum auch immer ich verstehe es nicht...

Durchaus wird es hacks geben wo gegebenenfalls das Passworts mitgenommen wurde aber das hier ist einfach ne Sammlung wo einer was zusammen getragen hat genauso die Passwörter Sammlung die dabei ist.... Ich mach jetzt meine eigene liste, schreibe einfach wahrlos Emails auf die mir so einfallen

Heinz@t-online.de....... Herzlichen Glückwunsch Heinz du bist dabei der erste in meiner Liste

So weiter zu meiner Passworts Liste, 123456..... Glückwunsch jeder der es nutzt ist in meiner Liste

So ich mach noch eine Suchmaschine auf, füge die Daten ein..... In dieser können dann User sich selber suchen und wenn ich die Liste gut erstellt habe findet man sich und unterstreicht die ganze Aktion und lässt alles noch schlimmer wirken


Natürlich sollte man regelmäßig seine Passwörter mal ändern aber nicht kopflos rumlaufen weil die Email Adresse in einer Sammlung steht

Ach und wisst ihr was.... Ich kenne eine extrem gute Liste.... Da muss ich nur den Namen eingeben und schon habe ich die Adresse und Telefonnummer.... Hoffe alle die da drinne stehen wechseln schleunigst und das kopflos ihre Türschloss aus

Mal einer Terminator 1 gesehen da war das Telefonbuch sehr übel
 
  • Gefällt mir
Reaktionen: linuxxer, ZeusTheGod und ringlbob
Rexus schrieb:
Das würde ich gerne verstehen. Wenn ich auf einer Website einstelle, dass ein zweiter Faktor benötigt wird, um den Login abzuschließen, wie kann ein Angreifer dann allein mit Kenntnis meiner Email-Adresse und des Passworts diese 2FA auf meinem Account aushebeln?
Wenn irgendwo ein Hack passiert, kommt man an die Datenbank ran und kann diese mindestens auslesen. Genau das ist der Moment, wo alles offen steht. Dabei kann problemlos auch das Secret der 2FA ausgelesen werden. Wenn schreibender Zugriff besteht, kann man 2FA auch einfach deaktivieren.

Im Falle eines Hacks ist 2FA sinnlos, denn dort gibt es kompletten Zugriff auf die Datenbank. Wenn schon die Mail und ggf. Passwörter geleakt werden, ist es kein Problem auch die 2FA Secrets zu leaken. Stehen ja direkt daneben.

Wenn du nur die Daten des Leaks betrachtest, ist nur die Frage ob auch die Secrets geleakt wurden. Wenn nicht, hast du Glück gehabt und die Hacker waren wahrscheinlich nur auf die Mail-Adressen aus.
 
Hi

Ein Skandal wo keiner ist.
Die meisten Email Adressen sind alte Adressen welche über Goggle und Hotmail gehen.

Gruss Labberlippe
 
Immer noch die Frage nach der zwei Faktor Authentifizierung offen...
 
Ich habe vor kurzem eine Mail bekommen, in der in der Tat ein echtes Passwort von mir stand.
Dazu stand, dass ich über meine Webcam beim -nennen wir es mal- "Fummeln" beobachtet wurde
und 600€ in Bitcoins zahlen soll, sofern ich einer Veröffentlichung entgegenwirken mag.

Doof nur, dass mein Passwort Jahre alt war, ich diese regelmäßig ändere und dazu meine Webcam früher nur zum Skypen angeschlossen war. Ich wollte schon nach Abzügen fragen, aber man soll da ja nicht antworten. :D
 
  • Gefällt mir
Reaktionen: ringlbob und Rexus
Artiekl schrieb:
Aha, der schon wieder.
clipart-thumbs-down-5.png
 
  • Gefällt mir
Reaktionen: Schatten123
@ComputerBase
Komisch ist, dass meine ComputerBase E-Mail bei "Collection #1" auftaucht.
Ich nutze diese E-Mail nur auf ComputerBase und habe mich ansonsten viele Jahre nicht mal im Mail Account angemeldet.

Also entweder ist es zu einfach aus ComputerBase die Passwörter auszulesen oder es ist zu einfach die E-Mail auszulesen. Oder beides?

Ich habe das Passwort zwar geändert, aber wenn die Lücke weiterhin besteht, ist es fast sinnlos.
 
Zuletzt bearbeitet von einem Moderator:
Wohooo eine meiner uralt E-Mail-Adressen ist tatsächlich kompromittiert. Nutze sie seit >6 Jahren nicht mehr xD

Wenn es die aktuelle wäre, ist das nicht so pralle, aus Faulheit hab ich bei vielen Onlineshops das selbe Kennwort.

Immerhin sind nirgendwo Kreditkartendaten hinterlegt. 😅
 
mambokurt schrieb:
Ja, oder sie bezahlen einfach die $45 für die 4 TB und sparen sich Aufwand und Aufsehen ;)

Ehrlich gesagt weiß ich auch nicht was ich von solchen Sammlungen halten soll, wieviele Menschen benutzen denn in 2019 noch für wichtige Dienste das gleiche Passwort?

Sicherlich vieeeeel mehr, als Du glaubst. Und dazu auch Leute, die in den IT-Abteilungen von großen Firmen arbeiten, denn nicht jede beschäftigt sich mit Cyber Security. Sehe doch selbst, wie überfordert damit ältere Kollegen von mir sind, von dem nicht technikaffinen Teil (in anderen Abteilungen oder in meiner Familie) mal ganz zu schweigen. Und selbst wenn sie hier und da mal unterschiedliche Passwörter nutzen, machen es welche a la „Name+Geburtsdatum“ oder „PW0815“ nicht besser. ;)
Glaub mir die wenigsten nutzen generierte Passwörter und einen Passwortsafe oder wie ich alphanumerische mit Groß-/Kleinschreibung, Sonderzeichen und mindestens zwölf Stellen. Unabhängig davon bieten Banken wie zb die Sparkasse ja bis dato nur fünf Stellen an. Das ist dann ein „Login like 2001“.
Ergänzung ()

LordAKA schrieb:
Es gibt genug Untersuchungen, dass zu komplexe Passwortrichtlinien genau das Gegenteil von Sicherheitsgewinn bewirken. Einfach mal drüber nachdenken oder auch mal alternative Anmeldeverfahen in Betracht ziehen ( 2FA.) KRITIS rechtfertigt nicht alles und es gibt sicher für den Mitarbeiter auch einfachere Verfahren.

Es gab auch mal so ein lustiges Buch über Statistiken (Was wir tun, wenn nicht der Aufzug kommt). Da war eine drin, die hieß „Wen ich durch mein supersicheres Passwort daran hindere, sich in meinen Account einzuloggen?“ Die Antworten von über 95% der Leute war:

[ ] Hacker
[X] Mich

Aber das beschreibt ganz gut die Situation, warum sehr viele mit sehr einfachen Passwörtern überall im Netz unterwegs sind.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: linuxxer und ThomasK_7
Das meiste wird eh per tool generiert worden sein ^^
Ergänzung ()

ExigeS2 schrieb:
Wohooo eine meiner uralt E-Mail-Adressen ist tatsächlich kompromittiert. Nutze sie seit >6 Jahren nicht mehr xD

Wenn es die aktuelle wäre, ist das nicht so pralle, aus Faulheit hab ich bei vielen Onlineshops das selbe Kennwort.

Immerhin sind nirgendwo Kreditkartendaten hinterlegt. 😅

Dann installier dir einen Passwort Manager, da brauchst dir nur eins merken und hast dennoch auf allen Seiten verschiedene, 64 stellige PW. Blöd nur, wenn der PC gehackt wird, dann haben sie gleich alles.
 
scryed schrieb:
Denkwürdig ist es taucht eine Email Sammlung auf und viele sind der Meinung deren Passworts sei betroffen...... Warum auch immer ich verstehe es nicht...

Wenn man den Test macht, steht doch schwarz-auf-weiß in den Ergebnissen, welche Daten in "Collection #1" enthalten sind. Bei mir steht da bspw. sowohl die E-Mail-Adresse, als auch ein Passwort. Da ich die E-Mail-Adresse bei mehreren Accounts verwende, kann ich nicht sagen, um welchen Account es sich handelt. Im Zweifelsfall einfach bei allen Accounts, die in Frage kommen, mal das Passwort abändern.

So weiter zu meiner Passworts Liste, 123456..... Glückwunsch jeder der es nutzt ist in meiner Liste

Mir ist erstens der Nutzen, den eine solche "Passwortliste" haben soll, nicht klar, und zweitens verstehe ich nicht, was das mit dem Thema hier zu tun haben soll.


Highspeed Opi schrieb:
Komisch ist, dass meine ComputerBase E-Mail bei "Collection #1" auftaucht.
Ich nutze diese E-Mail nur auf ComputerBase und habe mich ansonsten viele Jahre nicht mal im Mail Account angemeldet.

Also entweder ist es zu einfach aus ComputerBase die Passwörter auszulesen oder es ist zu einfach die E-Mail auszulesen. Oder beides?

Oder die Datenbank des E-Mail-Providers und nicht die von Computerbase ist betroffen. Handelt es sich hier vielleicht um einen Yahoo-Account?
Ansonsten taucht deine E-Mail-Adresse vielleicht einfach irgendwo öffentlich auf (hier reicht ja u.U. schon ein Tippfehler) und wurde durch Dritte in einer Datenbank verewigt, die auch in Collection #1 enthalten ist.


ExigeS2 schrieb:
Wohooo eine meiner uralt E-Mail-Adressen ist tatsächlich kompromittiert. Nutze sie seit >6 Jahren nicht mehr xD

Wenn es die aktuelle wäre, ist das nicht so pralle, aus Faulheit hab ich bei vielen Onlineshops das selbe Kennwort.

Immerhin sind nirgendwo Kreditkartendaten hinterlegt.

Nochmal zum Mitdenken: Nur weil deine E-Mail-Adresse nicht in Collection #1 enthalten ist, gibt dir das keine Sicherheit, dass sie nicht kompromittiert ist!
 
Zuletzt bearbeitet:
@Rexus
Nein, kein Yahoo Account.
Die E-Mail gibt es wirklich absolut nirgendwo außer hier auf ComputerBase. Ich trenne meine E-Mail Accounts je nach Zweck und Wichtigkeit.
ComputerBase hat eine eigene E-Mail Adresse, so wie auch alle anderen "öffentlichen" Seiten in denen ich angemeldet habe, eine eigene E-Mail Adresse haben.

Das handhabe ich seit sehr vielen Jahren so, quasi seit ich das Internet nutze und damals war der Sinn davon sofort zu sehen, welche E-Mail Adresse Spam erhält und mit welcher Seite diese verknüpft ist.
Damals gab es nämlich keine Werbeblocker, Datenschutz oder Verschlüsselung... ^^
 
Highspeed Opi schrieb:
Komisch ist, dass meine ComputerBase E-Mail bei "Collection #1" auftaucht.
Ich nutze diese E-Mail nur auf ComputerBase und habe mich ansonsten viele Jahre nicht mal im Mail Account angemeldet.

Also entweder ist es zu einfach aus ComputerBase die Passwörter auszulesen oder es ist zu einfach die E-Mail auszulesen. Oder beides?

Ich habe das Passwort zwar geändert, aber wenn die Lücke weiterhin besteht, ist es fast sinnlos.
Ich erhalte auch Spam an eine E-Mail-Adresse bei T-Online.de welche ich noch niemals irgendwo benutzt habe.
 
TNM schrieb:
Ist schon viel Panikmache dabei.

Klar, war deine E-Mail 1x in irgendwas dabei, dann ist sie in ALL diesen Sammlungen natürlich für immer dabei. Ist erstmal nicht schlimm, solange man nicht das "alte" PW nutzt, selbsterklärend.


Nur weil die Adresse bekannt ist hat man nicht gleich den Einbrecher im Haus.

p.s. ruft mich wenn mal eine der Biometrischen gehackt wird, dann wirds lustig! (ändert eure PW's...ähm...ups)
naja.. ich würde mal behaupten das 90% der Internetnutzer aber immer das gleiche Passwort benutzen und auch nicht ändern, von daher ist das schon ein Problem, vielleicht nicht für computerbase Nutzer, aber für die Allgemeinheit schon.
 
  • Gefällt mir
Reaktionen: linuxxer und BorstiNumberOne
Rexus schrieb:
Ich hätte jetzt argumentiert, dass das Erraten eines Passworts unwahrscheinlicher ist, je größer der Pool an verfügbaren Zeichen ist. Dadurch wären Passwörter mit einer Vielzahl an geforderten, unterschiedlichen Symbolen "sicherer". Kannst du (oder jemand anderes) hier vielleicht einen solchen Untersuchungsbericht verlinken, bei dem ein Sicherheitsverlust mit zunehmender Komplexität des Passworts stattgefunden hat?
Ich denke dieser xkcd Comic sagt schon alles:
https://xkcd.com/936/

Dieser Blogpost auf Dropbox gibt etwas mehr wissenschaftliche Details dazu:
https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/

Oder diese:
https://blog.codinghorror.com/password-rules-are-bullshit/
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

Ich bin selbst in der IT-Security tätig und wir haben die veralteten Passwort-Regeln längst in Rente geschickt, da nicht mehr zeitgemäß.
 
  • Gefällt mir
Reaktionen: Keiyuu und Rexus
CrEaToXx schrieb:
@f1nal

Du liegst mehr als richtig in dieser Annahme. Es gibt genug Studien, die aufzeigen wie groß die Verantwortung entsprechender Plattformen ist, zu lasch mit den Daten ihrer Nutzer umgegangen zu sein.

In der Tat stellt es sich immer wieder raus, dass eigtl. alle Nutzer recht Sicherheitsbewusst handeln, die Provider aber schlampig gehandelt haben. Wobei es immer Ausnahmen der Regel gibt.

Trotzdem ist sowas kein Freibrief für @EvilsTwin...;)

@EvilsTwin

Only a Sith deals in absolutes...natürlich tragen beide die Verantwortung. Es können auch beide die "Schuld" tragen. Wenn du unzufrieden mit der Leistung deines Providers, oder Betreiber der Plattform bist, warum nutzt du sie dann?...also mit diesen erheblichen Sicherheitszweifeln, würde ich mich doch viel lieber im Wald einbuddeln^^

Dass den Providern nie Ärger droht, wenn sie es mit der Sicherheit nicht so genau nehmen liegt daran, dass sie einen Haufen Arbeitsplätze generieren und somit eine Art Druckmittel gegen die Regierungen haben.

"Ihr wollt uns bestrafen? Bitte. Dann entlassen wir hunderte oder tausende Mitarbeiter!"
 
Zurück
Oben