News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs
- Ersteller MichaG
- Erstellt am
- Zur News: Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs
Smurfy1982
Commander
- Registriert
- Nov. 2008
- Beiträge
- 2.156
Highspeed Opi schrieb:
Ich tippe jetzt mal spontan auf Tapatalk. Da gab es mal den Abfluss der Nutzerdatenbank.
https://www.computerbase.de/forum/t...unterstuetzung-im-computerbase-forum.1761320/
@Steffen: Wäre das evtl. eine mögliche Erklärung? Auch wenn Du es ja wie beschrieben deaktiviert hattest.
Nur so eine Idee, Schuss ins blaue.Edit: Wie Steffen weiter unten erläutert, ist CB nicht! die Quelle!
Zuletzt bearbeitet:
(Klarstellung)
@Smurfy1982 @Highspeed Opi Ich habe die in deinem Account eingetragene E-Mail-Adresse mal bei https://haveibeenpwned.com/ eingegeben (hast du ja offenbar selbst gemacht, insofern ist das denke ich in Ordnung). Die dann angezeigte Liste "Breaches you were pwned in" hat zwei Einträge: Collection #1 und Gamigo ("Breach date: 1 March 2012"). Du hast die Adresse also mindestens auf einer weiteren Website (Gamigo) genutzt. Das widerlegt deine Behauptung, dass du diese E-Mail-Adresse ausschließlich bei ComputerBase genutzt hättest.
Ich vermute du hast auf Have I Been Pwned einfach übersehen, dass deine Daten von Gamigo geleakt wurden. Auf ComputerBase wirft es leider trotzdem ein schlechtes Licht, wenn du hier in mehreren Beiträgen wiederholt behauptest, diese E-Mail-Adresse ausschließlich auf ComputerBase genutzt zu haben [was nicht stimmt] und den Schluss nahelegst, dass wir die geleakt/verloren/whatever hätten.
Ich lege großen Wert darauf, dass hier keine Daten verloren gehen und bislang ist das meines Wissens nach auch noch nicht vorgekommen.
Ich vermute du hast auf Have I Been Pwned einfach übersehen, dass deine Daten von Gamigo geleakt wurden. Auf ComputerBase wirft es leider trotzdem ein schlechtes Licht, wenn du hier in mehreren Beiträgen wiederholt behauptest, diese E-Mail-Adresse ausschließlich auf ComputerBase genutzt zu haben [was nicht stimmt] und den Schluss nahelegst, dass wir die geleakt/verloren/whatever hätten.
Ich lege großen Wert darauf, dass hier keine Daten verloren gehen und bislang ist das meines Wissens nach auch noch nicht vorgekommen.
new Account()
Banned
- Registriert
- Mai 2018
- Beiträge
- 7.198
Afaik wird hier weder Salt, noch ein sicherer Hash-Algorithmus verwendet, also würde ich mich nicht in Sicherheit wiegen, sondern davon ausgehen, dass sämtliche PW hier bei einer Attacke durchprobiert werden.AMDprayer schrieb:Wenn mein Passwort mit Salt gespeichert wurde könnte man damit nur bedingt was anfangen. Ich hatte schon Angst da wäre irgendwer an Passwörter im Klartext gekommen. Wenn mir jetzt noch jemand sagen könnte wie DropBox damals seine Passwörter gespeichert hat
Smurfy1982
Commander
- Registriert
- Nov. 2008
- Beiträge
- 2.156
Dann hat @Highspeed Opi die Erklärung 
Würde in dem Zusammenhang darauf hinweisen, dass in Collection #1 (mindestens) Teile des Gamigoleaks drin stehen.
Würde in dem Zusammenhang darauf hinweisen, dass in Collection #1 (mindestens) Teile des Gamigoleaks drin stehen.
fox40phil
Rear Admiral
- Registriert
- Okt. 2008
- Beiträge
- 5.994
Habs auch via dem Institut vor ein paar Tagen gecheckt...13 Einträge mit meiner Main Email Adresse... von 2009 bis 2019. Echt krass! Vor allem, dass einem die betroffenen Seiten und Plattformen nicht mal Bescheid geben, dass sie gehackt wurden etc.! Jedenfalls kann ich mich an nichts der gleichen von Dropbox, Last.fm oder Adobe erinnern.
D
DieRenteEnte
Gast
@Steffen
Das habe ich natürlich nicht übersehen.
Ich habe mich auch niemals auf Gamigo angemeldet. Das ist das Kuriose dabei...
Als ich das gelesen habe, musste ich erst mal prüfen was Gamigo überhaupt ist und da es auf den ersten Blick eine Seite für irgendwelche Browser- und Anime-Spiele ist, kann ich mit Sicherheit sagen, dass ich mich dort niemals angemeldet habe.
Vielleicht hat jemand meine Daten zum Anmelden auf dieser Seite genutzt!?
Ich kann wirklich zu 100% garantieren, dass meine E-Mails Adresse ausschließlich auch ComputerBase genutzt wurde und wird. Es gab bisher auch nur zwei Browser-Spiele die ich jemals gespielt habe und diese hatten mit Sicherheit eine andere E-Mail Adresse. Und vor allem hatten die eine eigene Seite.
Das habe ich natürlich nicht übersehen.
Ich habe mich auch niemals auf Gamigo angemeldet. Das ist das Kuriose dabei...
Als ich das gelesen habe, musste ich erst mal prüfen was Gamigo überhaupt ist und da es auf den ersten Blick eine Seite für irgendwelche Browser- und Anime-Spiele ist, kann ich mit Sicherheit sagen, dass ich mich dort niemals angemeldet habe.
Vielleicht hat jemand meine Daten zum Anmelden auf dieser Seite genutzt!?
Ich kann wirklich zu 100% garantieren, dass meine E-Mails Adresse ausschließlich auch ComputerBase genutzt wurde und wird. Es gab bisher auch nur zwei Browser-Spiele die ich jemals gespielt habe und diese hatten mit Sicherheit eine andere E-Mail Adresse. Und vor allem hatten die eine eigene Seite.
Smurfy1982
Commander
- Registriert
- Nov. 2008
- Beiträge
- 2.156
@Highspeed Opi: Ist vom Aufbau Deiner Mailadresse irgendwie der Rückschluss auf Computerbase möglich? Also CB oder ComputerBase enthalten? Wenn nicht, könnte hier Kollege Zufall reinspielen. Sprich: Genau diese Zufallsadresse hatte vorher jemand bei Gamigo genutzt und irgendwann das Postfach wieder gelöscht. Und nach einer Frist, die manchmal auch 0 Sekunden betragen kann, steht die Adresse wieder zum Registrieren bereit.
D
DieRenteEnte
Gast
@Smurfy1982
Kann sein. Zufall ist immer dabei.
Bei meiner Adresse ist es auch nicht ausgeschlossen, da ich hier keine kryptische Adresse verwende.
Es wäre jedenfalls nicht schwer auf meine Adresse zu kommen. Spätestens nach 20 Versuchen würde ich es jedenfalls erraten können.
Ich weiß nicht 100% ob es ComputerBase war, aber vor ein paar Jahren konnte man noch die E-Mail Adresse aller Nutzer sehen, wenn man die Nutzer über Google gesucht hat.
Kann sein. Zufall ist immer dabei.
Bei meiner Adresse ist es auch nicht ausgeschlossen, da ich hier keine kryptische Adresse verwende.
Es wäre jedenfalls nicht schwer auf meine Adresse zu kommen. Spätestens nach 20 Versuchen würde ich es jedenfalls erraten können.
Ich weiß nicht 100% ob es ComputerBase war, aber vor ein paar Jahren konnte man noch die E-Mail Adresse aller Nutzer sehen, wenn man die Nutzer über Google gesucht hat.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.928
@Highspeed Opi Also meine eMail-Adresse auf CB taucht seit neun Jahren nirgendwo auf.
Mort626 schrieb:
Ob Klartext Speicherung oder nicht - im Falle von Knuddels ist das nicht relevant.
Warum? Bei Knuddels wurde die komplette DB abgezogen. Dabei ist es völlig egal ob da das PW im Klartext drin steht (OK es machts ein wenig einfacher - mehr aber auch nicht) oder die PWs gehasht, ja sogar mit salted hashes drin stehen.
Wie die meisten Leute idR nicht wissen ist das Problem eher, dass man in 2019 so schnelle Hardware für vergleichsweise wenig Geld erstehen kann, dass es möglich ist aus Listen mit geleakten PWs, Wörterbüchern usw. usf. recht hohe Zahlen an Trefferquoten zu errechnen.
Und hier liegt der Knackpunkt - wer an die Hashes/den Hash + das Salt im großen Stiel kommt, kombiniert dies einfach mit einer PW Datenbank und macht sich dem Umstand zu Nutze, dass sich viele Passwörter gleichen oder nur in Details unterscheiden (hochzählen einer Zahl bspw.). Es geht bei so einem Thema idR auch nicht um 100% Trefferquote - der Datenbestand muss nur groß genug sein. Und im Resultat erreichst du trotzdem riesige Datenmengen.
Yuuri schrieb:
Wie gesagt, das kann man so nicht sagen. PW im Klartext ist ein NoGo, das steht außer Frage. Aber wer in der Lage ist die Datenbank mit Salt und Hash zu ergaunern - der kommt bei einem Datenbestand von ~2 Mio Accounts recht sicher an mehrere 100k valide Kombinationen aus PW und Mail mit recht überschaubarem Aufwand. Selbst als privat Person ist das wenig bis gar kein Problem... Bisschen coden muss man können. Und ein paar GPUs brauchts. Thats it...
ZeusTheGod schrieb:
Man wird aber idR keine Bruteforce Attacken fahren. Es ist einfach fast aussichtslos. Eben weil man nichts über das PW weis. Bruteforce über einen großen Datenbestand ist dabei noch aussichtsloser. Sowas kann sich vllt ein Geheimdienst erlauben/leisten, wo es um eine exakt definierte einstelliger Menge an Passwörtern geht. Und vielleicht gibt es auch mittlerweile so viel Rechenpower um bis zu einem gewissen Grad per Bruteforce Passwörter zu erraten.
IdR. ist das aber nicht der Angriffsvektor... Übertriebene Passwortregeln ergeben halt nur dort einen Sinn, wo man von ausgeht dass es nur per Bruteforce geht. Real wird in vielen Fällen aber das Gegenteil der Fall sein - der User wird wahrscheinlich gegängelt und denkt sich einfacher zu knackende PWs aus. Bspw. aus Wörtern bestehend. Und per zyklischem Wechsel wird die Zahl hochgezählt oder so... Varianzen sind für einen guten Algorithmus nicht selten einfach auszuhebeln...
Highspeed Opi schrieb:
Und was möchtest du dann hier überhaupt aussagen?
Wenn du schwarz auf weis siehst, dass irgendwer (wenn es nicht du warst) die Mailadresse angegeben hat, die du selbst auf CB nutztest - wie kann man dann bitte davon ausgehen, dass hier Daten bei CB public gemacht wurden?? (gewollt/bewusst/unbewusst oder wie auch immer - ist ja egal dabei)
Verstehe ich nicht... Du stehst offenbar in dieser Liste WEIL da wer deine Mailadresse irgendwo fallen lassen hat. Nicht mehr und nicht weniger...
Highspeed Opi schrieb:
Dann ergibt aber dein Satz eingangs: "Also entweder ist es zu einfach aus ComputerBase die Passwörter auszulesen oder es ist zu einfach die E-Mail auszulesen. Oder beides?" schlicht keinen Sinn.
Vor allem wenn man sich daran erinnert, dass die Daten in Collection #1 zu ~80% oder so aus Daten alter Leaks bestehen. Und du einen Match auf 2012 hast... Der Spaß steht also seit 2012 auf der Liste!
Ob man E-Mailadressen per Google fand kann ich nicht bestätigen - vllt irgendwer anders? Ich würde aber pauschal behaupten, dass dies quatsch ist. Weil vor dem Schwenk auf die neue Version wurde doch vBulletin genutzt. Mir wäre aus dem Hut nicht bekannt, dass dort die Mail im Userprofil pauschal sichtbar ist/war. Und das wäre Voraussetzung, dass Google da was "findet". Aktuell stehen die Mails defaktor nicht public.
D
DieRenteEnte
Gast
@fdsonne
Wenn es wirklich ComputerBase war, wo ich vor ein paar Jahren die E-Mails aller Nutzer einsehen konnte, macht es doch auf jeden Fall Sinn.
Ich weiß nicht genau wann das war, aber da habe ich wohl einfach nur nach meinem Nutzernamen gegoogelt und dabei zufällig meine E-Mail Adresse zu meinem Account gesehen, obwohl ich nicht angemeldet war.
Das war früher bei mehr als nur einer Seite möglich.
Vielleicht war es vor vBulletin oder beim Wechsel oder was auch immer.
Man kann nur vermuten, aber wissen tut es am Schluss niemand. Wäre ganz ComputerBase geleakt, wäre jeder Nutzer auf Collection #...
Wenn die Admins oder Moderatoren meine E-Mail einsehen können, ist die offensichtlich auch nicht verschlüsselt und damit einsehbar. Vielleicht gibt es eine Möglichkeit eine Lücke auszunutzen.
Vielleicht sind es auch die Illuminati oder Aliens... wer weiß.
Wenn es wirklich ComputerBase war, wo ich vor ein paar Jahren die E-Mails aller Nutzer einsehen konnte, macht es doch auf jeden Fall Sinn.
Ich weiß nicht genau wann das war, aber da habe ich wohl einfach nur nach meinem Nutzernamen gegoogelt und dabei zufällig meine E-Mail Adresse zu meinem Account gesehen, obwohl ich nicht angemeldet war.
Das war früher bei mehr als nur einer Seite möglich.
Vielleicht war es vor vBulletin oder beim Wechsel oder was auch immer.
Man kann nur vermuten, aber wissen tut es am Schluss niemand. Wäre ganz ComputerBase geleakt, wäre jeder Nutzer auf Collection #...
Wenn die Admins oder Moderatoren meine E-Mail einsehen können, ist die offensichtlich auch nicht verschlüsselt und damit einsehbar. Vielleicht gibt es eine Möglichkeit eine Lücke auszunutzen.
Vielleicht sind es auch die Illuminati oder Aliens... wer weiß.
Gamigo (Maskottchen) war früher eine Gaming-News-Seite wie Krawall oder heute vielleicht am ehesten Gamestar.Highspeed Opi schrieb:
Highspeed Opi schrieb:
Seitdem dein Account besteht (2007) konnte man auf ComputerBase definitiv nie die E-Mail-Adressen anderer Nutzer einsehen. (Ob das in den Urzeiten des Internet um 1999 vielleicht mal anders war weiß ich nicht, das tut hier aber nichts zur Sache. Zumal es deinen E-Mail-Provider und somit deine E-Mail-Adresse auch erst seit Mitte der 2000er gibt.)Highspeed Opi schrieb:
Natürlich wird die E-Mail-Adresse nicht verschlüsselt gespeichert, schließlich soll die Forumsoftware sie nutzen und dir dorthin E-Mails senden können. Wenn irgendein Dienst dir gegenüber behauptet, er speichere deine E-Mail-Adresse verschlüsselt (aber dir trotzdem jederzeit dorthin E-Mails senden kann), dann liegt der Schlüssel offensichtlich direkt daneben und das ganze Verschlüsselungsgerede ist Augenwischerei / Bauernfängerei.Highspeed Opi schrieb:
(Bevor jetzt die Nachfrage kommt, wie Passwörter dann "verschlüsselt" gespeichert werden können: die werden nicht verschlüsselt, sondern nutzen Passwort-Hashing. Bei Interesse bitte danach googeln.)
Vielleicht kannst auch du dich einfach nicht mehr daran erinnern, wo du die E-Mail-Adresse überall genutzt hast? Es deutet alles darauf hin, dass du sie nicht nur auf ComputerBase genutzt hast. Trotzdem machst du weiter wilde Andeutungen. Und dass Have I Been Pwned dir angezeigt hat, dass deine E-Mail-Adresse schon 2012 von Gamigo geleakt wurde, hältst du nicht für erwähnenswert. Passt halt nicht in deine Argumentation. Ganz ehrlich: Das finde ich nicht in Ordnung.Highspeed Opi schrieb:
https://de.wikipedia.org/wiki/Ockhams_Rasiermesser
Deine E-Mail-Adresse wurde 2012 von Gamigo geleakt. Das ist Fakt. Wie die dorthin gelangt ist weiß ich nicht, aber bestimmt nicht über ComputerBase. Deal with it!
Zuletzt bearbeitet:
Highspeed Opi schrieb:
Aber drum gehts doch gerade?
Man _KANN_ nur vermuten. Du vermutest nicht mehr - du gibst respektive gabst exakt zwei mögliche Erklärungen für deinen Sachverhalt. Und in beiden war Computerbase als Betreiber der Seite der Buhmann.
Und nicht falsch verstehen, ich habe mit CB nichts in irgend einer Form zu tun, die über das Stadium "User" <> "Forum" hinaus geht. Aber mMn sind solche stumpfen Behauptungen trotzdem nicht richtig...
Was hat dich denn daran gehindert einfach die Sachlage anders herum als Frage darzustellen? So nach dem Motto, "ich wundere mich, dass meine E-Mailadresse da auftaucht - nutze diese aber nur auf CB. Irgendwer eine mögliche Erklärung dazu? Mir zeigt das Tool Gamigo als Quelle von 2012 an - wie könnte das passieren?"
Oder irgendwie so...
