Netflix gehackt, was nun?

[Clemens]

Hallo,

Ich musste heute feststellen das mein Netflix Account gehackt wurde.
Es wurden eine neue E-Mail und Telefonnummer hinzugefügt und ein Monatsabo abgeschlossen.

Also kurz im Supportchat gewesen, Konto zurückgesetzt meine Daten wieder hinterlegt und eine Rückzahlung erhalten.
(Den Support möchte ich an dieser Stelle mal loben, das war ein 5 Minuten Ding)


Jetzt habe ich mehrere Fragen:

• Hat jemand eine Idee wie ich an die E-Mail & Telefonnummer des "Hackers" herausfinden könnte? (Support hat/ gibt sie nicht raus)
• Ich hatte daran gedacht mir alle gespeicherten Daten über mich von Netflix als download bereitstellen zu lassen, weiß aber nicht ob dann nur aktuelle oder auch ältere gespeichert werden.

Wie Schütze ich mich nun?

• Erstmal alle meine Passwörter neu festlegen, (Hat jemand einen guten Passwort Manager für PC & Handy)
• PC & Handy neu aufsetzen (Irgendwo muss ich ja eine Schadsoftware wie KeyLogger o.ä. haben, da ich ein eigentlich sicheres Passwort habe und ich nicht denke, dass es brute forced wurde(10+Zeichen, Groß/Klein, Sonderzeichen, Zahlen)
• Eventuell mal Konten, welche in irgendeiner Form mit meinem Zahlungsmittel zu tun haben von meiner "Spammail" nehmen.

Und nun kommt ihr ins Spiel.

• Habt ihr noch Ideen?
• Habe ich etwas grundlegendes vergessen?
• Wie vermeide ich, dass ich zukünftig nochmal gehackt werde?
• Welche Wege nutzen "Hacker" typischerweise um Zugriff zu meinem Konto zu erhalten
• Welche Seite sollte ich nutzen um zu schauen ob mein Passwort in einem Databreach unsicher geworden ist?

 

[Knecht_Ruprecht]

Passwortmamnager: Keepass; KeepassXC

Hattest du das Passwort exklusiv für netflix oder auch für andere Dienste benutzt? Passwortleaks gibt es ja quasi ständig

Databreach Abfrage: https://haveibeenpwned.com/

 

[midwed]

Hat jemand eine Idee wie ich an die E-Mail & Telefonnummer des "Hackers" herausfinden könnte?

Was würde dir das bringen? Nichts.

(Support hat/ gibt sie nicht raus)

Dann ist das so.

Habt ihr noch Ideen?

Wichtige Maßnahmen zur Absicherung von Accounts im Web - man muss jetzt nicht alles in einem tausendsten Thread wiederkäuen.

Rest siehe Beitrag über mir.

 

[Clemens]

Hattest du das Passwort exklusiv für netflix oder auch für andere Dienste benutzt? Passwortleaks gibt es ja quasi ständig.

Was das angeht bin ich leider sehr unvorsichtig, bis jetzt ist ja auch nichts passiert.

Das ist seit ca 3 Jahren mein Standardpasswort für alles "unwichtige".

Bezüglich Breach: meine Email wurde 4 mal gefunden



Sind die Passwortmanager Synchron oder jeweils nur lokal?

 

[kachiri]

Welche Wege nutzen "Hacker" typischerweise um Zugriff zu meinem Konto zu erhalten

In den allermeisten Fällen ist es billigstes Phishing. Hat absolut nichts mit „Hacken“ zutun.

Sichere Passwörter, unterschiedliche Passwörter, Alias-Mailadressen (anstatt das „echte“ Postfach zu verwenden, 2-Faktor-Authentifizierung nutzen, …

 

[thealex]

Bezüglich Breach: meine Email wurde 4 mal gefunden

So, und da ggf. auch bei einem der Leaks dein Passwort bei war (nicht Klartext, aber als Hash), hast du doch die wahrscheinlichste Info, wie dein Account abhanden gekommen ist. Je nachdem wie abstrakt dein Passwort so war.

Bzgl. KeePass: Man kann die Passwortdatenbank auf PC und Handy synchron halten auf diversen Wegen. OneDrive/NAS mit Webdav etc. pp. Ich nutze selbst ebenfalls KeePassXC auf PC und iPhone.

 

[sh.]

Und ich dachte schon Netflix wurde gehackt...

 

[Knecht_Ruprecht]

Dann hast du ja schon deine Antwort woher die das Passwort haben. Aus einem Passwortleak.

KeePassXC gibt es auf jeden Fall für diverse Plattformen und man kann meines Wissens nativ oder über Plugins einen Geräteübergreifenden Sync einstellen. Genauer kann ich es aber nicht sagen, ich benutze KeePass ganz oldschool/mittelalterlich

 

[Clemens]

So, und da ggf. auch bei einem der Leaks dein Passwort bei war (nicht Klartext, aber als Hash), hast du doch die wahrscheinlichste Info, wie dein Account abhanden gekommen ist. Je nachdem wie abstrakt dein Passwort so war.

Bzgl. KeePass: Man kann die Passwortdatenbank auf PC und Handy synchron halten auf diversen Wegen. OneDrive/NAS mit Webdav etc. pp. Ich nutze selbst ebenfalls KeePassXC auf PC und iPhone.

Macht das ein Unterschied ob ich das jetzt im Klartext oder Hash eingebe?

Habe das jetzt sowieso überall geändert, dementsprechend ist der Sicherheitsaspekt beim Klartext für mich nicht mehr relevant.

 

[xerex.exe]

Ich bekomme derzeit massig Phisingmails mit angeblich gehacktem Konto. Jeden Tag bestimmt 2-3 Stück.

Sicher, dass das nicht bei dir auch war?

 

[thealex]

@Clemens Du gibst das immer im Klartext ein. Nur der Anbieter speichert es als Hashwert, der erstmal für sich genommen keinen Rückschluss auf das eigentliche Kennwort zulässt.

 

[Clemens]

@xerex.exe Ja, konnte mich zum einen nicht mehr mit meiner Email einloggen (Kein Konto gefunden).

Und es wurde halt für einen Monat ein Abo bestellt, (ich habe bestimmt 3 Monate keins mehr).

Ergänzung (8. August 2024)

@Clemens Du gibst das immer im Klartext ein. Nur der Anbieter speichert es als Hashwert, der erstmal für sich genommen keinen Rückschluss auf das eigentliche Kennwort zulässt.

Ich verstehe, Passwort wurde jedenfalls nicht gefunden in einem Breach.
Nur meine Email.

 

[LiniXXus]

Selbst wenn dir die IP Adresse bekannt wäre, würde dir diese nichts bringen. Denn wer sich auf diesem Gebiet bewegt, verbergt sich eh hinter einer Proxy Verbindung.

 

[h00bi]

Sind die Passwortmanager Synchron oder jeweils nur lokal?

Bitwarden synchronisiert sich automatisch weil Client / Server Modell.
Wichtig ist hier eben nur ein sehr starkes Masterpasswort, welches du nie vergisst und 2FA zu aktivieren.
Am Smartphone kannst du Biometrie verwenden um den Tresor zu entsperren, da sparst du die das getippe.

Ich habe in meinem Bitwarden über 419 Zugangsdaten und über 90% der Passwörter sind einfach nur generiert, ich tippe die ja eh nicht mehr von Hand ein.

Der einzige Angriffsvektor, abgesehen von Masterpasswort Phishing, ist Bitwarden zu hacken, den Tresor zu stehlen und dann per Brute Force zu versuchen das Passwort zu knacken.

Daher sollte, nein MUSS eigentlich, das Masterpasswort möglichst stark sein, aber eben auch nicht

%q^bcTzMjisJPTd3xak2hn#KQt!

weil das kann sich ja niemand merken.

 

[Clemens]

Daher sollte, nein MUSS eigentlich, das Masterpasswort möglichst stark sein, aber eben auch nicht

weil das kann sich ja niemand merken.

Anhang anzeigen 1509189

Ach sehr interessant.
Ich dachte immer ein Passwort muss/sollte Zahlen und Sonderzeichen erhalten um sicher zu sein.

Ist das Bild übertrieben oder kann ich tatsächlich einfach 4 Zufällig Wörter nehmen und habe ein sicheres Passwort?

 

[Knecht_Ruprecht]

Wenn du nicht deinen Namen, den der Kinder oder ähnliche leicht zu erratende Wörter nimmst schlägt ein längeres Passwort immer ein kürzeres mit komplizierten Sonderzeichen.

 

[h00bi]

Ein Passwort wird durch Zeichen und Ziffern nur dann sicherer, wenn der Angreifer nicht weiß, ob du Zeichen und Ziffern verwendest. Wenn der Angreifer weiß, dass du nur Kleinbuchstaben verwendet hast oder das zuerst ausprobiert, dann sinkt die Passwortsicherheit.

einfach 4 Zufällig Wörter nehmen und habe ein sicheres Passwort?

correcthorsebatterystaple ist, basierend auf der Annahme, dass der Angreifer nicht weiß, dass es nur kleinbuchstaben enthält, sicher als 8$jsD4!5

Es hindert dich ja aber auch niemand #Correcthorsebatterystaple5 draus zu machen, wenn #5 deine Lieblingszahl ist. Es ist immer noch deutlich einfacher zu merken als irgendein kryptischer String.

In der Regel brute-forced man aber sowieso nicht von null aus, sondern nimmt erstmal alle verfügbaren Passwort-Leak-Listen und testet die durch, erst danach würde man wahllos durchprobieren.
Hier ist auch ein interessanter Gegenartikel:
https://blog.diogomonica.com/2014/1...-why-the-horse-battery-staple-is-not-correct/
Aber für dich geht es ja zukünftig nur noch um ein einziges Masterpasswort, den Rest kannst du ja von Bitwarden generieren lassen mit 16 Zeichen und allen Variablen.