Passwörter unabsichtlich temporär auf GoogleDrive gespeichert (unverschlüsselt)

[subsherlock]

Mir ist ein Missgeschick passiert: ich habe meine Filtereinstellungen für mein Backup auf GoogleDrive aktualisiert und dabei wurde versehentlich ein Ordner mit kopiert, in dem alle meine Passwörter unverschlüsselt liegen (auch der Export von 1Password).

Ich habe das erst drei Tage später bemerkt und dann sofort auf GoogleDrive den Ordner gelöscht und danach den Papierkorb geleert.
Ich weiß, dass Google alle Dokument während des Hochladens scannt, und der Algorithmus bestimmt erkannt hat, dass es sich hierbei um Passwörter handelt. Die Frage ist nun: wie kritisch ist das? Kann man hier Google "vertrauen", dass nichts abgegriffen wurde?

Im Netz lese ich, dass Google innerhalb von 180 Tagen alles gelöscht hat. Muss ich mir jetzt sorgen machen, dass wenn es die nächsten 180 Tage einen leak bei Google geben sollte, meine Daten prinzipiell für den Angreifer verfügbar sind?
Inzwischen habe ich zumindest die Passwörter für Banken usw. geändert. In dem Ordner lagen auch alle 2FA Codes, d.h. wenn ich jetzt alles neu machen würde, wäre das ein immenser Aufwand.

Wie ist eure Einschätzung? Einfach abhaken oder wirklich alles aktualisieren? Ich denke nicht, dass mein Google Konto während dieser drei Tage von Dritten kompromittiert wurde.

PS: Falls die Frage aufkommt, warum ich überhaupt Passwörter unverschlüsselt auf der Platte liegen habe:
Für den Fall, dass ich mal einen kompletten Blackout habe und mich an gar nichts mehr erinnern kann, sichere ich meine Passwörter (zusätzlich zu einem Passwortmanager) noch lokal und unverschlüsselt in einem Ordner. Die interne SSD ist verschlüsselt (Macbook).

 

[andy_0]

Du musst entscheiden, inwiefern du Google, d.h. auch deren Mitarbeiter und deren Datensicherheit, vertraust, und wie sicher "gelöscht" Daten aus dem Papierkorb sind.

Ich würde es nicht und zumindest die relevantesten Kennwörter neu vergeben. Dazu zählen auch die 2FA Keys.

Zur Backup Datei: die Anforderung muss sein, dass das Backup selber verschlüsselt ist. Ein verschlüsselter Datenträger bringt dir nichts, wenn irgendwas deine Daten am Computer abschnorchelt.

 

[derMutant]

Ich bin jetzt nicht so in dem game drin, was 2FA Codes und Passwortverschlüsselung angeht, aber so aus dem Bauch heraus sage ich mal so: keiner hier wird Dir das seriös beantworten können.
Je nach dem wie sensibel die Daten/Konten sind, führt wohl kein Weg daran vorbei alles neu zu verschlüsseln.

 

[gaym0r]

Wie ist eure Einschätzung? Einfach abhaken oder wirklich alles aktualisieren? Ich denke nicht, dass mein Google Konto während dieser drei Tage von Dritten kompromittiert wurde.

Abhaken.

 

[derMutant]

@gaym0r Wenn es die Sparbücher der Kinder sind auf denen vielleicht ein paar hundert euro rumliegen, ja. Wenn es irgendwelche Geschäftskonten sind, dann nein.

 

[M@rsupil@mi]

Wie ist eure Einschätzung?

Da du fragst wäre es wohl besser du änderst auch bei wichtigen Konten 2FA.

Ich speichere meine PW nun nicht im Klartext, aber ich würde nach einem groben Fehler der Art alle Passwörter / 2FA / Recovery Codes erneuern. Damit hat man Gewissheit. Beim Forenaccount mag es übertrieben sein, aber so etwas kann ja jeder auslassen, wenn er will. Ansonsten sind halt doch viele Accounts / Dienste nicht so unwichtig bzw. mit persönlichen Daten / Inhalten verknüpft.

Ich denke nicht, dass mein Google Konto während dieser drei Tage von Dritten kompromittiert wurde.

Würde ich auch nicht von ausgehen, aber der Unterschied ist: Noch hast du Zeit und kannst dir für die Änderungen ein wenig Zeit lassen und beispielsweise alle 1-2 Tagen am Abend 10-20 Accounts aktualisieren. Im 'Problemfall' (Logindaten in fremden Händen) besteht sehr viel mehr Zeitdruck und jede Sekunde kann schon zu spät sein.

 

[PC295]

und der Algorithmus bestimmt erkannt hat, dass es sich hierbei um Passwörter handelt. Die Frage ist nun: wie kritisch ist das?

Garnicht.
Google bietet selbst Passwortmanager an. Da gab es noch keine Probleme.
Google investiert auch sehr viel in die Sicherheit. Trotz der zahlreichen Dienste die sie anbieten, gab es im Gegensatz zu anderen kleinen Anbietern noch keine schwerwiegenden Lecks.

Google Drive-Ordner sind auch nicht öffentlich einsehbar, außer du gibst sie explizit frei.

 

[andy_m4]

Falls die Frage aufkommt, warum ich überhaupt Passwörter unverschlüsselt auf der Platte liegen habe:

Vor allem kommt die Frage auf, warum man überhaupt etwas unverschlüsselt auf einem Cloud-Drive speichert.
Wenn Du eh schon ein Vertrauensproblem hast, dann würde ich doch solche Dienste nicht ohne Encryption-Layer nutzen.

 

[Moselbär]

Zur eigenen Sicherheit würde ich persönlich alle dort angegeben Passwörter ändern wollen.
Hatte vor kurzem Stress mit PayPal wo offensichtlich 2x etwas bestellt wurde, aber nicht von mir.
Über den Käuferschutz bekam ich das Geld zurück. Aber langes Prozedere mit Telefonaten mit deren Sicherheitsabteilung.

 

[subsherlock]

Vor allem kommt die Frage auf, warum man überhaupt etwas unverschlüsselt auf einem Cloud-Drive speichert.

Ich sichere dort nur Daten, die ich guten Gewissens dort ablegen kann (deswegen ja auch der Filter). Die sensiblen Daten sichere ich auf Proton Drive.

 

[andy_0]

Google bietet selbst Passwortmanager an. Da gab es noch keine Probleme.

Das ist was ganz anderes als sicherheitskritische Daten auf dem Webdrive abzulegen.

keine schwerwiegenden Lecks

Welche bekannt geworden sind. Das dies üblichen Firmen, u.a auch Microsoft, selbst bei sehr kritischen Fällen beschwichtigen und eigentlich gar nicht informieren wollen, sagt eher was anderes.

Google investiert auch sehr viel in die Sicherheit

Das ist jetzt erst einmal eine Behauptung.

 

[Datatof]

Wie man bereits sieht, gibt es dazu unterschiedliche Meinungen. Jeder schätzt das Risiko für sich anders ein.
Wenn es sensible Zugangsdaten sind wie z. B. zum Bankkonto oder Mailpostfach, würde ich es ändern. Für vieles andere nicht.
Mehr würde ich persönlich nicht ändern, da ich vor allem Angst vor Zugriff durch normale Cyberkriminelle hätte. Die könnten darauf aus meiner Sicht nur soweit zugreifen wie ich es selbst auch kann. Wenn ich es aus dem Papierkorb lösche, komme ich selbst nicht mehr heran und der normale Cyberkriminelle auch nicht.

An die Daten selbst kommt ggf. ein staatlicher Akteur heran, der sich in den Systemen von Google eingenistet hat. Ggf. werden die Daten auch irgendwo zum KI-Training verwendet. Keine Ahnung. Wenn mir das passiert wäre, würde ich die Wahrscheinlichkeit für einen Missbrauch der Daten auf weniger als 1% schätzen und daher nur sowas wie wirklich wichtige Zugangsdaten (Zahlungsdienste, Mail, etc.) ändern und das andere nicht. Da ist aber nur meine persönliche Einschätzung und da gibt es viele Grautöne und kein richtig und falsch.

 

[DieIntilligente]

Bevor man Daten in die Cloud hochlädt, muss man sie mit Apps wie "Cryptomator" verschlüsseln.
Sämtliche Daten werden, wie du schon selbst weißt, beim Upload in die Cloud gescannt und seit einigen Jahren auch für KI Trainings verwendet. Selbst wenn Daten gelöscht werden, wurden sie an einer anderen Stelle, in welcher Form auch immer, trotzdem kopiert und womöglich für alle Zeit gespeichert.

Und die größte Sicherheitslücke bei Google (und allen anderen Unternehmen), ist nicht deren Compliance, sondern einzelne Mitarbeiter.

Kurz:
Du musst sämtliche (wichtigen) Daten nun ändern, wenn "Sicherheit" für dich nicht nur ein Wort ist.

 

[madmax2010]

Kann man hier Google "vertrauen", dass nichts abgegriffen wurde?

Googles komplettes Geschäftsmodell ist es, alles was user ihnen geben komplett zu analysieren, in X Projekten weiter zu verarbeiten, usw..
Es waere naiv

Das ist jetzt erst einmal eine Behauptung.

Die Behauptung ist sogar korrekt. Google investiert sogar sehr viel in Sicherheitsforschung und offene standards (gestern erst hiermit gespielt)

Aber dennoch sind alle Daten die in der Google Cloud landen, als oeffentliches Elgentum anzusehen (überspitzt formuliert)

Nach Google AGB räumt man ihnen hakt volle Nutzungsrechte daran ein

 

[subsherlock]

Vielen Dank für die zahlreichen Rückmeldungen!

@Datatof So werde ich es wahrscheinlich handhaben.
Wahrscheinlich hatte ich gehofft, dass ich von euch höre, dass ich mir wegen DSGVO keine Sorgen machen muss. Aber das ist (so denke ich) zu naiv.

 

[calippo]

Ich würde sie ändern, mit den wichtigsten beginnend.

Mit der Zeit sammelt sich da eh einiges an an Accounts, ist ne gute Gelegenheit aufzuräumen und auch mal alte Sachen zu schließen etc.

 

[Datatof]

Wenn du dir wegen sowas weniger Sorgen machen willst, solltest du die Daten entweder grundsätzlich verschlüsselt ablegen (Cryptomator) oder zumindest bei einem deutschen Cloudanbieter hosten. Ich selbst habe solche Daten teilweise bei Ionos im HiDrive, die ich aus xbeliebigen Gründen in der Cloud haben will, aber keinem Hyperscaler überlassen möchte.

 

[andy_m4]

Ich sichere dort nur Daten, die ich guten Gewissens dort ablegen kann

Ich würde immer die Policy fahren möglichst alles zu verschlüsseln.
Das nimmt einem auch ab darüber nachdenken zu müssen, was wirklich geschützt gehört und was nicht.
Und man setzt sich nicht dem Risiko aus, das man versehentlich doch mal was hochlädt.

Wahrscheinlich hatte ich gehofft, dass ich von euch höre, dass ich mir wegen DSGVO keine Sorgen machen muss. Aber das ist (so denke ich) zu naiv.

Stark vereinfacht gesagt schützt ja auch nur davor, das Deine Daten nicht ohne Deine Einverständniserklärung verarbeitet werden. Da sich die Anbieter aber gerne weitreichende Rechte einräumen, die wir alle ja auch oftmals brav und ohne sie durchzulesen abnicken, ist der Schutz eher rudimentär. :-)

 

[andy_0]

Google investiert sogar sehr viel in Sicherheitsforschung

Mir ist das schon bewusst.
Sicherheitsforschung ist aber nicht identisch zu "Sicherheit für die eigenen Dienste". Und dann dürfte man bei der Behauptung auch erst einmal aufzeigen, ob z.B. Microsoft da weniger tut.

 

[subsherlock]

Ich frage mich noch, was das eigentliche "Schreckensszenario" ist: ich glaube nicht, dass Google als Firma (oder die KI von Google) die Passwörter gegen mich einsetzt und meine Konten angreift.
Und ich kann mir nicht vorstellen, dass ein Google Mitarbeiter von dem System informiert wird, dass jemand seine Passwörter hochgeladen hat und derjenige diese Daten dann kriminell verwenden könnte.

Trotzdem werde dich wichtigsten jetzt ändern.