Passwörter unabsichtlich temporär auf GoogleDrive gespeichert (unverschlüsselt)

[andy_0]

Das ist, denke ich, eine Kernfrage.

Szenarien
- Google Mitarbeiter stiehlt Daten von Drive
- Googles KI wird mit den Daten trainiert, kann dann womöglich per Abfragen aus dem öffentlichen KI Modell abgerufen werden
- Google könnte die Daten für Trainingszwecke auch länger aufheben. Also über die 180 Tage. Wer bekommt es schon mit? Und die KI braucht Futter.
- Daten aus KI Trainingsdaten, Drive Papierkorb Backup oder einfach vom Speicher unterhalb von Drive werden, durch falsche Konfiguration, für die Öffentlichkeit zugänglich
- NSA stiehlt deine Daten
- Angreifer stiehlt Daten von Google Drive (entgegen einer Behauptung weiter oben, kann so ein Angreifer auch den Papierkorb angreifen)
- Angreifer stiehlt Daten aus dem Netzwerkverkehr vom Datenspeicher

 

[calippo]

Ich frage mich noch, was das eigentliche "Schreckensszenario" ist:

Das Schreckensszenario ist z.B. ne falsche Konfiguration, so dass plötzlich alle Clouddaten frei zugänglich sind. Oder ein großer Hack, ggf. im Rahmen einer hoch aufgehängten staatlichen Cyberattacke und der Leak aller Daten ins Netz.

 

[andy_m4]

Die Profis von Microsoft, Google und Co werden doch nichts falsch konfigurieren.
Außerdem wäre ein Datenleak doch ein riesiger Imageschaden. Die tun also alles dafür, das da nix passiert und was das Vertrauen der Kunden erschüttern könnte.
Lieber die Daten bei einem dieser hochseriösen Anbieter als in einem schlecht gewarteten, heimischen NAS, welches im Click&Pray-Verfahren betrieben wird.

 

[andy_0]

Außerdem wäre ein Datenleak doch ein riesiger Imageschaden.

Deswegen tun die Hersteller ja auch alles um sowas unter den Teppich zu kehren. Ich möchte an den Microsoft Azure Master Key Leak erinnern.

 

[andy_m4]

Ich man den Microsoft Azure Master Key Leak erinnern.

Das sind doch alles alte Kamellen. Das Wichtigste ist doch: Microsoft hat daraus gelernt und macht es jetzt besser.

 

[andy_0]

Ja, sicher. Alte Kamellen. Ein Jahr her. Und die vorhandenen Systeme sollte so einem Zwischenfall verhindern - haben sie aber nicht. War auch nur eine Art Master Key für ihre gesamte Cloud Infrastruktur.

Der Punkt ist: der Key war sehr kritisch. Niemand ist perfekt. Es wird, egal wann und wo, wieder passieren.

Die Zentralisierung der Infrastruktur wird einen mal richtig hart auf die Füße fallen.

 

[M@rsupil@mi]

gegen mich einsetzt

Ist sicherlich nicht das Geschäftskonzept und ob es ein Mitarbeiter speziell auf dich abgesehen hat ist auch eher unwahrscheinlich. Aber man kann es halt alles nicht wissen. Es reicht ja wenn irgendwie eine deiner Login-Kombinationen 'irgendwie' und 'irgendwo' auftauchen. Zudem: Du hast ja auch gefragt, also hast du selbst von Anfang an eher ein ungutes Gefühl gehabt.

alte Kamellen [...] macht es jetzt besser.

Würde eher sagen es ist noch ein weiter Weg. Aktuell stellte sich ja gerade raus wie einfach Multi-Faktor-Anmeldung umgangen werden konnte:

Microsofts [...] Mehr-Faktor-Authentifizierung (MFA) [....] die Umgehung rund eine Stunde Zeit benötigte, keine Nutzerinteraktion erforderte und keine Benachrichtigung oder etwaige Hinweise für Kontoinhaber erzeugte. Die Angreifer hätten dann unbefugt Zugriff auf Outlook-E-Mails, Onedrive-Dateien

[...] In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. [...] Die IT-Sicherheitsforscher seien auf keinerlei Hürden oder Grenzen gestoßen [...] Nach 24 solcher Sessions, die in 70 Minuten absolvierbar seien, hätten Angreifer bereits eine mehr als 50-prozentige Wahrscheinlichkeit erreicht, einen gültigen Code erwischt zu haben

-> https://www.heise.de/news/Microsoft-Azure-MFA-Schutz-war-aushebelbar-10198961.html

 

[gaym0r]

Wenn es die Sparbücher der Kinder sind auf denen vielleicht ein paar hundert euro rumliegen, ja. Wenn es irgendwelche Geschäftskonten sind, dann nein.

Die 1FA Geschäftskonten, wer kennt sie nicht.

 

[subsherlock]

So, jetzt sind die wichtigsten Accounts geändert inkl. 2FA, wobei mir gerade noch 3 weitere einfallen...da wir wohl die nächsten Tage noch ein wenig Nacharbeit nötig sein. Das kostet tatsächlich mehr Zeit als erwartet.

Was lerne ich daraus?

1. Ich verzichte zukünftig auf Google als zusätzliche Redundanz und beschränke mich auf iCloud (erweiterter Datenschutz ist aktiviert, da vertraue ich mal Apple, dass sie keinen Schlüssel haben) und Proton Drive (ebenfalls E2EE verschlüsselt).
2. In dem ominösen Ordner speichere ich lokal nur noch den Export von 1Passwort (mit 7z verschlüsselt) und eine Excel mit den wichtigsten accounts (Passwort geschützt)

Nochmals vielen Dank an die Community für eure Meinung!