PW-Leak von Website-Logins mit @web.de, @gmx.de, @t-online.de u.a.

[CyrionX]

Ich habe gerade über noreply@haveibeenpwned.com die Meldung erhalten, dass meine email bzw ein Login, wofür die email-adresse herhält, in einem 48k umfassenden leak aufgetaucht ist. Die komplette Liste ist auch einsehbar, ich werde sie aus "Gründen" hier nicht teilen.
Ob eure email bzw Login für andere Seite kompromittiert ist könnt ihr hier prüfen: https://haveibeenpwned.com/
Das PW wird dort logischerweise nicht angezeigt, das Datum und Quelle des Datenabgriffs ist also noch nicht bekannt.

* Falls die Info im falschen Forum gelandet ist bitte verschieben.

 

[n1tro666]

habe noch nie email von denen erhalten
kenne die seite aber seit jahren

 

[Korben2206]

48K? Das ist ja ein schnuckliger kleiner Leak... wen hats denn da wohl erwischt?

 

[amorosa]

Ah, deswegen hab ich bei meiner "Wegwerf-Spam-Email-Adresse" 41 fehlgeschlagene Loginversuche tägl.

Haha, die versuchen es immer noch....Dieses Passwort können sie evtl. mit Bruteforce in 112 Jahren knacken. Wenn sie Glück haben

 

[|SoulReaver|]

Solche Probleme habe ich nie und nie gehabt. Weil mehrere E-Mail Accounts ein geteilt für XY. Bekannte und Freunde die wissen was Privatsphäre ist. Und mit Verstand im Netz unterwegs. Abseits davon sitzt das Problem in solchen Fällen immer vor dem PC usw. Allgemeine Meinung.....

 

[Dr. McCoy]

Das PW wird dort logischerweise nicht angezeigt, das Datum und Quelle des Datenabgriffs ist also noch nicht bekannt.

Das muss auch nicht angezeigt werden, denn wenn man selbst unterschiedliche, sichere Passwörter plus 2FA für seine Accounts hat, bedeutet ein Leak keine automatische "Einbruchsmöglichkeit" in andere Accounts.

Für den betroffenen Dienst sollte allerdings das PW geändert werden. (Selbst dann, wenn der Anbieter sagt, Passwörter seien nicht "gestohlen" worden). Und Obacht in der Folge, wegen möglichen Identitätsdiebstahls.

 

[amorosa]

Ist so. Ich besitze 3 Adressen. Wobei eine davon genau dafür gedacht ist. Meine anderen beiden sind clean.
Die eine aber, die ich quasi als Wegwerf-Spam-Schrott missbraucht habe, zählt gerade 6000 neue Spammails. Und ja, das ist von mir natürl. provoziert worden.

LG

 

[CyrionX]

Das muss auch nicht angezeigt werden, denn wenn man selbst unterschiedliche, sichere Passwörter plus 2FA für seine Accounts hat, bedeutet ein Leak keine automatische "Einbruchsmöglichkeit" in andere Accounts.

Sag ich nicht, wurde auch nicht gefordert, den Link zur Liste habe ich schliesslich schon. Das hilft aber nur bedingt weiter.
Ansonsten habe Ich bereits für jede Seite ein anderes PW, mir wäre es aber aus mehreren Gründen lieb gewesen zu wissen auf welcher Seite ich das PW ändern muss und wo eigebrochen wurde. Natürlich gilt das auch für solche mit fragwürdigeren Motiven.

Für den betroffenen Dienst sollte allerdings das PW geändert werden.

Logisch, darum der Thread

Ergänzung (6. August 2023)

48K? Das ist ja ein schnuckliger kleiner Leak... wen hats denn da wohl erwischt?

Mich zb . ich weiss nur nicht auf welcher Website

Ergänzung (6. August 2023)

Solche Probleme habe ich nie und nie gehabt. Weil mehrere E-Mail Accounts ein geteilt für XY. Bekannte und Freunde die wissen was Privatsphäre ist. Und mit Verstand im Netz unterwegs. Abseits davon sitzt das Problem in solchen Fällen immer vor dem PC usw. Allgemeine Meinung.....

Sry aber das ist viel zu kurz gedacht.
Es geht hier nicht nur um katastrophale Konto-Verluste und die Breaches sind auch nicht Schuld der jeweiligen User oder deren Verhalten. Es hätte dich genauso erwischen können. Siehe Mastercard etc.

 

[BlubbsDE]

Web.de, GMX.de / .net und hotmail.com bieten auch 2FA.

 

[CyrionX]

Ich glaube hier besteht ein großes Missverständnis.
Nicht die web.de, gmx hotmail, t-online Seiten wurde gebreached sondern höchstwahrscheinlich eine/andere Seite (n) auf denen diese Adressen als Login dienen.
Ich habe den Text mal angepasst.
Schliess bieten nicht alle Seiten 2FA noch wird es von jedem verwendet, das wirkliche "risiko" und Alter des Leaks etc ist auch noch nicht bekannt

 

[ÖX45]

Oha, mich hat es wohl auch erwischt. Aber mein Passwort dürfte sicher sein, das ist so lang und kryptisch daß ich ohne Keypass verloren wäre da unmöglich zu merken

 

[Samurai76]

Du solltest dringend den Threadtitel ändern. Denn GMX oder Web. de haben aktuell und in der Vergangenheit bislang keine Daten verloren. Aus weiteren Quellen (Foren etc.) sind aber einige User/Passwort Kombis abhanden gekommen. Meine auch schon. Aber nicht von Web.de. Und nicht aktuell jetzt.

 

[CyrionX]

Du solltest dringend den Threadtitel ändern.

Leider nicht möglich, die doppeldeutigkeit wurde mir erst später bewusst, (weshalb sollten auch alle provider auf einmal gehackt worden sein.. .)
muss auf einen Mod warten.
EDIT: wurde geändert

 

[|SoulReaver|]

Sry aber das ist viel zu kurz gedacht.
Es geht hier nicht nur um katastrophale Konto-Verluste und die Breaches sind auch nicht Schuld der jeweiligen User oder deren Verhalten. Es hätte dich genauso erwischen können. Siehe Mastercard etc.

Kurz gesagt nein. Und kurz gedacht schon gar nicht. Du würdest staunen und mich sicherlich als paranoid ansehen, wenn ich dir mal aufliste wie ich das alles handhabe. Das Ergebnis ist aber ich hab Ruhe. Und das schon sehr sehr lange.

Aaaaber ja 100% gibt es nicht. 99% schon

 

[CyrionX]

Kurz gesagt nein. Und kurz gedacht schon gar nicht. Du würdest staunen und mich sicherlich als paranoid ansehen, wenn ich dir mal aufliste wie ich das alles handhabe. Das Ergebnis ist aber ich hab Ruhe. Und das schon sehr sehr lange.

Doch. Du hast absolut keinen Einfluss auf einen Leak und Datenentwendung der Größe Mastercard, genausowenig wie auf eine Lücke wie neuerdings bei Azure (auch wenn dies nochmal ein Thema für sich ist.)

Aber zurück zum eigentlichen Thema: angenommen du hättest dich bei humblebundle.com registrierst (eine meiner Vermutungen) und dessen login samt PW wird ohne Selbstverschulden geleakt, ist das dann nicht dein Problem? Hälst du es für praktisch für jede einzelne Seite eine eigene Emailadresse zu erstellen?

Da du gerne verallgemeinerst: Wie sauber und penibel du das handhabst lässt sich nicht auf alle übertragen, denn das wäre deiner eigenen Schilderung nach selbst in diesem Forum eher eine Ausnahme als die Regel. Die Info ist dementsprechend für alle gedacht, manche triffts, manche nicht, 48k waren deiner Meinung nach wohl alle selbst "das Problem vorm PC" und ohne "Verstand" unterwegs (inkl User die 14+stellige Norm-konforme oder randomisierte Passwörter verwendeten, dort also ein Sicherheitsbewusstsein zu erkennen ist).
Ich habe übrigens mein PW aus der Liste herausgesucht, es war kein high-priority login (zb Bank) aber auch keinem Spam-account zugehörig, zum Glück aber schon seit 1+ Jahr veraltet, d.h es stammt (höchstwahrscheinlich) von einer seriösen aber nicht mehr von mir besuchten Seite für die ich logischerweise keine Spammails verwendet habe (zb Hardware online shop).

Daraus ergibt sich weiterer Informationsbedarf wie: was an Daten wurde noch entwendet? Wie kam es überhaupt zum Passwortabgriff?
Für diese Fragen sind 2FA völlig irrelevant und auch ob in den Account überhaupt eingebrochen wurde, denn alleine die Verbreitung der Emailadresse ist schon ein Schaden an sich(!)
(ich freue mich auf baldigen Spam.. blöderweise noch mit korrekter Ansprache)

Da dies anscheinend für dich, aber eben kaum für viele andere, irrelevant zu sein scheint finde ich die Sichtbeschränkung nur auf den Aspekt der "sicheren Logins" auch weiterhin zu kurz gedacht.
Und nur am Rande: anfälliger sind ohnehin diejenigen in der Überzeugung gerade sie wären davon ausgeschlossen ("mir würde das nie passieren"). Gerade die umgekehrte Denkweise macht ein sicherheitsbewusstes Mindset aus. Ansonsten unterliegt man nur dem "allgemein bekannten" Trugschluss des confirmation bias.

PS: hat die graue Schrift eine spezielle Bedeutung?

 

[|SoulReaver|]

Also, angenommen du hättest dich zb bei humblebundle.com registrierst und dessen login samt PW wird ohne Selbstverschulden geleakt, ist das dann nicht dein Problem? Hälst du es für praktisch für jede einzelne Seite eine eigene Emailadresse zu erstellen?

Ein kurzer Ausschnitt von mir....

Ich habe für Steam eine eigene E-Mail Adresse die nur für Steam ist und sonst nichts. Passwort bei Steam extra und auch für den dazugehörigen E-Mail Account. Selbiges habe ich bei Uplay. Seit ich das so alleine bei diesen zwei Beispielen mache habe ich NIE eine Pishing und oder andere Mails bekommen.

Für meine Hausbank eigene Mail/Passwort Alles was abseits bei diesem Mail Account kommen würde wird sofort gelöscht. Kommt von der Bank eine Mail schaue ich mir die bei der Bankpage an. Einloggen mit TAN PIN. Das alles mit meinem Linux das nur für Bank da ist.

Und ja ich habe für alles E-Mail Adressen und Passwörter. Ihc melde mich aber auhc nihct überall wegen jedem Schnäppchen oder sonst was an. Mittlerweile sind es 24 starke Passwörter die ich auswendig weiß. Passwortmanager nein danke. Ich habe meinen I-BAN/BIC und TAN Pin im Kopf. Alles nur Übungssache.

Mein ganzes Konstrukt hier aufzulisten braucht jetzt auch niemand. Auf jeden Fall kann ich dir sagen. Die Meisten die es erwischt haben für 10 Dinge die gleiche Mail und miese oder das gleiches Passwort. Erwischt es dich sind gleichzeitig sehr viele Accounts usw. Und das alles aus Bequemlichkeit Faulheit. Das schlimme daran ist, es erwischt dann auch andere Accounts, Freunde und so weiter. Ich versuche nur für mich auch wenn es umständlich ist mich so gut wie möglich zu schützen. Ob es umständlich ist, die Frage stellt sich für mich nicht.

Das du das hier publik machst ist sicher nicht schlecht. Im Gegenteil

 

[CyrionX]

Ziemlich viel Aufwand, gebe ich zu, teilweise kann ich davon sogar was mitnehmen.

An folgendem Punkt runzelt sich aber das Oberstübchen bei mir;

Die Meisten die es erwischt haben für 10 Dinge die gleiche Mail und miese oder das gleiches Passwort

Ob das Passwort/ die Email nun 1x oder 10x verwendet wurde ist für einen Leak nicht wichtig. Die Wahrscheinlichkeit, dass eine Seite gehackt wird erhöht sich nicht durch die breitflächige Verwendung eines Logins oder häufig verwendete Email adresse.
Der Schaden ist geringer, ja aber Leak ist Leak, egal ob für 1 oder 500 Seiten. Mein altes Passwort war z. B nicht mies, die Email nur für 100% seriöse Seiten vorgesehen da mit Echtnamen versehen.

Jedenfalls, für wirklich alles eine eigene email zu haben finde ich persönlich zu unpragmatisch, dafür bin ich medial zu aktiv. Audible, spotify, seit kurzem Blinkist, Computerbase, skype, youtube, AOK, OTTO, uvw, nur durch die Smartphone apps komme Ich bereits auf 45 aktiv genutzte Accounts, Desktop - Accs also nicht mitgerechnet.( Und ich bin damit sicher nicht im oberen Feld.)

Also ist unweigerlich "Chunking" angesagt.
Das Risiko wird insgesamt erhöht, ja, aber ded Gras an Sicherheit ist eben immer eine Kosten-/Nutzen Abwägung.

Das du das hier publik machst ist sicher nicht schlecht. Im Gegenteil

Danke,
den Wind habe ich zumindest gefühlt kaum dafür bekommen, das mache ich auch nicht dafür, ich bin nur entsprechend der Menge an deutschen Accounts überrascht gewesen wie das kleingeredet bzw relativiert wurde und war auch persönlich irritiert darüber, dass eine ansich gehütete Hauptadresse von mir nun "öffentlich" ging. Das verringert dann Flächendeckend mein Vertrauen in vertrauensbasierte Webseiten, vielleicht steuere ich ja auf die selbe "Paranoia" zu auf der du schon sitzt

Es sollte auf diese Weise aber gar nicht passieren, denn unäbhängig der persönlichen Verantwortung lag die technische Ursache diesmal am Betreiber, nicht dem User, und ohne bekannten Verursacher kein Fingergeklopfe

 

[|SoulReaver|]

Jedenfalls, für wirklich alles eine eigene email zu haben finde ich persönlich zu unpragmatisch

Natürlich habe ich auch. Für wirklich unwichtige Dinge habe ich auch nicht extra immer eine Mail. Aber das hält sich bei mir in Grenzen.

 

[User007]

Hi...

[...] an Sicherheit ist eben immer eine Kosten-/Nutzen Abwägung.

Du sagst es selbst - leider handeln viele "Otto-Normal"-Nutzer einfach aus Unbedarftheit gepaart mit naiver Sorglosigkeit lieber in ihrem bequemen Workflow passend zum Use-Case, was oftmals dann auch noch fälschlich als "Nutzen" empfunden wird.
In diesem Bereich ist aber Sicherheit von Daten ein verantwortungsvolles, manchmal auch anstrengend aufwändiges Unterfangen - und es muß realisiert sein, dass es tlw. sogar nicht selbst steuerbar ist.
​

[...] auf die selbe "Paranoia" zu auf der du schon sitzt

Das hat aber auch wahrlich nichts mit Paranoia zu tun, sondern ist nur eine logische Reaktion auf die Unfähig- und Unwilligkeit für konsequent (und damit konsistent) umgesetzte Verfahren bzw. entsprechende (Gesetzes-)Bestimmungen zum Schutz für Nutzerdaten.
Letztlich müßte aber auch jedem Anwender allein die Möglichkeit von einfach zu jederzeit in nicht kontrollierbarem Umfang verlustig gehender Daten bewußt sein, jedoch existiert dsbzgl. ein absolut verheerendes Defizit - insofern fängt's natürlich schon immer beim Anwender an.​

[...] Die Wahrscheinlichkeit, dass eine Seite gehackt wird erhöht sich nicht durch die breitflächige Verwendung eines Logins oder häufig verwendete Email adresse.

Für eine Seite sicherlich nicht, allerdings erhöht sich die Wahrscheinlichkeit für einen grundsätzlich erfolgreichen Hack aufgrund der potenzierten Angriffsmöglichkeiten.

Btw.:
Bspw. handhabe auch ich das ähnlich, wie @|SoulReaver|, glücklicherweise von Anfang an stets bedacht und mit absolut nur minimalst nötiger Verbreitung, trotz ich in dieser Branche selbstständig tätig bin.
Klappt durchaus auch - in knapp über zwanzig Jahren ist mir bspw. nur eine E-Mail-Adresse "verbrannt".

- EDIT -
Hab'sch ganz vergessen: 🙈
Bitte neben HaveIbeenpwned auch diesen Check vom Hasso-Plattner-Institut (Teil der Uni Postdam) nutzen.​

 

[|SoulReaver|]

Wahre Worte.

Ich hatte auch eine E-Mail Adresse. Klassiker bekannter hatt diese Mail und hatte mich in einem Verteiler drin also CC und das mit gut 50 Leuten. Irgendwann kamen da Mails mit Katzenvideos Terminen und sonst noch Müll. Anfangs hatte ich die alle gelöscht und dann begonnen zu Blockieren. als ich dann man nicht genau geschaut habe, habe ich eine Mail geöffnet die nicht von dem absender den ich glaubte vor mir zu haben. Peng Virus auf der Kiste. Alles platte gemacht, und die verwarnung an diesen bekannten auf zu passen und mich nicht in seine Freundesliste oder dergleichen zu speicher. Am ende musste ich den dann blockieren. Und da bin ich beinhart.

Die E-Mail Habe ich umgehend zu gemacht. Das war dann auch der Start für meine Handhabe die ich schon über 15 Jahre so mache.

Wer nicht weiß wie er mit meiner Mail Telefonnummer meiner Privatsphäre um zu gehen hat der hat am Phone/PC Laptop und generell einen BAN bei mir. Da bleibt dann noch der Briefkasten und die Türklingel

Und das ist in der heutigen Zeit einfach nur noch schlimm. Da hatte ich auch schon Außeinandersetzungen, weil wer geglaubt hat Bilder auf denen ich bin in der Gegend herum zu schicken. Das ist in meinen Augen eine Frechheit. Und ja das bist du natürlich ein Exot. Weil ich meine Privatsphäre und die meiner Bekannten und Freunde schütze? Ich habe auch eine Verantwortung anderen gegenüber, deren Daten ich auf meinem Phone oder PC/Laptop habe. Nur das scheint in heutiger Zeit egal zu sein. Man bezeichnet dich dann für das was eigentlich selbstverständlich sein sollte als Alu Hut. Nun ja.......