News Rätsel um Diebstahl von 1,2 Milliarden Account-Daten

[koffeinjunkie]

Wie ist das eigentlich bei Banken/Firmen. Wenn persönliche Daten entwendet werden, kann man die verklagen? - Sonst ist es immer das gleiche Gewäsch das nichts passieren kann und durch ändern eines Passwortes usw. alles wieder im grünen Bereich ist. Für Firmen sind persönliche Daten viel Wert aber wenn es einen selbst erwischt und etwas passiert, spielt das irgendwie keine Rolle. Sehr paradox das ganze.

 

[ugurano]

entweder ist das echt, oder man will die russen wieder schlecht darstellen, wie bei den nachrichten

 

[dahum]

Passwörter ändern ist echt keine Option, gerade wenn man mit Passwort Programmen arbeitet. Das würde Tage dauern. Da berufe ich mich lieber auf plausible deniability, wenn jemand mit meinen Daten einkaufen geht, kann man sehr plausibel abstreiten, dass man es selbst war.

Das ist das gute an den ganzen Datenlecks- die Geheimdienste, Behörden und Unternehmen können Daten abgreifen wie sie wollen, aber durch den Identitätsdiebstahl wissen sie bald nicht mehr, wessen Daten das eigentlich sind und wer verantwortlich für die Kommunikation ist. Es ist bei diesen Ausmaßen dem Nutzer ja wirklich nicht mehr zuzumuten, Herr seiner Daten zu bleiben bzw. überhaupt Kenntnis darüber zu haben, ob er wirklich noch die Kontrolle darüber hat. Das wird die Rechtssprechung irgendwann auch noch begreifen, und dann ist die ganze Überwachung für die Katz.

 

[Luxuspur]

Naja mittlerweilen schwirren da im Netz soviele Listen mit Accountdaten rum, wenn da ein paar diese alle einsammeln und in eine Datei schreiben, kommen die zwar auf eine irre große Zahl an Accountdaten, aktuell sind davon aber die wenigsten!

Ich weis zum Beispiel selber das ich bei solchen Listen mit ca. 100 Accountsätzen vertretten bin ;p aber alles Einmal/AntiSpamaccounts, oder bereits veraltete Datensätze ( aus den ersten Sony Diebstählen etc. ) PW werden alle 14 Tage gewechselt ;p und ich bin sicher nicht der Einzige der das so handhabt!

Ärgerlich ist nur das selbst bei Privatpersonen die Sicherheit so hoch gehalten wird und dann werden die Daten bei Firmen abgesaugt die einen Scheiss auf Sicherheit geben! Da muss endlich was geschehen: Firmen dennen Daten geklaut werden haben dafür zu haften und zwar so empfindlich das es billiger ist für ne anständige Datensicherheit ihrer System zu sorgen!

 

[brianmolko]

Absoluter Schwachsinn regelmäßig seine kompletten Passwörter zu ändern. Da muss man echt schon sehr paranoid sein.

 

[HappyFeet]

Shit soviele ICQ Passwörter

Wenn das nur Müll Emails sind und Müll Passwörter dann können die Ruhig für mehr Geld verkaufen. Ich geniere auch mal mir eine Datenbank mit pseudo wichtigen Sachen und verkauf das dann als Monatsabo. Biete 100 WoW Accounts für 5€ sind wir hier auf der Kiddyseite von 1337?

Aber naja lieber den Leuten mit solchen News die letzte Hoffnung nehmen sodass die Stasi 3.0 leichter ins Loch rutscht.

Guten Tag

 

[Marcello29]

Ich habe überall das gleiche Passwort aber irgendwie ist nichts geklaut worden. Echt irre das ganze ... was macht ihr denn blos alle falsch?

Ich ändere meine passwörter auch nicht ständig. Wobei was die Sicherheit angeht man zurzeit eh nicht weis welche Tools die besten sind.

 

[Palomino]

Würde mich nicht wundern, wenn das ganze ein riesengroßer Fake ist. Mal schnell mit einer Nachricht Panik verbreiten und dann darauf warten dass die Leute bezahlen um zu erfahren, ob sie betroffen sind. Auf diese Weise erhält man unmengen von aktuellen Email Adressen an die man jede Menge Spam versenden kann - und wird auch noch bezahlt. Ergebnisse, ob der User betroffen war oder nicht werden nach dem Zufallsprinzip verschickt.

 

[Chaiiin]

Ach diese Security Firma verbreitet bestimmt nur irgendeinen Müll um Kunden anzulocken

 

[Taigabaer]

Ich staune nur wie die Presse drauf anspringt. Jeder, der halbwegs bei Verstand ist, sieht, dass es eine Ente ist um mit dem Unwissen der Menschen die schnelle Mar... ähm den schnellen Euro zu machen. War wie mit dem angeblichen Foreneintrag (Screenshot) eines Amokläufers, den der CDU(CSU?)-Fuzzy, dümmlich wie er war, natürlich gleich als "Beweis" in den Medien zitierte, weil er 0 Ahnung vom Internet und Grafikprogrammen hatte.

 

[flappes]

Mein Gott geht mir das Gehacke mittlerweile auf den SACK...ständig muss man Passwörter ändern, für Leute die über 100 verschiedene Konten haben keine "mal eben" Angelegenheit....echt zum KOTZEN!!

Genau darum sollte man sich mindestens 2 E-Mail-Konten zulegen.

Einen für wichtige Seiten mit unterschiedlichen Kennwörtern.
Den Zweiten für weniger wichtige Seiten, wo es egal ist ob sie gehackt werden, die Kennwörter ändere ich auch nicht.

Einen Forenaccount (sorry CB) ist nichts dramatisch wichtiges, der fällt bei mir daher in die Kategorie "was solls".

Bei wichtigen Seiten sollte, wenn vorhanden, natürlich auch eine zwei faktor Authentifizierung genutzt werden.

 

[Eye of the Tige]

Ich weiß nicht so recht, das ganze klingt schon ziemlich dubios, allerdings kann man sich nie sicher sein - das ist eben das Problem. Dass die Firma Geld damit machen will ist einerseits verständlich, andererseits klingt es natürlich nach abzocke. Aber irgendwie muss die Firma ja auch Geld verdienen.

Was mich bei der ganzen Debatte aber fast am meisten stört: Was soll denn das ganze gelabere, dass "natürlich" die Russen schuld sind und "natürlich" eine amerikanische Firma es aufdeckt? Hallo? Schon immer kam der größere Teil von Hackern aus den östlichen Regionen und niemand beschuldigt hier Rußland! Andererseits tun die westlichen Länder am meisten gegen Cyberkriminalität, komisch dass dann eine westliche Firma es aufdeckt.
Es ist schon spannend, dass die Paranoia so extrem gegen den Westen und für den Osten in letzter Zeit geht. Ich möchte nicht wissen, wie viel wir vom Osten ausspioniert werden - nur erfahren wir es eben nicht.

Die Hiobsbotschaften zu geklauten Hackerdaten kommen inzwischen echt recht häufig rein. Obwohl ich einige Passwörter mehrfach verwende, diese zum Teil eher unsicher sind und seit Jahren nicht geändert wurden, war ich noch nie dabei - irgendwas mach ich wohl richtig

 

[Tuxman]

"Diebstahl".
"Entwendet".

Fordern sie Lösegeld?

 

[FireW]

Es wird immer schlimmer, bis einer kommt und den Stecker zieht, Internet gehe schlafen.

 

[fukbabylonsy132]

aha netzwerke werden von den behörden ausspioniert und alles gesammelt aber so was checken sie nicht...

 

[HighTech-Freak]

Guter Scam, den die Firma da aufgezogen hat.. Meinen Respekt für die Kreativität. Vermutlich keine Daten haben, User-Anfragen einfach mit "Sie sind nicht in der Datenbank" beantworten und Kohle kassieren. Hört sich für mich stark nach Betrug an.

Lieber regelmäßig Passwörter ändern, und nicht immer bis zum Super-GAU warten.

Gute Idee, aber besser gleich originelle Passwörter verwenden.
Es nützt nix, wenn man auf 20 Plattformen das gleiche Passwort hat, und das alle 3 Monate ändert. Das muss ein komplexeres Passwort sein, das man auch nicht so leicht vergisst, sich nicht leicht bruteforcen lässt und nicht in Rainbow-Tables auftaucht. Da bietet sich etwas an, das einem eheste in den Sinn kommt, wenn man an diese Plattform denkt bzw. sie aufruft:

Konkretes Beispiel: eine bekannte online-auktionsplattform
Wieviele Leute verachte diese Plattform mitlerwele für ihre Überzogenen Provisionen. Ein typisches Passwort wäre daher zB: #sh!ce4bz0ckerverein

Das Passwort erfüllt alle Kriterien um für Alltagsbenutzung als sicher zu gelten. Man assoziert es leicht mit der Plattform, die MD5 scheint in keiner Rainbowtable auf und Bruteforcing ist auf Grund der Komplexität defacto ausgeschlossen.
Selbst wenn wer die MD5 aus der Datenbank bekommt durch einen Databank-Hack ist ein Passwort-Wechsel nicht unmittelbar nötig, da das Passwort nur auf diese Plattform Verwendung findet und außerdem ein eingeschläustes Software-Modul das nicht gehashte Passwort abfangen müsste. Mit der MD5 aus einem Datenbankdump alleine is nix zu gewinnen. Und wenn das Passwort geändert werden muss, tauscht man halte einen oder mehrere Buchstaben gegen ein Leetspeak-Zeichen oder tauscht Sonderzeichen aus. Das is vollkommen ausreichend (ja, isses, auch wenn manche Theoritker vlt. Gegenteil behaupten mögen) und praxistauglich.

Damit ist zumindest das Passwort-Problem gelöst. Bleibt die Problematik mit anderen privaten Daten...

 

[brianmolko]

Und solch Passwort kannst du dir für mehrere dutzend Webseiten merken? Glückwunsch, du scheinst ein Savant zu sein.

 

[okni]

ich habe meine 5 eMailadressen hier https://sec.hpi.uni-potsdam.de/leak-checker/search prüfen lassen und alle 5 sind nicht davon betroffen, und tauchen jedenfalls nicht in ihren Datenbanken auf.

 

[FireW]

ich habe meine 5 eMailadressen hier https://sec.hpi.uni-potsdam.de/leak-checker/search prüfen lassen und alle 5 sind nicht davon betroffen, und tauchen jedenfalls nicht in ihren Datenbanken auf.

Die sind aber flott, bei mir ist alles im grünen Bereich!

 

[okni]

Die sind aber flott, bei mir ist alles im grünen Bereich!

Ja das kann man wohl sagen, habe aber extra bis heute gewartet da die Seite bestimmt in den letzten 2 Tage völlig überrannt war, und da hat es bestimmt wesentlich länger gedauert.