BSI Warnung zu gehackten E-Mail Adressen

[kleinerkathe]

Bitte nicht vergessen: Wenn ich Zugriff erhalte auf Dein EMail-Konto, dann kann ich lustig damit anfangen, bei allen Shops und vielen weiteren Diensten die "Passwort-vergessen" Funktion zu nutzen. Ich lasse mir so neue Passwörter ausstellen (die ich ja dann lesen kann und Du nicht mehr, weil ich Dein Mailkonto übernommen habe) und fange lustiges Shopping mit Deiner Kreditkarte an.

Nein glaub ich nicht, da ich nochmal eine Instanz drüber hab. Heißt: Eigene Mailadresse mit Verwaltung über ein entsprechendes Tool meines Hosters (und dessen Passwort kann man nicht per "Passwort vergessen" an eben jene Mailadresse schicken lassen. Aber klar, der Standardnutzer kommt nicht mehr an sein Mailkonto, da hast du recht

Zweitens: nur weil ein Teil der Informationen veraltet sein mögen, halte ich die übrigen zurück?

Nein muss man nicht, aber großkotzig rumzuposaunen anstatt direkt von anfang an genügend Infos bereitstellen. Wurde anfangs erwähnt, dass es sich teils um alte Datne handelt? Nein! Wurde erwähnt, dass es sich "nur" um Email-/Passwortkombinationen handelt? Nein! Es wurde schön Panik geschürt...

Dann kommen Leute und sagen "ehy, wie inkompetent ist das denn, da sind ja viele alte Daten mit dabei, die gar keinen mehr interessieren"

Es ist und bleibt inkompetent wie damit umgegangen wurde. Informationen zurückhalten bzw. man kann fast sagen bewusst verschweigen nur um mehr Panik als nötig verbreiten zu müssen? Was für ein Zweck war da dahinter? Wieso wurde damit nicht von Anfang an kompetent umgegangen, Infos, um was für "Identitäten" es sich handelt, ob die Daten von Emailprovider kommen oder Shopbetreibern oder ... (es müssen ja nicht mal Unternehmen genannt werden, sondern vll. nur die Sparte?).

 

[osh]

Aus meiner Sicht wird hier was durcheinander gewürfelt.
Nämlich einmal das, was das BSI gesagt hat und dann das, was die Medien draus gemacht haben.

Aus dem offiziellen Pressetext des BSI lese ich wenig heraus, das dazu gedacht ist, Panik zu schüren.

Dass RTL und Co. daraus dann eine Sache machen, wo selbsternannte IT-Spezialisten zur sofortigen Formatierung der Festplatte raten, dafür kann das BSI wohl eher nichts, oder?

 

[tocotronaut]

andererseits werden einige nur durch die mediale Panikmache Aufmerksamkeit zum Prüfen veranlasst, also hat es doch was gutes.

 

[win2mac]

Das ist halt die Retourkutsche der Bundesregierung gegen die NSA Aktivitäten:
Ganz Deutschland ändert jetzt seine Passwörter und die NSA und Obama schauen in die Röhre. :d

Gruß

win2mac

 

[tocotronaut]

Meinst du mit Röhre die SSL verschlüsselten Datentunnel bei den Mails?

Dann geb ich dir Recht.

 

[osh]

Ganz Deutschland ändert jetzt seine Passwörter und die NSA und Obama schauen in die Röhre.

Meine Rede seit Tagen

 

[definitelymaybe]

Wenn ich Zugriff erhalte auf Dein EMail-Konto, dann kann ich lustig damit anfangen, bei allen Shops und vielen weiteren Diensten die "Passwort-vergessen" Funktion zu nutzen. Ich lasse mir so neue Passwörter ausstellen (die ich ja dann lesen kann und Du nicht mehr, weil ich Dein Mailkonto übernommen habe) und fange lustiges Shopping mit Deiner Kreditkarte an.

Was ich immer noch nicht begreife: Das scheint ja nicht bei besonders vielen passiert zu sein. Aus irgendeinem Grunde waren es "tote Informationen", denn anders kann ich mir nicht erklären, warum ich bis zuletzt Zugang zu meinem E-Mail-Account hatte, nie unbefugten Zugriff auf irgendwelche Konten wie Ebay, PayPal, Online-Banking und Co., keine nicht durch mich getätigten Bestellungen, keine unerklärlichen Posten auf der Kreditkarte. Während ich allmählich alle möglichen Shops abklappere, bei denen ich mich vor zig Jahren mal registriert habe, funktioniert auch dort das noch mein altes Passwort und es gab keine Kontoaktivitäten. Ich frage mich also, was um Himmels Willen mit meinen Daten gemacht wurde. Wie hier ja schon geschrieben wurde: Es macht keinen Sinn, Passwörter zu sammeln und dann zehn Jahre einfach so ungenutzt irgendwo rumliegen zu lassen. Oder etwa doch?!


Und ich würde noch immer gern wissen, warum es mehrere Mails vom BSI gab oder hat dazu schon jemand eine offizielle Stellungnahme gefunden? Wenn es weitere Passwörter sind, wo wurden die abgegriffen? Es kann ja niemand bei Amazon und Co. ein bestehendes Passwort anfordern, sondern höchstens in ein neues ändern, aber das ist bei mir nicht geschehen.

Alles sehr rätselhaft.

 

[Orion7]

Wenn es weitere Passwörter sind, wo wurden die abgegriffen?

siehe https://www.sicherheitstest.bsi.de/faq

 

[osh]

Ich frage mich also, was um Himmels Willen mit meinen Daten gemacht wurde. Wie hier ja schon geschrieben wurde: Es macht keinen Sinn, Passwörter zu sammeln und dann zehn Jahre einfach so ungenutzt irgendwo rumliegen zu lassen. Oder etwa doch?!

Primäre Aufgabe von Botnets ist der Versand von Spam. Das kann durchaus über Dein Konto/Deinen SMTP-Server stattgefunden haben, ohne dass Du es jemals mitbekommen hast.
Halte Dir bitte nochml kurz vor Augen, dass wir über 15 oder 16 Millionen Datensätze sprechen. Sei also nicht beleidigt, dass niemand ausgerechnet Dein Konto gründlich missbraucht hat.

 

[Tzunami]

Ich lese bisher nur Geschwafel wie Email/Passwort Kombination, aber ob es sich um das Passwort des Email-Accounts handelt konnte ich bisher nirgends herauslesen. Die Daten könnte ja auch Email/Pass eines Forums sein, denen man keine hohe Sicherheit angedeihen lässt.

Fakten: Ich weiss, dass mir das BSI etwas vorstammelt was mich dazu veranlasst hat, meinem Email-Passworte zu ändern, denn nur durch Zugriff auf diese, könnte man Passworte anderer Accounts zurücksetzen.

Am Ende weiss ich nur, dass ich nicht weiss wo die Gefahr oder das Problem entsteht, ob sie beseitigt ist oder ob je Gefahr bestand.

Und das kotzt mich an.

 

[AgentMax]

Das weiß noch nicht mal das BSI.
Die haben nur eine Liste mit Adressen und Passwörtern.

 

[tocotronaut]

Die eigentliche Liste wird vermutlich doppelt so groß sein...

Das BSI wird nur Benutzernamen, die dem Syntax einer Email-adresse entspricht herausgefiltert haben...
denn nur bei denen ist es überhaupt möglich, solch eine Prüfung durchzuführen.

Das das jetzt alleine 16 millionen sind ist schon beachtlich

 

[foetoid]

Interessant ist das dort auch meine ewig alte web.de Adresse ist. Ich gehe davon aus das mein Mac Virenfrei ist und somit die Adresse mit dem Passwort uralt sein muss, oder?

 

[definitelymaybe]

siehe https://www.sicherheitstest.bsi.de/faq

Das habe ich durchaus schon vorher gelesen. Aber meine Rechner sind NICHT mit irgendwas infiziert! Ich nutze auch keine Hotspots und kein offenes W-Lan und habe auch keine Passwörter weitergegeben etc. pp.

Primäre Aufgabe von Botnets ist der Versand von Spam. Das kann durchaus über Dein Konto/Deinen SMTP-Server stattgefunden haben, ohne dass Du es jemals mitbekommen hast.
Halte Dir bitte nochml kurz vor Augen, dass wir über 15 oder 16 Millionen Datensätze sprechen. Sei also nicht beleidigt, dass niemand ausgerechnet Dein Konto gründlich missbraucht hat.

Alles, was ich bisher gelesen habe, waren eine Menge verunsicherter User, aber nirgendwo habe ich bisher gehört, dass ein Betroffener tatsächlich von richtigem Datenmissbrauch betroffen war und nun erleichtert gewesen ist, dafür endlich eine Erklärung zu bekommen. Natürlich bin ich nicht die einzige, deren Daten betroffen sind, aber bei 16 Millionen Datensätzen hätte es doch längst einen kollektiven Aufschrei geben müssen, wenn auch nur 1 Million User wirklich finanziellen Schaden genommen hätten.

Ich lese bisher nur Geschwafel wie Email/Passwort Kombination, aber ob es sich um das Passwort des Email-Accounts handelt konnte ich bisher nirgends herauslesen.

Wenn ich endlich wüsste, was meine drei BSI-Mails bedeuten, könnte ich das eventuell beantworten. Bei mir käme das nämlich sehr genau hin - zu der E-Mail-Adresse gehörte ein Account-Passwort, eines für Internet-Shopping und eines für Foren und ähnlichen Krims Krams.

 

[AgentMax]

Was sollen sie denn bedeuten? Irgendwo, irgendwann kamen die Bot Netz Betreiber an deine Mailadresse in Kombination mit einem Passwort.
Mehr ist nicht bekannt.

 

[maccoX]

Eine meiner Adressen ist auch dabei, die andere muss ich noch testen.

In der Mail steht doch ganz klar:

Die von Ihnen angegebene E-Mail-Adresse wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert.

Also wurden weder die einzelnen Computer der User gehackt noch die Mail Konten an sich! Es geht lediglich um irgendwelche Onlinekontos wie dropbox, Onlineshop, Facebook, Foren etc. Irgendwo oder bei mehreren haben die halt das dortige Passwort das man in Verbindung mit der Mail Adresse eingegeben hat erbeutet. Kann z.B. beim Onlineshop sein wo man sein Konto hinterlegt hat und ein neues, noch öfters verwendetes Passwort verwendet hat aber auch von einem alten Forum vor x Jahren wo man mal ein 123 Passwort verwendet hatte das es keine Relevanz mehr hat. Das Problem ist halt man weis es nicht.


Bei dem ganzen Passwortdebakel kommt mir aber wieder eins in den Sinn:
Bin ich wirklich der Einzige der sich wundert, warum man bei der Passworterstellung im Internet bei all den Diensten keine Datums- und Zeitvariablen zur Verfügung hat!?

Also das man z.B. definieren kann an 5. Stelle im Passwort muss die aktuelle Stundenzahl eingetragen werden oder am Ende des Passworts der aktuelle Tag oder ähnliches! Das würde die ganzen Passwortlisten im Internet ziemlich nutzlos machen und Powerrechner die ein Passwort knacken wollen haben ein Problem wenn es sich während des knackens verändert...

In meinem eigenen, kleinen Programm hab ich das schon vor 2 Jahren eingebaut! Eine mini Funktion mit ganz großer Wirkung!

 

[definitelymaybe]

Was sollen sie denn bedeuten? Irgendwo, irgendwann kamen die Bot Netz Betreiber an deine Mailadresse in Kombination mit einem Passwort.

Was es bedeutet, wenn man DREI Mails bekommt. Dass es drei Passwörter betrifft, ist ja bislang reine Spekulation. Warum steht das nicht in den FAQs? Ich bin ja nicht die einzige, die das verunsichert.

 

[AgentMax]

Ach, so war das gemeint. Das weiß ich auch nicht. Ich dachte du meinst das allgemein.

 

[osh]

Alles, was ich bisher gelesen habe, waren eine Menge verunsicherter User, aber nirgendwo habe ich bisher gehört, dass ein Betroffener tatsächlich von richtigem Datenmissbrauch betroffen war und nun erleichtert gewesen ist, dafür endlich eine Erklärung zu bekommen.

Weil die Betroffenen vermutlich nie etwas davon mitbekommen haben. Die Accounts wurden primär gesammelt, um dann über die SMTP-Server Spam zu versenden. Die 15 Mio. Accounts sind ja auch nicht letztes Jahr mal eben so gesammelt worden. Das ging vermutlich über Jahre hinweg. Letztes Jahr wurde eben die Liste entdeckt.

Im Grund nix anderes, als würde die Polizei morgen in einem Versteck 10 Mio. Haustürschlüssel finden. Wer hat die da hin gebracht? Keine Ahnung. Passen die noch? Weiss keine Sau. Wann sind die geklaut worden? Vielleicht vor Jahren oder Jahrzehnten bereits. Kann man das also einfach ignorieren? Nein, als Amt kann man das nicht, man ist gezwungen zu handeln. Denn wenn auch nur einer dieser Schlüssel noch passt und verwendet wird und Jemand zu Schaden kommt, dann ist die ... am dampfen. Also muss man eben ne Pressemitteilung rausgeben: 10 Mio. Schlüssel gefunden, bitte prüfen, ob ihnen einer fehlt und wenn ja, bitte sicherheitshalber das Schloss austauschen.

Wer dann kommt und sagt "was für ein Müll, bis jetzt ist noch bei keinem einzigen Betroffenen nachts plötzlich ein Fremder im Wohnzimmer gestanden, sind die blöd beim BSI" der hat es noch nicht verstanden. Das BSI hat einfach getan, was es halt tun musste als zuständiges Amt in dieser Situation.

 

[xentric]

Bei dem ganzen Passwortdebakel kommt mir aber wieder eins in den Sinn:
Bin ich wirklich der Einzige der sich wundert, warum man bei der Passworterstellung im Internet bei all den Diensten keine Datums- und Zeitvariablen zur Verfügung hat!?

Also das man z.B. definieren kann an 5. Stelle im Passwort muss die aktuelle Stundenzahl eingetragen werden oder am Ende des Passworts der aktuelle Tag oder ähnliches! Das würde die ganzen Passwortlisten im Internet ziemlich nutzlos machen und Powerrechner die ein Passwort knacken wollen haben ein Problem wenn es sich während des knackens verändert...

In meinem eigenen, kleinen Programm hab ich das schon vor 2 Jahren eingebaut! Eine mini Funktion mit ganz großer Wirkung!

Wat? Wie soll das funktionieren? ich habs nicht gecheckt, ..