E-Mail-Adressen und Passwörter
Sammlung von 1,1 Milliarden Anmeldedaten wandert durchs Netz
Wer immer noch die gleiche Kombination aus E-Mail-Adresse und Passwort für mehrere verschiedene Dienste verwendet, sollte sein Handeln spätestens jetzt überdenken. Im Internet kursiert ein Datenpool mit 1.160.253.228 verschiedenen Kombinationen aus E-Mail-Adresse und Passwort.
Die Daten wurden offenbar aus mehrere verschiedenen Hacks der vergangenen Jahre zusammengetragen, die Sammlung bietet Hackern eine komfortable Basis für die Weiterverwendung zu zweifelhaften Zwecken. Es ist ein beliebter Sport, mithilfe solcher Datensammlungen automatisiert zu prüfen, ob sich die Kombinationen auch bei weiteren Online-Angeboten nutzen lassen.
Troy Hunt, der Betreiber der Webseite have i been pwned?, hat die Daten analysiert und sortiert. Mittlerweile führt Troy 772.904.991 aus verschiedenen Datenlecks gewonnene E-Mail-Adressen in seiner Datenbank. Auf seiner Webseite könnt ihr prüfen, ob eure eigenen E-Mail-Adressen darunter sind und bekommt wenn dem so ist angezeigt, auf welcher Webseite diese Hackern zum Opfer gefallen sind. Wenn dem so ist, solltet ihr schleunigst das zugehörige Passwort ändern.
Keine Angst, Troy speichert die Adressen nicht in Kombination mit dem genutzten Passwort. Somit entsteht hier kein zusätzliches Risiko. Wer tiefer in das Thema eintauchen will, findet in Troys Blog einen ausführlichen Artikel mit dem Titel The 773 Million Record "Collection #1" Data Breach .
UPDATE: Stellungnahme des BSI
Mittlerweile hat sich hierzulande das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Sache angenommen. Man habe „im Rahmen der täglichen Lagebeobachtung“ Kenntnis von der Datensammlung erhalten.
Das BSI hat die Analyse der Daten eingeleitet mit dem Ziel, Betroffenheiten in Deutschland festzustellen und ggf. weitere notwendige Schritte in Richtung betroffener Internetnutzer und Diensteanbieter einzuleiten.
Oh no — pwned!
Pwned on 4 breached sites and found no pastes (subscribe to search sensitive breaches)
Angeblich ist meine E-Mail Adresse irgendwo aufgetaucht, aber es wird nicht angegeben, wo.
Wenn deine E-Mailadresse nicht sowas ist wie „jrhqirb73&’gbjfie@gmail.com“, ist es sehr wahrscheinlich, dass sie irgendwo mal auftaucht.
1. Irgendein Dienst, der deine E-Mailadresse nutzt hat oder hatte ein Leck.
2. wenn deine E-Mail-Adresse Basti33@xyz.de ist, dann kann die schnell durch tausende Abfragen bei allen möglichen Mailanbietern validiert werden
3. du nutzt die E-Mail-Adresse bei irgendeinem Dienst, bei dem diese zB in deinem Profil steht
4. deine E-Mail-Adresse wurde durch eine App abgefischt, dessen Betreiber sie weiter verkauft haben
5. jemand hat auf seinem Handy deine E-Mailadresse in den Kontakten und irgendeiner App Zugriff auf die Kontakte erlaubt, die diese Adresse abgefischt hat
6. …
Es gibt viele, viele Möglichkeiten, wie deine E-Mail-Adresse auf irgendeiner Seite landen konnte. Das heißt aber noch nicht, dass jemand Kontrolle über deinen Account hat. Du kannst aber davon ausgehen, dass sie an alle möglichen Werbetreibenden verscherbelt wurde und wird.
Runterscrollen könnte helfen :p
Mal alles lesen. In einigen Fällen kann die Herkunft nicht eindeutig bestimmt werden, nur das Adressen in dem Datensatz waren.
klar, erstmal schön die Daten bei dem eingeben, zum „überprüfen“
Wovor hast du Angst, wenn du deine E-Mail Adresse eingibst? Wird sie dir geklaut?
Die Seite ist legit, gibt es schon länger und wird selbst vom BSI empfohlen.
Nicht betroffen :)
Oh, noch kein Kommentar. Ändern wohl alle ihr Passwort. ;-)
Ein schöner Honigtopf ist so eine Seite bei der jetzt alle hysterisch ihre Email Adressen einhacken.
Genau das dachte ich auch grade :‘D
Ich werde da nichts eingeben..
Wenn jemand meine Datenbhätte, hätte ich das wohl längst gemerkt.
Scoo, wenn jemand deine Daten nutzen würde, würde er es so tun, dass du es nicht merkst. Du bist zu naiv für das Internet.
Nein nicht unbedingt. Wenn zB. 3 Millionen Mails und Passwörter abgegriffen werden heißt das nicht das sofort jede benutzt wird. Es kann also gut sein das solche Daten jahrelang schlummern bis zufällig deine Adresse mal mitverkauft und genutzt wird.
Totaler Quark!!!!
Du bist der schlauste!
Die Seite ist legit und die gibt es schon sehr lange.
Das BSI gibts auch schon länger in ich traue dem nicht.
Wer keine Hilfe braucht, den sollen die Hacker holen. :p
WTF ich muss glaube ich ein paar Passwörter ändern.
Danke für den Link!
Ihr lest den fefe? Cool :))
Die Info läuft auf allen Kanälen.
„Keine Angst, Troy speichert die Adressen nicht in Kombination mit dem genutzten Passwort. Somit entsteht hier kein zusätzliches Risiko.“
Aha und das soll ich jetzt einfach mal so ungeprüft glauben? Warum? Weil er das selbst sagt? Oh man…
Du sollst das nicht glauben. Du kannst es glauben, wenn du magst. Aufgrund seiner Reputation gehe ich mal davon aus, dass er nichts Böses im Schilde führt. Skepsis ist dennoch angebracht – ich würde niemals ein Passwort da eingeben – auch diese Seite ist nicht sicher vor Zugriffen dritter.
Guckt ihr euch eigentlich die Dinge mal an bevor ihr kommentiert? Man gibt die E-Mail-Adresse ein und fertig, nicht das Kennwort. Das würde auch irgendwie keinen Sinn ergeben, nachdenken hilft manchmal auch weiter… ich möchte mal wissen, wie viele der Vögel, die garantiert dort nichts eingeben werden, irgendwo einen Echo oder ein Konto bei Amazon haben. Die Menschen sind doch alle irgendwie wirre im Kopf.
Es gibt auf der Seite auch die unterfunktion seine Passwörter zu überprüfen.
Stephan, das war wohl ein klassisches Eingentor. Bevor du hier rumpöbelst, solltest *du* dich erstmal mit der Seite/den Fakten vertraut machen.
Niemand soll oder muss seine E-Mail Adresse dort eingeben. Wobei die eigene E-Mai-Adresse sicher kein geheimes Asset ist oder als solches betrachtet werden sollte. Man kann auch einfach davon ausgehen betroffen zu sein und räumt einfach mal auf.
Du vertraust ifun nicht? Gut! Dann prüfe die Quelle. Du vertraust der Quelle nicht? Gut! Prüfe die technischen Gegebenheiten. Du kannst das selber nicht einschätzen? Macht nichts! Prüfe, ob jemand, dem du traust und der Ahnung hat, eine fundierte Meinung dazu hat, ggf. eine Empfehlung aussprechen kann. Falls nichts davon trifft, kannst du gern die Finger davon lassen. Aber das Hirn anstrengen wäre schonmal was.
Die Straußentaktik, sprich was ich nicht sehe, kann mir auch nicht gefährlich werden, hilft hier wohl kein Stück.
Was wollen die bösen? Deine Mail-Adresse? Bei einem Leak dieser Größe ist sie Chance durchaus vorhanden, dass diese bereits dabei ist. Oder bei einem der anderen in Laufe der letzten Jahre. Dann vielleicht dein Passwort? Hm, wohl auch nicht. Denn was bringt es mir den Schlüssel zu haben, wenn ich nicht weiß für welches Schloss er ist, ja nicht einmal in welchen Haus. Was bleibt übrig? Richtig: Haus, Schloss und Schlüssel, bzw. Dienst, Mail und Passwort. Denn nur so kommt man in einen Account.
haveibeenpawned speichert keine Nutzereingaben (außer man möchte sich für den Notification-Dienst registrieren, dann bekommt man auch direkt bei News Bescheid, die einen betreffen – so geschehen bei mir, gestern Nacht, zu eben diesen Leak, inkl. weiterer konkreter Infos) und falls man sein Passwort dort prüfen möchte, dann wird dieses nichteinmal im Klartext übertragen. D.h. das eigene Passwort kommt nicht einmal bei troyhunt an. Wer mag kann dies sogar über den Browser selbstb überprüfen.
So wie ich das verstanden habe: Du gibts nicht deine Email Adresse und Passwort gemeinsam ein, das sind zwei getrennte Bereiche. In einem kannst du danach suchen ob deine Email Adresse in einem Datenleck dabei war (und meist auch sehen bei welchem genau), im anderen suchst du nach Passwörtern und wenn du dir die Seite mal angesehen hättest, wüsstest du das du für ein Passwort auch nur Teile eingeben kannst und das du nur angezeigt bekommst, ob dein Passwort (oder der eingegebene Teil) in den Datensätzen vorhanden ist und wie oft. Soll heißen wenn dein Passwort „Hund-Haus-Huhn“ wäre, könnte das Ergebnis sein das dieses Passwort mehrere 1000mal auftaucht. Das soll in dem Fall nur hilfreich sein um einordnen zu können, ob man dringend sein Passwort ändern sollte, weil zumindest dieses in dem Datensatz vorkommt (ob das aber nun von dir oder einer anderen Person ist, ist nicht überprüfbar).
Das BSI weist ebenfalls auf die Seite hin. Und dort muss man überhaupt keine Passwörter eingeben.
Auf dem iPhone gespeicherte Passwörter können unter Einstellungen-> Passwörter und Accounts -> Website und App-Passwörter aufgerufen werden.
Da werden doppelte Passwörter mit einen ! markiert und können über den Link zur Webseite geändert werden.
Ja, das ist echt praktisch.
Was sehr eigenartig ist, ist dass beim wechseln des Passwortes einer Apple ID , der iOS Mechanismus, ein vorgeschlagenes Passwort zu speichern, nicht funktioniert (das vorgeschlagene Passwort wird nicht im „Passwort bestätigen Feld“ eingefügt).
Bei (bisher) allen anderen Seiten geht das aber reibungslos und schnell, Passwörter zu ändern und in der Keychain zu speichern.
Man würde doch denken, dass gerade Apple dieses Feature überall unterstützt…
Na toll, ich bin laut website betroffen und wollte gerade mein web.de PW ändern.
Bis in die Sicherheitseinstellungen komme ich aber wenn ich auf PW ändern klicke spuckt die Website die Fehlermeldung aus, dass der Dienst derzeit nicht zur Verfügung steht!
Klasse Service! Passwörter werden geleakt und ich kann auf alles zugreifen nur nicht auf die Änderungseinstellungen…
Geht es noch jemanden so?
Bei GMX das gleiche….
Ja, mir geht’s auch so. Allerdings bei GMX
Wechselt eure Mail Accounts zu Posteo oder einen vergleichbaren Anbieter. Freemailer würde ich meine privaten Daten (Emails können im Klartext gelesen werden) nicht anvertrauen. Ein vernünftiger Mail Anbieter kostet nicht viel Geld (Posteo 1€/Monat).
Über die Passwort vergessen Funktion vor dem Einloggen geht’s
Wirkt auf mich eher wie eine Marketingaktion von 1password
Kommt mir auch komisch vor bzw. nicht ganz aktuell. Meine eMail wird bei Adobe und Disqus gelistet.
Adobe hat mich bereits 2014 (vor fast fünf JAHREN) dazu angeschrieben.
Bei Disqus hatte ich noch nie irgendeinen Account und habe den Dienst außerdem geblockt.
Troy Hunt hat überhauptnichts mit 1password zu tun. Wir kommt man denn darauf?
Was man auf keinen Fall machen sollte ist die Mailadresse beim Provider löschen. Den die geben nach eine gewissen Zeit die Adresse wieder frei. damit bekommt der neue Besitzer zugang auf alle Daten
Wie spricht man denn das aus „pwned“???
So: p-w-n-e-d!
pjuhnt
pownt und leitet sich von „owned“ ab
Pount
Das hat mit Point nix zu tun.
Es geht hier nur darum dass p und o auf der Tastatur nebeneinander liegen und oft own zu pwn und owned zu pwned wird.
Quatsch. „P“ass“W“ord-„NED“
Gepasswortet.
„Haveibeenpwned“ – wurde ich gepasswortet – also, wurde mein Passwort irgendwo ausgespäht.
Auf iOS zeigt er die Ausrufezeichen, wenn Passwörter doppelt sind.
Auf dem Mac ist das Schlüsselbund dagegen total veraltet.
Schade!
Und bei welchem Dienst ist jetzt meine Mail aufgetaucht? Habe überall andere Passwörter würde jetzt gerne wissen welche Login Daten rumgehen.
Das hat man nun von dem Anmeldewahn. Bei jedem Dienst soll man sich anmelden, um das ales in den Griff zu bekommen soll man dann seine Logins mit Passwortmanager speichern… Egal ob Website/Shop/Formus-Betreiber oder selbst App Programmierer eines Passwortmanagers – Irgendeiner in der Kette hat scheisse programmiert oder führt was im Schilde, und schon hat man den Salat. Ne Lösung sehe ich hier nicht, oder habe ich was übesehen?
Ein guter und vertrauenswürdiger Passwort Manager und eine Mail bei einem sicheren Anbieter mit 2FA Absicherung (ich nutze dazu GMail) die dann zum Anmelden bei den Online Diensten genutzt wird. Zusätzlich ein Privaten Mail Account bei einem vertrauenswürdigen und sicheren Mail Anbieter (bspw. Posteo) über den der gesamte private Mailverkehr geht und NICHT zum anmelden bei Online-Diensten genutzt wird. Der private Account wird dann auch beim Mail Account für Online Dienste als Wiederherstellungsaccount hinterlegt, falls jemand versucht deinen (Online Dienst) Mail Account durch Bruteforce zu knacken. Und immer dran denken 100% Sicherheit gibt es nicht, jedoch lässt sich mit vertretbaren Aufwand eine sehr gute Sicherheit gewährleisten.
Ich empfehle hier immer gern den Podcast Logbuch:Netzpolitik.
In diesem Fall speziell sie aktuellen beiden Episoden 281: Bedenken Second (Kapitel 4 – Tips zum absichern eurer Daten) sowie das Feedback dazu in der darauf folgenden Episode 282: Selbstkritische Infrastruktur zu Beginn der Folge.
LNP ist klasse! Die beiden Folgen habe ich noch nicht gehört, werde ich gleich nachholen ;)
mit der Business Email nicht betroffen mit dem @me.com zumindest erwähnt. Mit der 2 Faktor Authentifizierung wünsche ich denen aber echt viel Glück das zu knacken…
Ab und zu kriege ich seltsame Phishing Mails mit der Aufforderung meine Daten anzugeben (^^) und diese leite ich dann immer direkt an Apple weiter:
abuse@icloud.com
und
reportphishing@apple.com