Vom BKA wurde eine Sammlung von 500 Millionen Datensätzen mit Onlinezugangsdaten wie E-Mail-Adressen und Passwörtern im Darknet gefunden. Hier einige Informationen.
Anzeige
Das Leak
Auf der Webseite des BKA findet sich hier der Hinweis, dass auf einer Underground-Economy-Plattform im Internet eine Sammlung von ca. 500.000.000 ausgespähten Zugangsdaten gefunden wurden. Die Daten bestehen aus Email-Adressen mit dazugehörigen Passwörtern. V
Das BKA vermutet, dass die Daten von verschiedenen Hacker-Angriffen stammen und über einen längeren Zeitraum zusammengetragen wurden. Die aktuellsten ausgespähten Zugangsdaten sind wahrscheinlich aus Dezember 2016. Diese Art an Datensammlungen sind nicht neu und es gab häufiger solche Funde und Leaks.
Das BKA hat die betroffenen Datensätze (E-Mail-Adressen und Passwörter) beim Hasso-Plattner-Institut in den „Identity Leak Checker" integrieren lassen. Mit Hilfe eines Formulars kann jeder Nutzer überprüfen, ob seine Daten betroffen sind. Dazu soll man die E-Mail-Adresse angeben. An diese Adresse wird dann ein Datensatz geschickt, der Hinweise enthält, ob die Zugangsdaten in der Sammlung enthalten sind.
Aktuell ist die verlinkte Seite – vermutlich wegen Überlastung – aber nicht erreichbar.
Das BKA rät
In einer Stellungnahme rät das BKA zu überprüfen, ob man mit eigenen Daten betroffen ist. Falls ja, sollte man die Passwörter ändern. Zudem gilt es zu überlegen, wo diese Zugangsdaten noch verwendet werden. Dort sind die Passwörter ebenfalls zu ändern.
Anzeige
Generell gilt: Wenn möglich sollte man für unterschiedliche Dienste und Portale im Internet immer auch unterschiedliche Passwörter verwenden.
Allgemeine Tipps zur Passwortgestaltung und noch mehr rund um das Thema „Sicherheit im Internet" finden Sie auf den Internetseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Anzeige
Das ist mal wieder ein kritisches Ding und keiner weiß was wie. Interessant ist immer die E-Mail-Prüfadresse. Diese hatten wir hier auch schon mal thematisiert und hilft. Dann stelt man fest das man dabei ist und dann?
Die entscheidende Frage ist: Was passiert, wenn Deine E-mail-Adresse für dich auftaucht. Ein ändern ist in bestimmten Fällen schwer möglich. Da hängt ja mehr dran. Die klugen EDV-Leute vom BKA machen es sich einfach – Adresse ändern. Gehen wir mal ins normale Leben – Wie kann ich meine normale (also nicht virtuell, tatsächlich, greiflich zum sehen und nachweisbar) Postadresse ohne Schaden für mich ändern. Es geht nicht!
Es ist alles ein Witz. Die Lösung kann nur lauten – Stecker raus und Stift und Zettel. Da ist auch der Trump doof und abgeschaltet.
Grüße
"Dann stelt man fest das man dabei ist und dann?"
Ändert man schnell sein Passwort und gut is…
Eine meiner Mail Adressen war nach diesem Checker beim Adobe Hack betroffen. Adobe hatte seinerzeit 2013(? oder so) schon reagiert und von sich aus die Passwörter zurückgesetzt und ich glaube sogar direkt per Mail Kontakt aufgenommen. Wenns hochkommt gibts auf der Adresse mehr Spam und das wars dann auch.
Ein ändern der Mail Adresse mag nicht möglich sein, oder sich schwierig gestalten, aber man kann von Anfang an verschiedene Adressen für unterschiedliche Zwecke nutzen, Aliasse nutzen etc. Grad für Gedöns wie Communities und Shops in denen man möglicherweise nur einmalig aufschlägt. Oder direkt eine Mülladresse nutzen…
Supereinfach gehts bei Google. Adresse anlegen und frei nach wahl an den Namen mit + eine Aliasadresse zur Hand haben, die man zur Not direkt in den Mülleimer filtern kann.
Wenn dein Konto mustermann@gmail.com lautet erreicht dich zum Beispiel eine zur Anmeldung in einem Shop eingetragene Adresse wie mustermann+istehnurspam@gmail.com genauso…
Mal eben mit einem + seine Postanschrift zu verändern, ist natürlich schwieriger ;)
Aber man kann das Passwort eines betroffenen Accounts ändern. Leider haben es ja manche Firmen/Foren nicht nötig, eine Mail nach einem Hack zu verschicken.
Ich habe bei der Prüfung auch einen Account gefunden, bei dem der Anbieter gehackt worden ist. Und zwar den Account zurückgesetzt hat und man jetzt ein neues Passwort eingeben musste. Was aber jeder hätte tun können, weil bei der neuen Passworteingabe keine Bestätigung per EMail-Link gefordert wurde. Fahrlässig.
Wünschen würde ich mir eine gesetzliche Verpflichtung, dass man einen Account löschen lassen kann. In den meisten Fällen ist es tausend Mal schwieriger oder gar unmöglich, einen nicht genutzten Account wieder los zu werden.
Das Problem ist, dass viele Anbieter bei Benutzer es nur über die E-Mail-Adresse geht. Soviel E-mail-Adressen kann sich in bestimmten Fällen auch nicht angelegen. Hierbei geht es nicht um irgendwelche Foren oder Einmalbestellungen etc. Das mit Adobe hatte ich auch. Da habe ich auch eine Nachricht von Adobe bekommen.
Die Vergabe eines neuen Passworts ist natürlich klar. Aber das kann teilweise auch sehr mühselig sein.
Ich wollte nur mit meinen Beitrag darauf hinweisen, dass viele Leute vom BSI und BKA und sonstige mit ihren Hinweisen es sich einfach machen und teilweise nicht realisierbar ist. Mit einer E-Mail-Adresse hin ich auch drin. Das habe ich vor 3 Jahren geprüft. Da war nämlich auch so was mit zig deutscher E-Mail-Adressen. Am besten abwarten bis der Meteorit kommt und auf den Kopf einen fällt.
Der dann auch heute (9.7.) angegebene andere Link zum überprüfen liefert auch das gleiche Ergebnis wie der vom Hasso-Platter-Institut.
"Aktuell ist die verlinkte Seite – vermutlich wegen Überlastung – aber nicht erreichbar."
Sowas hab ich noch nie verstanden. Wenn ich so etwas rausposaune, dann ist doch klar, dass viele Zugriffe in kurzer Zeit stattfinden werden.
Rausposaunen tuns aber andere und nicht die Anbieter.
Wie groß oder klein dieses Uni Projekt ist, oder wie gut gepflegt, kann ja keiner wirklich sagen. Wenns so fix auf dem Rücken liegt wohl nicht groß genug ;)
HPI ist erreichbar (08-07-17, 00:10h).
503 Gateway timout.
Knapp 10 % der Weltbevölkerung? Da braucht man ja keine Staatstrojaner und MS Zeroday-Lücken mehr, wenn man irgendwo reinwill, hehe.
Auch das BKA muss mal erfolge für die Allgemeinheit vorzeigen um eine Daseinsberechtigung vorweisen zu können.
@Puritaner
fürs BKA ist es nur eine Randmeldung und ist nicht für die Dummheit der Leute auch nicht für deren -Kommentare im Netz, verantwortlich.
Hat sich um ganz andere Dinge zu kümmern.
"07.07.2017, 10:00 Uhr, im Bundeskriminalamt Wiesbaden"
Quelle: http://www.presseportal.de/blaulicht/pm/7/3677700
Schneller geht die Prüfung bei https://haveibeenpwned.com/
Aber nur, wenn die auf die BKA-Daten zugreifen können – bin aber nicht sicher, ob das zutrifft. Für einen ersten Check aber ganz gut – obwohl ich die Site hier im Blog schon vorgestellt habe und es sofort die Diskussion gab 'wie vertrauenswürdig ist die'.
Ich nutze die Seite schon über ein Jahr.Sicherheitsprobleme sind mir bisher nicht bekannt geworden;aber wer weiß das schon.
Parallel nutzte ich im gleichen Zeitraum die oben angegebene Adresse https://sec.hpi.uni-potsdam.de/leak-checker/search?lang=de .
Natürlich weiß ich nicht,ob bei PWNED schon die BKA-Daten gespeichert sind. Aber sie waren immer schnell!