[Netzwelt] 16 Millionen Benutzerdaten geklaut

Das Bundesamt für Sicherheit hat eine Warnung herrausgegeben, dass bei der Analyse von Botnetzen 16 Millionen gestohlene digitale Identitäten endeckt wurden.

Dabei handelt es sich um Zugangsdaten für verschiedene Onlinedienste wie E-Mail-Dienstleister und Online-Shops.

Das Bundesamt für Sicherheit ermöglicht auf dieser Website einen Test ob die eigenen Zugangsdaten gekapert wurden.

Hierzu muss man nur seine Mailadresse eingeben und erhält eine E-Mail, falls man betroffen sein sollte.

In diesem Fall ist womöglich der eigene Rechner mit einer Schadsoftware infiziert.

Auf alle Fälle sollte man sämtliche Zugangsdaten zu Online-Diensten ändern.

Quelle: Focus Online

 

[Sp1xx]

Interessant...

Ist bekannt von wann der Datensatz ist ?
Nach den zahlreichen Sony und Adobe Hacks sind ja einige Mails in fremder Hand gelandet, ob diese noch aktiv sind ist ja eine andere Geschichte.
Ich prüf mal meine 3-6 Mail Adressen...

Achja, ein ganz interessantes ebook über Cybercrime gibt es zurzeit bei Itwissen.info

 

[antu]

Ich hab meine E-Mail-Adressen mal auf der BSI-Webseite getestet, bin wohl nicht unter den Betroffenen. Mich würde mal interessieren, welche von Online-Shops/E-Mail-Dienstleistern die Benutzerdaten stammen.

 

[accC]

Ja und jetzt?
Das Bundesamt für Sicherheit hat keine Warnung herrausgegeben, dass täglich mehrere Mio höchst vertrauliche Nutzerdaten vom NSA abgegriffen werden.

Sorry, aber ich verstehe nicht, wie ein Amt sich überhaupt noch trauen kann über solche Leaks zu berichten, als wäre ein Leak der bis dato größte und schlimmste und gefährlichste, wenn er ein feuchter Furtz im Vergleich zu dem, was das NSA Tagesgeschäft nennt, ist.

Es mag sein, dass es einen Unterschied macht, ob die Daten nun in Händen des NSA liegen oder in denen eines Cyberkriminellen. Allerdings bin ich mir nicht sicher, was nun letztlich schlimmer ist.

 

[Hansolo]

Weiß man denn schon wie lange es dauert, bis die Email ankommt? (wenn man denn betroffen ist)

Denke mal, das zumindest eine meiner 3 Addressen dort drin steht...
Hatte vor einem Jahr schon Probleme mit div. Gameaccounts (Diablo 3, Eve Online und noch ein paar unwichtigere Dienste wurden von Unbekannten übernommen)

Habe aber damals schon über nen anderen PC die Passwörter geändert, merken kann ich mir diese nach über einem Jahr immer noch nicht

@accC

Hast recht, das mit der NSA ist auch beschissen, allerdings habe ich bei den "Cyberkriminellen" mehr Angst. Die NSA kuckt ja nur, die anderen greifen gleich zu

 

[antu]

Laut der BSI-Webseite:

Falls Ihre Adresse betroffen ist, erhalten Sie kurz darauf per E-Mail eine entsprechende Information sowie Empfehlungen zu erforderlichen Schutzmaßnahmen an die angegebene Adresse. Ist die eingegebene Adresse nicht betroffen, erhalten Sie keine Benachrichtigung.

Wenn du also nach ein paar Minuten keine E-Mail bekommen hast, bist du wohl nicht betroffen.

Ich benutze für jeden Dienst ein eigenes zufällig generiertes Kennwort, merken kann ich mir die auch nicht, bis auf ein paar die ich oft eingebe. Dafür benutze ich KeePassX, damit kannst du deine Kennwörter speichern/verwalten. Nur so als Tipp.

 

[Annika]

Für das BSI erwies sich die Vielzahl verunsicherter Bürger, die überprüfen wollten, ob ihre Daten in falsche Hände gelangt sind, als problematisch: laut einem Bericht von Spiegel Online legten die Nutzer mit ihren Anfragen die Behörden-Website lahm. Schon nach kurzer Zeit brach die Infrastruktur des BSI unter der Last zusammen; seitdem ist der Online-Check nur noch unzuverlässig erreichbar.

"Es wird schon daran gearbeitet. Die Kapazitäten werden gerade erhöht", sagte BSI-Pressesprecher Tim Griese. "Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach." Warum das BSI nicht auf den Besucher-Ansturm vorbereitet war, verriet Griese nicht. Auch die genaue Zahl der erfolgten Zugriffe konnte er noch nicht nennen.

 

[PaRaDoX]

Das BSI verfügt also über eine Datenbank/Webseite, welche ca. 16 Millionen gekaperte Emailadressen beinhaltet.

Wieso wird dann nicht automatisch eine Email an die Betroffenen gesendet ohne seine Email eingeben zu müssen?

Für mich sieht das so aus als ob man Adressen sammelt.

 

[TheOnly1]

Wieso wird dann nicht automatisch eine Email an die Betroffenen gesendet ohne seine Email eingeben zu müssen?

Weil es dann für Gauner extrem einfach wäre das zu faken indem sie gefälschte Mails an Gott und die Welt verschicken und somit noch größerer Schaden enstehen würde.

 

[gelöschter Benutzer]

Wieso wird dann nicht automatisch eine Email an die Betroffenen gesendet ohne seine Email eingeben zu müssen?

das wird schon Gründe haben.
Kann mir kaum vorstellen, dass das ne Masche ist um an email-Adressen zu gelangen.
Da gibt es einfacherer und vor allem legale Wege.

 

[Gelöschtes Mitglied 1550]

Schon nach kurzer Zeit brach die Infrastruktur des BSI unter der Last zusammen; seitdem ist der Online-Check nur noch unzuverlässig erreichbar.

Die meinten Wohl die Infrastruktur von Strato.

root@srv:~# nslookup www.sicherheitstest.bsi.de
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
www.sicherheitstest.bsi.de canonical name = sicherheitstest.bsi.de.
Name: sicherheitstest.bsi.de
Address: 85.214.10.5

root@srv:~# whois 85.214.10.5
% This is the RIPE Database query service.
% The objects are in RPSL format.

% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '85.214.10.0 - 85.214.10.15'

% Abuse contact for '85.214.10.0 - 85.214.10.15' is 'abuse@strato.de'

inetnum: 85.214.10.0 - 85.214.10.15
netname: CRONON-10-0
descr: Cronon AG, Berlin
country: DE
admin-c: CRC-RIPE
tech-c: CRC-RIPE
remarks: ************************************************************
remarks: * Please send abuse complaints to abuse@cronon.net *
remarks: * or fax +49-30-39802-222 ONLY. *
remarks: * Abuse reports to other e-mail addresses will be ignored. *
remarks: ************************************************************
status: ASSIGNED PA
mnt-by: CRONON-MNT
mnt-routes: STRATO-RZG-MNT
mnt-lower: STRATO-RZG-MNT
source: RIPE # Filtered

role: RIPE contact Cronon AG
address: Cronon AG
address: Pascalstr. 10
address: D-10587 Berlin
address: Germany
phone: +49 30 39802-0
abuse-mailbox: abuse@cronon.net
admin-c: CM265-RIPE
tech-c: CM265-RIPE
tech-c: SOUL-RIPE
tech-c: XX1-RIPE
nic-hdl: CRC-RIPE
remarks: ************************************************************
remarks: * Please send abuse complaints to abuse@cronon.net *
remarks: * or fax +49-30-39802-222 ONLY. *
remarks: * Abuse reports to other e-mail addresses will be ignored. *
remarks: ************************************************************
mnt-by: CRONON-MNT
source: RIPE # Filtered

% Information related to '85.214.0.0/16AS6724'

route: 85.214.0.0/16
descr: STRATO AG
origin: AS6724
mnt-by: STRATO-RZG-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.70.1 (WHOIS1)

 

[PaRaDoX]

@TheOnly1:

Wenn ich das richtig verstanden habe, bekommen die Betroffenen eine Email mit einer "Anleitung" wie weiter vorzugehen sei. Darin sehe ich keine große Gefahr, außer a) die "Anleitung" muss von irgendwo heruntergeladen werden (Phishing, Drive-by-Download etc.) oder b) die Anleitung ist gefaked und destruktiv. Im zweiten Fall muss aber schon wirklich ein DAU vorm Monitor hocken!


@elgitarre:

Hm, vielleicht sollte ich einfach mal anfragen.

Ich finde das ist die perfekte Masche um Emailadressen zu sammeln. Der geschockte und verängstigte Bürger hinterlässt seine Emailadresse bei einer staatlichen Behörde und wähnt sich in Sicherheit, da er ja a) eine "Anleitung" bekommt oder b) nicht betroffen sein kann wenn keine Mail ankommt.

 

[gelöschter Benutzer]

Ich finde das ist die perfekte Masche um Emailadressen zu sammeln. Der geschockte und verängstigte Bürger hinterlässt seine Emailadresse bei einer staatlichen Behörde und wähnt sich in Sicherheit, da er ja a) eine "Anleitung" bekommt oder b) nicht betroffen sein kann wenn keine Mail ankommt.

klar. Und entgegen aller Gesetze und entgegen jeglichem Datenschutz verkauft diese Behörde die emails dann weiter oder was?

Klar, kann alles sein, aber wenn du so denkst, dann darfst du bei keiner Behörde jemals deine Daten lassen.
Es gibt Behörden die haben wesentlich sensiblerer Daten als deine email.
Warum sollte man dann gerade auf die Art und Weise auf email-Fang gehen, wenn man doch deutlich bessere Daten bereits schon hat?

Ist doch sehr, sehr stark an den Haaren herbeigezogen und beruht wohl auf der
"alles was vom Staat kommt (außer Geld) ist schlecht" - Mentalität, oder?

Darin sehe ich keine große Gefahr, außer a) die "Anleitung" muss von irgendwo heruntergeladen werden (Phishing, Drive-by-Download etc.) oder b) die Anleitung ist gefaked und destruktiv. Im zweiten Fall muss aber schon wirklich ein DAU vorm Monitor hocken!
.

wenn du dort deine email eingibst bekommst du nen Code.
Es steht extra dabei, dass sie dir in dem Fall dass deine email kompromittiert wurde dir eine verschlüsselte Mail mit eben diesem Code im Absender schicken und dass du keine andere email die nicht diesen Code hast in die Richtung beachten sollst.

 

[Toxxic]

Was PaRaDoX schreibt, war auch mein erster Gedanke.

Warum nicht erst alle betroffenen User per Mail warnen und das danach an die Presse weiterleiten? Fake Mails könnten so nicht vor der "echten" Mail im Postfach landen... So wie das jetzt läuft, gibt man Fake-Mails sogar noch eine extra Chance...

 

[Gelöschtes Mitglied 1550]

Warum nicht erst alle betroffenen User per Mail warnen und das danach an die Presse weiterleiten?

Weil es Spam wäre. Und eine offene Einladung für Phisher.

 

[gelöschter Benutzer]

wenn man allen usern einfach so mail schickt hat man eben keine Sicherheit dass die nicht vom botnet gefaket werden.

Da man auf der Homepage nen Code erhält ist die Sache wieder sicherer.
Logisch, oder? Für völlig einleuchtend.
Vielleicht ist das auch zusätzlich noch ne rechtliche Geschichte, schließlich darf dir kein Amt einfach so ne mail schicken.

Und noch mal.
Die meisten Ämter haben deutlich wertvollere Daten von den Bürgern, da wird man nicht auf die Art und Weise auf email-Fang gehen.

Klar, ich hab auch kurz darüber nachgedacht, aber wenn man wirklich darüber nachdenkt merkt man doch wie absurd die Idee ist.

 

[PaRaDoX]

Ich möchte mich auch gar nicht auf dieses mögliche Szenario versteifen, aber die Frage schoss mir zuerst durch den Kopf.

Wie elgitarre schon sagte, vermutlich ist es Behörden rechtlich nicht möglich Initiativemails an Bürger zu senden und so musste man zwangsläufig diese Vorgehensweise wählen.

 

[Gelöschtes Mitglied 1550]

Wie elgitarre schon sagte, vermutlich ist es Behörden rechtlich nicht möglich Initiativemails an Bürger zu senden und so musste man zwangsläufig diese Vorgehensweise wählen.

Nicht nur Behörden ist dies rechtlich nicht möglich. Es ist und bleibt Spam - eine Massen-Mail an Empfänger, die nicht eingestimmt haben.

 

[bevoller]

Ich finde das ist die perfekte Masche um Emailadressen zu sammeln. Der geschockte und verängstigte Bürger hinterlässt seine Emailadresse bei einer staatlichen Behörde und wähnt sich in Sicherheit...

Nicht nur das. Er hinterlässt evtl. sogar mehrere Adressen, die sich auf Grund der identischen IP und der kurzen zeitlichen Abfolge ziemlich sicher ein und der selben Person (oder zumindest der IP) zuordnen lassen. Browser-Fingerprinting erhöht die Zuverlässigkeit. Und mit etwas Glück wird auch noch eine Mail-Adresse mit Realnamen geprüft.

Gut, ist vielleicht doch ein nicht ganz unrealistisches Hirngespinst. Unterstellen würde ich dem BSI hier jetzt mal nichts. Schließlich überwiegt hier ggf. der Nutzen für den Verbraucher. Aufgedeckte Identitätsdiebstähle führen zudem ja auch dazu, dass es weniger Opfer gibt, die sich an Ermittlungsbehörden wenden müssen. Aber würde das BSI z.B. auch vor dem viel gerühmten Bundestrojaner im Elster warnen? Der Gedankengang ist jedenfalls interessant.

 

[Steeve]

So oder so die Seite ist nicht mehr erreichbar