E-Mail Diebstahl ( Datum 21.1.2014 )

[Moon-Light]

Hallo


Habe in den Nachrichten heute den 21.1.2014 gesehen E-Mail Diebstahl, und
es sollen 16 Millionen Opfer geben.

Lesen kann man es z.B. auf dieser Seite:

http://www.merkur-online.de/aktuelles/co...25062.html

Und bei dem Link von "sicherheitstest.bsi.de" seine E-Mail's Testen kann.

Ist aber grade überlastet oder zur zeit überlastet.

[Jummer]

bei mir scheint nichts zu sein*phew*

[Crash Override]

Bisher hab ich noch keine Info's, ob eines meiner E-Mail Konten betroffen ist.

[Leon]

Irgendwie finde ich die Informationen zu den 16M Userdaten ziemlich dürftig.
Es wird weder erwähnt, woher die Daten stammen noch wie alt sie sind. Außerdem ist der Begriff "Online-Dienste" oder "Nutzerkonten" sehr unpräzise, da es sich eben nicht konkret z.B. um e-Mail-Logindaten, sondern um scheinbar beliebige Nutzerdaten handelt.

[HeavyMetalNeverDies!]

Mich würde mal eher interessieren ob da explizit nur deutsche betroffen sind die einen deutschen Mailserver verwenden oder ob da Webmails auch drunter fallen.

Im blödsten fall hat noch niemand 16 Millionen Userdaten gestohlen, bis zu den Zeitpunkt wo man sich selbst in die Liste einträgt um nachzusehen ob sie gestohlen wurden und et voila... schon hat man ein paar Spam-Mails mehr im Postfach.

[404compliant]

Bisher ist wenig über die Hintergründe bekannt, aber ich vermute, dass die Zugangsdaten von Trojanern auf PCs abgefangen und an die Botnetzbetreiber weiter gereicht wurden, vermutlich nur als Beifang. Das BSI rät jedenfalls explizit zu Passwortänderungen und Säubern des PC. Wer also mal einen Schädling auf dem Rechner hatte, sollte dringend den Test machen.

[HeavyMetalNeverDies!]

So, ich habe einfach mal die zwei wichtigsten PWs geändert vom Mail und von Amazon. Mit allen anderen Konten kann man ohnehin nicht auf mein Geld zurückgreifen.

Die überprüfung lasse ich mal und gehe davon aus dass ich ohnehin nicht betroffen bin. Bei den Kommentaren auf der Seite bin ich mir erst nicht sicher ob es sich da nicht um ein großangelegtes Adressen-Sammeln geht bzw. bei dem was der Staat alles für Dreck am Stecken hat weiß man ja nie.

[MaSc]

Spoiler (Öffnen)

(22.01.2014)HeavyMetalNeverDies! schrieb:  Bei den Kommentaren auf der Seite bin ich mir erst nicht sicher ob es sich da nicht um ein großangelegtes Adressen-Sammeln geht bzw. bei dem was der Staat alles für Dreck am Stecken hat weiß man ja nie.

Klar, HMND geht natürlich gleich wieder davon aus, dass der böse Staat etwas böses im Schilde führt. Verschwörung ahoi.

Naja, ich hab den Test auch mal gemacht. Etwas blöd aber, dass man nur eine Nachricht erhält, wenn man betroffen ist und es keine Negativnachricht dazu gibt. Aber gut, rechne eigentlich auch nicht damit, dass ich betroffen bin

[HeavyMetalNeverDies!]

Sieh es einmal so MaSc: Wenn der Staat hier wirklich Daten sammeln wollte dann hätte er leichtes Spiel weil die Leute ja ohnehin nicht an "Verschwörungstheorien" glauben, unabhängig davon ob diese gerechtfertigt wären oder nicht.

Der eine Kommentar auf der verlinkten Seite hat aber nicht ganz unrecht: die betroffenen email-adressen haben sie sowieso warum muss man sich also nochmal extra eintragen anstatt gleich eine mail zu schicken und öffentlich darauf hinzuweisen dass mails mit entsprechendem Betreff ausgesandt wurden?

[Dr.Wandschrank]

(22.01.2014)HeavyMetalNeverDies! schrieb:  Der eine Kommentar auf der verlinkten Seite hat aber nicht ganz unrecht: die betroffenen email-adressen haben sie sowieso warum muss man sich also nochmal extra eintragen anstatt gleich eine mail zu schicken und öffentlich darauf hinzuweisen dass mails mit entsprechendem Betreff ausgesandt wurden?

Weil es so einfacher ist. Es geht hier ja um über 16 Millionen.
Auch ist das wohl zur Sicherheit.
Würde man mir ohne das ich gefragt hätte so ne Mail senden würde ich dieser nicht glauben ^^

[Conqi]

(22.01.2014)HeavyMetalNeverDies! schrieb:  Der eine Kommentar auf der verlinkten Seite hat aber nicht ganz unrecht: die betroffenen email-adressen haben sie sowieso warum muss man sich also nochmal extra eintragen anstatt gleich eine mail zu schicken und öffentlich darauf hinzuweisen dass mails mit entsprechendem Betreff ausgesandt wurden?

Weil 16 Millionen Mails verschicken schon ein Aufwand ist und viele davon wahrscheinlich gar nicht mehr benutzt werden. Zudem kann ich mir vorstellen, dass das unter Spam fällt und für ne Behörde wahrscheinlich gar nicht erlaubt ist.

[Killbeat]

genau aus diesen grund halte ich bankdaten und internet getrennt. hab jetzt mein mail passwort geändert. da nach den test keine mail kam, bin ich wohl nicht betroffen, das pw ändern schadet aber trotzdem nicht

[HeavyMetalNeverDies!]

@conqi
Gutes Argument. Das Risiko von Daten sammeln bleibt so aber trotzdem. Nachdem die meisten aber kein Poblem damit haben, gibt es ja kein Problem damit.

Vielleicht macht man sich auch umsonst Gedanken.

Spoiler (Öffnen)

Vielleicht aber auch nicht

[wrwr]

Das BSI halte ich jetzt aber auch nicht unbedingt für vertrauenswürdig genug, um ihm meine Emailadressen zu geben.

[Shippou]

Glaub mir, spätestens wenn Du mit Deiner Adresse mit PayPal zahlst oder Dich in irgendwelchen Shops vielleicht damit angemeldet hast zirkuliert die sonstwo.
Da ist das BSI harmlos dagegen.

[Evenprime]

Wenn du deine E-Mail-Adresse bei einem deutschen Mail-Provider registriert hast oder du jemals an eine deutsche Mailadresse eine Mail geschrieben hast oder jemals von einer deutschen Mailadresse/Provider eine Mail empfangen hast, dann ist diese bei den deutschen Behörden aufgezeichnet und bekannt. Mail-Verkehr wird recht umfassend aufgezeichnet von Providern, Behörden (ohne Inhalt) und natürlich Geheimdiensten (vermutlich mit Inhalt).

Für den Mail-Test gibt man jedenfalls nur eine Adresse ein, ohne irgendwelche sonstigen Infos. Kann also jeder der paranoid ist auch gerne TOR nutzen und dann die Adresse dort eintippen, so dass man garantiert nicht diese Adresse mit seiner Person in Verbindung bringen kann. Man kann btw. auch die Adressen von anderen Leuten eintippen. Wer glaubt seine Verwandten oder Freunde sind für Viren und Trojaner anfällig und diese weigern sich den Test zu machen, würde diesen sogar einen Gefallen tun, wenn er an ihrer statt dort den Test anstößt.

Im besten Fall bekommen sie davon nichts mit (keine Mail), im anderen besten Fall bekommen sie die Bestätigung, dass ihre Daten geklaut wurden. Kann man nichts falsch machen.

[404compliant]

(22.01.2014)HeavyMetalNeverDies! schrieb:  Der eine Kommentar auf der verlinkten Seite hat aber nicht ganz unrecht: die betroffenen email-adressen haben sie sowieso warum muss man sich also nochmal extra eintragen anstatt gleich eine mail zu schicken und öffentlich darauf hinzuweisen dass mails mit entsprechendem Betreff ausgesandt wurden?

Ah ja, eine unaufgefordert zugesandte Mail von "BSI", die mich darauf hinweist, dass mein Passwort geknackt ist, und mich auffordert, meinen Rechner zu scannen. Am besten gleich mit Scanprogramm im Anhang.

Hätte ich, nur nach Lesen der Titelzeile, im Junk entsorgt. Vergleichbares kommt öfters an, meistens ist aber angeblich mein Bankkonto in Gefahr, und ich soll die Pin eingeben.

[Leon]

(23.01.2014)404compliant schrieb:  [...]
Vergleichbares kommt öfters an, meistens ist aber angeblich mein Bankkonto in Gefahr, und ich soll die Pin eingeben.

Bei mir kommen gerne mal Mails an, dass ich doch bitte meine mehreren Millionen Euro/Dollar/etc., die ich geerbt/gewonnen/etc. habe doch bitte abholen möchte.

Immerhin: Laut Angaben vom BSI sollen die Infomails neben dem Betreff-Code (den sich eh keiner aufschreibt (zumindest ich nicht)) außerdem noch PGP-siginert sein, was schon mal ganz passabel ist. (Sofern der öffentliche Schlüssel irgendwo verfügbar ist.)

[404compliant]

Schlüssel ist auf der Webseite verlinkt. Und ich hätte sogar alle nötigen Erweiterungen im Mailprogramm, um die Signatur zu prüfen. Schade, dass ich keine Post bekommen habe.

Immerhin interessant, dass sie einen GPG/PGP-Schlüssel verwenden, und damit weder S/MIME noch De-Mail und ähnliches. Die Klassiker sind halt immer noch die vertrauenswürdigsten.

[Leon]

Meanwhile:
Das BSI hatte die Userdaten bereits seit August 2013, hat aber damals nur Behörden und Bundestag informiert. Toll.
Siehe: https://netzpolitik.org/2014/bsi-fail-be...-groesser/