Ist auch DEIN Passwort in die falschen Hände geraten? (update)
Dienstag, 21.1.2014, 14:44 > daMax
Anscheinend sind mal wieder Millionen E-Mail-Adressen und Passwörter in falsche Hände gelangt. Um zu checken, ob auch deine Mailadresse dabei ist, kannst Du beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vorbeisurfen:
https://www.sicherheitstest.bsi.de/
Leider ist die Site im Moment (21.1.2014; 14:43) überlastet. Aber das wird sicher wieder, denn da sind schließlich die BESTEN der .... zugange.
Update: fefe hat seine eigene Meinung dazu und spricht mir aus der Seele:
Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben?
Update 2: Auch Ronald Eikenberg davon nicht überzeugt: Beim Selbsttest durchgefallen.
(via lawblog)Auch wenn Bundesinnenminister Thomas de Maizière das für eine "vorzügliche Aktion" hält, bleibt fragwürdig, ob das BSI damit sich und den Opfern einen Gefallen getan hat.
Bild: daMax [CC BY-SA], basiert auf diesem von liftarn [CC BY-SA]
Artikel als RSS
und natürlich habe ich mich ca…
Und wenn man dem BSI und diesem Test nicht traut?
*1* Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.
*2* Hinweis: Sämtliche personenbezogene Daten, die bei Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald der Test abgeschlossen ist. Siehe auch Datenschutzerklärung
Wie soll man sich das mit der Mißbrauchserkennung denn vorstellen?
Von der Datenschutzerklärung bin ich nicht wirklich überzeugt. https://www.sicherheitstest.bsi.de/datenschutzerklaerung
Also es würde doch reichen, wenn die schreiben würde "Leute ändert eure PWs für Emailaddys und zu damit verbundenen Portalen oder ähnlichem"
Naja....
Ich muss da Prospero Recht geben. Es könnte sich auch einfach um einen HoneyPott halten um aktuelle E-Mail Adressen zu sammeln. Wo ist mein Aluhut? Dem BSI traue ich jedenfalls keine zwei Meter über den Weg und wie schon im Lawblog im Kommentarbereich angesprochen. Wo kommt diese Liste überhaupt her?
Mein Gott, die Dienste haben die Daten sowieso oder ist Snowden spurlos an euch vorübergegangen? Warum sollte das BSI Mailadressen sammeln? Um SPAM zu versenden? Und vor allem, können die die nicht einfach kaufen? Oder der BND holt sie sich einfach direkt von den Providern? Und ansonsten: Ist eure Mailadresse seit neuestem geheim?
Die haben eine Liste mit Mail/Passwort-Kombinationen. Selbstverständlich schicken die nicht einfach eine Mail mit einer Warnung weil genau solche Mails von uns ja sinnvollerweise als SPAM-verdächtig abgewiesen werden. Also informiert das BSI die Nutzer über das Problem und gibt den Leuten die Möglichkeit das aktiv selbst zu prüfen. Man gibt die Mailadresse an, bekommt einen Code angezeigt und kann dann eine evtl. vom BSI versandte Mail anhand dieses Codes als authentisch bewerten und so sehen, ob man selbst wirklich gefährdet ist.
Übrigens: Die Mondlandung hat es nicht gegeben und die Mars-Rover rollen auch nur durch Hollywood ... *Facepalm*
die ganze nummer hier, die "erklärungen" des BSI, die alles andere als klar sind (um was gehts? benutzerkonten sonstwo oder um mailadressen? woher ist die liste? wie alt ist die liste uswusf.), der zeitpunkt, die lancierung riesenfett im mainstream, ist nicht nur höchst undurchsichtig, sondern im allerhöchsten maße verdächtig. ich werde mich hüten, einer staatlichen stelle eine nicht-wegwerf-personalisierte-mailadresse samt IP, browserabdruck und sonstwas freiwillig zu übermitteln.
sehr süss ist in dem zusammenhang dieser passus:
"Der Dienst darf ausdrücklich nur für E-Mail-Adressen genutzt werden, deren Eigentümer man ist."
höhöhö.
@jukjukthechimp:
hast du keine fantasie? SCNR.
und bitte, bitte nicht den standart-VT-holzhammer am schluss, der hat einen unfassbaren bart und ist nicht hilfreich. thnx.
@DasKleineTeilchen
Doch, Fantasie habe ich. Du wahrscheinlich auch. Erkläre uns doch einmal was das BSI mit den Mailadressen anfangen will die für staatliche Stellen mit üblen Absichten (also z.B. die Dienste) auch anderweitig problemlos und vor allem im geheimen zu besorgen wären?
Und der VT-Hammer ist bei Leuten wie Dir scheinbar nötig. Nehmen wir einfach nur einmal das was du süß findest: "Der Dienst darf ausdrücklich nur für E-Mail-Adressen genutzt werden, deren Eigentümer man ist.". Das ist eine Standardklausel. Die findest Du so ähnlich auch bei z.B. Heise etc..
Staatliche Stellen, z.B. die Dienste, haben Deine Mailadresse sowieso. Also, warum sollte das BSI die jetzt sammeln zumal man ja auch beliebige Adressen eingeben kann. Lass Deiner Fantasie mal freien Lauf und schreib uns hier das warum, weshalb und vor allem das wofür.
Ich frage mich wie du darauf kommst, dass staatliche Stellen meine "persönliche" E-Mail Adresse haben sollten. Diese läuft weder über einen öffentlichen Anbieter noch benutze ich diese um mit amtlichen Stellen Informationen auszutauschen. Vllt. hat das NSA oder ein anderer Geheimdienst diese schon abgegriffen, möglich. Für öffentliche Dienste benutze ich eh nur Einmal-Adressen, da ich eh nichts privates über dies Dienste kommuniziere.
Vielleicht sammelt das BSI für den BND. Hört sich vertrauenswürdiger an oder würdest Du eine Mail Überprüfung vom BND zustimmen?
Und ich dachte immer, ich wäre paranoid. Meint ihr im Ernst, das BSI könnte mit so einer Aktion Adressen sammeln, die der BND noch nicht hat? Naja. Whatever.
@Rob
Warum sollte das BSI für den BND sammeln wenn der BND in Frankfurt direkt auf den DE-CIX zugreifen kann? Ich meine, jetzt mal ehrlich. Wir haben via Snowden einen klitzekleinen Ausschnitt aus den technischen Möglichkeiten der Dienste gesehen und Du meinst, der Dienst müsste Dich fragen um Deine Mailadresse zu bekommen? Im Ernst?
@DasKleineTeilchen
Und als kleiner Nachtrag: Nicht hilfreich ist hier das ganz VT-Gebrabbel von Leuten wie z.B. Dir. Das führt nur dazu, dass Leute die es tun sollten aus, zumindest in diesem Fall, völlig unbegründeter und von Leuten wie Dir geschürter Panik Dinge nicht prüfen, die sie unbedingt prüfen sollten.
Eine kleine Bitte an alle: wieder einen Gang zurückschalten, locker machen und freundlich bleiben. Okay?
@jukjukthechimp:
möglicherweise hat die meldung bei mir *tatsächlich* schlicht die paranoia getriggert; und, ist das jetzt nach den letzten monaten so irre verwunderlich? ich finds halt erstmal bedenklich, wenn eine staatliche stelle, die direkt dem innenministerium untersteht, per mainstream-aufruf qua sämtliche e-mail-adressen aller in diesem lande anfordert, wegen *angeblicher* und *möglicher* komprimittierung (kein wort davon, welche socialnetworks oder mail-anbieter *konkret* betroffen sind). keine ahnung, was die damit möglicherweise wollen, ist auch nicht meine aufgabe das rauszufinden. zusammenführung von mehreren mailadressen unter einer IP zb?
"Und der VT-Hammer ist bei Leuten wie Dir scheinbar nötig.". sagmal, gehts noch? "bei leuten wie mir". haben wir uns bis jetzt JEMALS in nem thread getroffen, daß dich zu so einer aussage berechtigt? solln dette mich mit dem lachhaften moon-"hoax"-bullshit in verbindung zu setzen, nur weil ich meine BSI-paranoia kundtue? edit/ sorry, max mein geholze jetzt hier gerade, aber da werd ich sauer. ist jetzt auch gegessen & ich halt mich zurück.
@DasKleineTeilchen
Nein, verwunderlich ist es nicht unbedingt, dass Du misstrauisch bist aber man muss halt auch mit seinem Misstrauen vorsichtig sein.
Was dieses "kein Wort welche ... betroffen waren" betrifft. Das BSI hat eine Liste mit Adress/Passwort-Kombinationen. Daraus ergibt sich *nicht* welcher Dienst nun genau kompromitiert ist, Es kann Deine Mail sein, es kann Steam sein, es kann ... sein Schliesslich gibt es ewig viele Dienste bei denen man sich u.a. mit Mail+Passwort registriert.
Und was das "Bei Leuten wir Dir" betrifft. Vielleicht habe ich mich da zu hart ausgedrückt aber das alles ist eine wichtige Information und das Allererste was da passiert ist, dass die Leute anfangen eine VT zu entwickeln die zumindest in diesem Falle unbegründet ist.
Gefährlich ist nicht, dass das BSI es ermöglicht zu prüfen ob man selbst betroffen ist. Gefährlich ist, dass VTs dazu führen, dass viele unbedarfte jetzt nicht prüfen und da hast halt auch Du hier Deinen Beitrag geleistet oder kannst Du uns nachvollziehbar darlegen, dass es gefährlich ist dort seine EMail-Adresse anzugeben? Ich meine jetzt ohne VT sondern via Fakten?
was weiss ich, vielleicht einfach n testballon, inwieweit der "deutsche" noch seinen behörden "vertraut" und offen seine adressen diesen mitteilt. testballons haben auf jeden fall gerade konjunktur; plus ein neuer inneminister, der ständig von der NSA ablenkt, vor der "fixierung" auf die NSA "warnt" und stattdessen auf dauerbekannte "gefahren" hinweist, zitat:
"Es gibt die organisierte Kriminalität, die sich für das Netz interessiert. Die wollen an unsere Überweisungen. Es gibt Geschäftsmodelle, die darauf basieren, Profilbilder von Privaten zu verkaufen und all das."
und JETZT diese aktion des BSI.
freiheit, anonymität, privatsphäre gegenüber dem staat? schnee von gestern.
möglicherweise (haha) "übertreibe" ich; wer hat nochmal alles vor snowden "übertrieben"? ist die diskussion so sinnlos gewesen, daß einige sich jetzt schon wieder "übertriebene" paranoia vorwerfen lassen müssen, weil sie ihre ansicht dazu in nem relativ kleinen (no offense max) blog zum besten geben?
@DasKleineTeilchen
Ja, aber das kleine Blog hier ist halt eines von vielen kleinen Blogs und so geht die VT vom lawblog über daMax nach ... und im Endeffekt schadet es dann.
Nichts gegen Vorsicht vor dem Staat. Das würde ich sofort unterschreiben aber Du gibst dort eine Mailadresse an, die der Staat, in Form der Dienste, sowieso schon hat. Und wenn er Sie nicht hat, dann kann er sie sich sofort besorgen. Das ist so als würdest Du nicht beim Finanzamt anrufen weil die dann ja Deine Telefonnummer haben und damit könnten die ja ...
erstmal: was genau schadet an solchen kommentaren? wenn die leute nicht komplett doof sind, werden sie sowieso ihre passwörter ändern & den rechner filzen, ohne ihre mailadresse(n) zu übermitteln; mir ist da einfach zu wenig, woher haben die die liste? wie alt ist die liste? um was gehts wirklich? um gekaperte rechner? um gekaperte eMail? um benutzerkonten? nichts, aber auch garnix konkretes ausser "wir haben ne liste mit gekaperten "login"-daten". das ist alles. der einzige "fakt" hier ist die behauptung des BSI. das.ist.alles.und.mir.zu.wenig.
und nochmal zu solchen "kontraproduktiven" kommentaren wie meinen; das BSI wird doch gerade vom "erfolg" überrollt, also scheinen solche kommentare wie meine eh keinerlei einfluss zu haben.
Das BSI leistet mit seiner miserablen Informationspolitik in diesem Fall jeglicher Verschwörungstheorie Vorschub. Und die Mainstreammedien helfen fleissig mit. Immerhin steht seit heute morgen mal wieder das komplette Internet am Abgrund!
Wirklich belastbare Informationen zu diesem Fall liefert bisher kein Medium (der "Focus" hat nen vollständig Mehrwertfreien Ticker! Ob die im Sommer auch einen Ticker zur Apfelernte bringen?).
Das Journalisten-einmaleins wäre hier doch mal ganz angebracht: Wer? Was? Wann? Wie? Und bevor das nicht passiert, wird von meiner Seite auch nicht reagiert! Vor einem Jahr wäre ich bei solchen Aktionen "nur" skeptisch gewesen. Heute ist mein Misstrauen gegenüber jeglicher Staatlichen Stelle so groß, dass ich denen den Bullshit nicht einfach abkaufe.
Ich ändere jetzt meine Passwörter und lass ein paar Scanner laufen und gut is!
ok. ist PR-kagge und *möglicherweise* hörigkeits-testballon, das BSI zur liste, zitat:
"...möglich, dass ...Adressen seit Monaten oder Jahren nicht mehr genutzt werden oder bereits gelöscht sind, und dass die zugehörigen Passwörter längst nicht mehr funktionieren."
http://www.sueddeutsche.de/digital/it-sicherheitsbehoerde-bsi-millionen-schluessel-unbekanntes-schloss-1.1868448
ohmann.
Wir werden alle sterben! Als wenn die Behörden immer schlimmer wären als Unternehmen (z. B. Twitter oder Facebook oder gar google oder amazon oder ADAC oder Deutsche Bank).
Gut, vom Arbeits- und Sozialamt vielleicht mal abgesehen.
Vorhin formulierte jemand die These, dass das BSI vielleicht einfach jemand decken will. Da ist irgendein deutscher Anbieter gehackt worden und dessen Name soll aus der Presse gehalten werden. Auch 'ne Erklärung. Mir persönlich wäre in dem Fall lieber, die tatsächliche Quelle des Hacks zu wissen, anstatt jetzt beim BSI alle meine 85 Mailadressen eintippseln zu dürfen
Naja, ist schon bizarr, einen Tag vor Publizierung in den "Qualitäts-Medien" hatten wir gestern mit unseren Mails plötzlich Relay-Probleme mit allen Accounts bei hetzner.de. Schaut euch mal die erfolgten und geplanten Wartungsarbeiten des ISP an...mich hat sehr erstaunt, dass unsere komplette Firma (ca. 20 Mail-Adressen) bis anhin MIT Authentifizierung ca. 7 Jahre lang problemlos funktioniert hat, seit gestern gibt es plötzlich ständig 550er-Probleme.
Das Erhellende bei meinem Anruf beim Hetzner-Support war die Aussage des Kundendiensts, man sei an der Arbeit zur Lösung des Problems, nähere Angaben wollte der Mitarbeiter trotz konkreter Nachfrage nicht machen. Habe mich übrigens auch geweigert, dem BSI die Adressen preiszugeben:
- Gibst du sie an und kriegst keine Mail mit dem Code, haben sie eine neue Adresse mit der hinterlegten IP, check check check...
- Kommt das Mail zu dir, weisst du dein Account ist gehackt und sie haben weiterhin Zugriff darauf.
Na also, Double Win for them
Also ich habe eine E-Mailadresse, die ich früher sehr oft veröffentlicht habe, weil ich damit geschäftlich unterwegs war. Klar, dass da Spam rein kam. Mittlerweile lässt das nach. Mittlerweile.2 läuft ein Account auf eigenem Space, Spam = 0. Für den ganzen anderen Rotz habe ich ein GMail-Konto und ich beobachte mit Begeisterung, wie sich Google selber zu spammt. Es ist halt nur schade um den ganzen Traffic. ...die armen Bits, die da so sinnlos hin und her geschubst werden... seufz...
Dort Mailadressen einzutragen ist reine Zeitverschwendung.
Warum wird hier gut erklärt.
tldr;
Nach der Prüfung keine Mail im Postfach zu haben, bedeutet nicht, dass ihr nicht betroffen seid.
Ok, ich kann kein HTML und Kommentare editieren ist auch nicht möglich
@webigel: klar kannste kommentare editieren; musste nur noScript die site erlauben
@webigel(24): wie DasKleineTeilchen schon sagte: klar kann man hier Kommentare bearbeiten, musst halt Javascript aktiviert haben (ob das auch aufm Mobilfon funktioniert weiß ich nicht).