Neues Datenleak 01/2019: Adressen prüfen oder nicht?

[ReturnToSender]

Und wieder eine neue Botschaft:
https://www.heise.de/security/meldung/N ... 87538.html

die eine Überprüfung hier empfiehlt:
https://sec.hpi.de/ilc/search

Dieses HPI ist also eine private Einrichtung, die Milliarden von Adressen "kennt". Kann man der Aktion vertrauen oder besser blind alles an vorhandenen Passwörtern ändern?

[rwkraemer]

https://www.heise.de/security/meldung/N ... 87538.html

Was haltet ihr davon? Ist ja nichts neues, nur der Umfang sprengt alles bisher dagewesene. Was ich nicht ganz verstanden habe, ob wirklich zu jeder Mailadresse ein Passwort zugeordnet werden kann. Eine Mailadresse von mir war auch in dem Datensatz. Sie ist schon uralt, eine etwa 8 Jahre alte Adresse war nicht dabei.

[schorsch_76]

Es unterscheidet sich nicht vom Debianforum. Es geht nur darum ob du dieser Seite traust oder nicht.

Warum traust du dem df.de? Traust du Facebook/WhatsApp? Die Liste lässt sich vorsetzen.

[whisper]

https://www.heise.de/security/meldung/N ... 87538.html

Was haltet ihr davon? Ist ja nichts neues, nur der Umfang sprengt alles bisher dagewesene. Was ich nicht ganz verstanden habe, ob wirklich zu jeder Mailadresse ein Passwort zugeordnet werden kann. Eine Mailadresse von mir war auch in dem Datensatz. Sie ist schon uralt, eine etwa 8 Jahre alte Adresse war nicht dabei.

Meine Email Adresse ist tatsächlich mit betroffen. Allerdings verwende ich natürlich nicht mein email Konto Password wo anders, auch nicht in diesem Fall.
Ein Leak ist kickstarter.com, da war 2014 Datenreichtum.
Wer sich da angemeldet hat und das gleiche Password auch beim Mail Provider verwendet, wird eh schon mal damit negativ in Berührung gekommen sein. Kann mir nicht vorstellen, dass die Daten solange irgendwo ungenutzt, oder besser nicht missbraucht wurden.

[ReturnToSender]

Es unterscheidet sich nicht vom Debianforum. Es geht nur darum ob du dieser Seite traust oder nicht.
Warum traust du dem df.de? Traust du Facebook/WhatsApp? Die Liste lässt sich vorsetzen.

Die Liste lässt sich überhaupt nicht fortsetzen... ich empfinde die Frage sogar als völlig unangemessen. Allein das DF im gleichen Atemzug mit Faceook oder Whatsapp zu nennen, ist schon ziemlich heftig. Außerdem, das Debian-Forum kennt nur eine einzige Email-Adresse von mir, die natürlich auch noch eine Fake-Adresse ohne Real-Namen-Bezug ist. Wenn ich dort auf dieser HPI-Seite mehrere meiner Real-Namen-Mailadressen prüfen würde, würde ich in deren Datenbank vermutlich auch mehrere meiner Realnamen-Adressen freiwillig eintragen. Da weiss ich halt nicht, ob man das wirklich wollen sollte. Und was speziell das Debian-Forum angeht, da kenne ich kein anderes Forum, was auch nur ansatzweise gleichermaßen kritisch mit der Datenschutz-Missachtung anderer "Institutionen" umgeht. Wer hier mitliest erkennt eigentlich, dass etliche Teilnehmer ziemlich penetrant auf Datenschutz achten… und das hier Verstöße benannt wurden...?.... da kann ich mich also echt nicht dran erinnern.

BTW: Nach welchen Kriterien soll man denn beurteilen, ob man dieser HPI-Prüfung trauen kann?

[KP97]

Hasso Plattner als SAP-Gründer - aber ob das ein Kriterium ist? Ich weiß nicht, obwohl ja die Rede davon ist, daß die Adressen "verwischt" werden.
Ich laß das mal lieber...man weiß ja auch nicht, ob Herr Plattner immer genau weiß, was in seinem Institut so alles gemacht wird.

[willy4711]

Ich weiß nicht, warum diese Aufregung.
Nachgewiesen (Herkunft geklärt )
sind bei mir (lt. HPI Identity Leak Checker)

Code: Alles auswählen

linkedin.com	Jun. 2012	✓	160.144.040	Betroffen
und 
opensuse.org	Sep. 2016		29.290	Betroffen

Aber das juckt mich nicht weiter. Wirklich sichere Passwörter verwende ich bei Mail und Bankaccounts sonst nirgends. Banking
betreibe ich aus diesen Gründen grundsätzlich nicht über irgend einen Browser sondern ausschließlich über HBCI /PhotoTAN
in einer Vm.
Warum sollte ich mich da noch weiter mit Bandwurm Passwörtern herumgeschlagen?
Ob da nun irgend ein Forum oder Internet- Shop (incl. dieses hier) gehackt wird oder nicht, ist für meine Sicherheit irrelevant.
Auf meinen seit über 20 Jahren existierenden Mail Accounts kommt eh Spam an, meine Mail-Adressen sind also "Allgemeingut".

Übrigens: Die Nachricht gabs schon vor einiger Zeit in einer Propaganda- Quelle
da wurde auf Troy Hunt und dessen Webseite https://haveibeenpwned.com/ verwiesen.
Kann man auch nachsehen, wenn man will.

[willy4711]

Ich laß das mal lieber...man weiß ja auch nicht, ob Herr Plattner immer genau weiß, was in seinem Institut so alles gemacht wird.

Was soll denn HPI Identity Leak Checker für neue Erkenntnisse aus deiner Anfrage bekommen, die nicht schon bekannt sind.
Kannst ja übers Tor-Netzwerk gehen und vor jeder Anfrage deine Identität ändern

[schorsch_76]

Es unterscheidet sich nicht vom Debianforum. Es geht nur darum ob du dieser Seite traust oder nicht.
Warum traust du dem df.de? Traust du Facebook/WhatsApp? Die Liste lässt sich vorsetzen.

BTW: Nach welchen Kriterien soll man denn beurteilen, ob man dieser HPI-Prüfung trauen kann?

Natürlich ist das df.de kein Facebook. Aber es spielt keinen Unterschied, den ich muss mich entscheiden wem ich vertraue.

Der Knackpunkt ist Vertrauen. Immer. Rl und im Internet. Vertraust du dem Arzt? Anwalt? Polizist? Lehrer? Bürgermeister? Politiker? Wahlhelfer? Vereinen? Firmen? Siemens? Google? SAP?

[schorsch_76]

Wie bewertest du es im RL? Warum sollte das im Internet anders sein?

Hat dich jemand beschissen? Kannst du dich im Falle ernsthaft wehren?Wie groß ist der Schaden im Falle?

[ReturnToSender]

Aber es spielt keinen Unterschied, den ich muss mich entscheiden wem ich vertraue.

Nein, das ist hierbei keine Entscheidung. Eine Entscheidung kann man begründen, erklären... das hier wäre einfach nur digitales-russisches-it-roulette.

Der Knackpunkt ist Vertrauen. Immer. Rl und im Internet. Vertraust du dem Arzt? Anwalt? Polizist? Lehrer? Bürgermeister? Politiker? Wahlhelfer? Vereinen? Firmen? Siemens? Google? SAP?

In entsprechender reihenfolge: ja, ja, ja, ja, nein, nein, ja, ja, nein, nein, nein ,nein
Im RL habe ich zumindest die Möglichkeit, meine in vielen Jahrzehnten antrainierte Menschenkenntnis bei persönlichen Kontakt einzusetzen, bei diesem HPI-Dingens habe ich gar nix, was man für eine Entscheidung heranziehen könnte. Mir fehlt so ein wenig das Verstehen, wie man das alles über einen Kamm scheren kann.

Die imho relevante Frage hat allerdings Willi gestellt: "Was kann passieren?" .... im schlimmsten Fall hätten sie eine neue Adresse, die sie vorher nicht hatten. Oder sie haben die Bestätigung, dass eine Adresse, die sie schon haben, eine gültige ist. Mehr kann eigentlich nicht passieren.... ich bin also noch hin- und hergerissen und warte/hoffe, ob noch anderen Meinungen hinzukommen.

[schorsch_76]

Und damit hast du das für dich beantwortet!

[willy4711]

Der Knackpunkt ist Vertrauen. Immer. Rl und im Internet. Vertraust du dem Arzt? Anwalt? Polizist? Lehrer? Bürgermeister? Politiker? Wahlhelfer? Vereinen? Firmen? Siemens? Google? SAP?

Ich finde es falsch, die hier gestellte Frage auf "Vertrauen" zu reduzieren.
Vertrauen worin ?
Ich vertraue dem Debianforum in der Hinsicht, dass es meine Kontaktdaten - soweit vorhanden - nicht gewinnbringend verscherbelt.
Das ist aber vollkommen irrelevant. Ich kann mir überhaupt nicht sicher sein, dass es irgendwann gehackt wird, und so meine
hinterlegten Daten sich auf die Reise durch die Welt machen.
Insofern ist es schon aus Selbstschutz geboten, niemanden zu vertrauen.
Vertrauen ist aus meiner Sicht einen sehr persönlich Sache, die nur durch direkten menschlichen Kontakt entstehen kann, und immer
wieder auf den Prüfstein gehört. Im Geschäftsleben und im Internet sowieso hat Vertrauen nichts zu suchen.

Wenn man so will, "vertraue" ich im Geschäftsverkehr einigen wenigen Internet - Händlern, indem ich meine Bestellungen
per Vorkasse abwickle. Aber auch nur Händlern, bei denen ich schon sehr lange bestelle und wo ich mir ziemlich sicher bin dass
sie ihre Reputation nicht aufs Spiel setzen werden, wegen ein paar Euronien.

Konten habe ich bei denen aber nicht (mehr). Weil ich ihnen in dieser Hinsicht eben nicht traue (besser: trauen kann)

Ärzten vertrauen ? Gott bewahre mich davor. Höchstens Chirurgen(=Handwerkern), wenn man mal von der Infektionsgefahr absieht.
Rechtsanwälten ? Ich musste dutzende von Prozessen führen und ich habe die Anweisungen gegeben, wie zu verhandeln war.
Polizist ? Korpsgeist / Staatsmacht ? Nein
usw usw .....

[KP97]

Was soll denn HPI Identity Leak Checker für neue Erkenntnisse aus deiner Anfrage bekommen, die nicht schon bekannt sind.

Z.B. meine Mailadresse. Ich habe nicht zig Adressen, sondern eine bei meinem ISP für meine Mails und eine anonyme für z.B. Bugreports, da diese öffentlich ist.
Ich bekomme bei meinem ISP keine Spammails. Es geht hierbei auch nicht darum, anonym zu bleiben, das ist eh eine Illusion.
Aber wie @ReturnToSender schon richtig bemerkt hat, muß ich ja nicht noch eine Bestätigung senden, daß meine Mailadresse eine gültige ist.
HPI ist sicher keine obskure Institution und man will auch niemandem Unregelmäßigkeiten unterstellen, aber Adressenhandel wurde auch schon von anderen Firmen betrieben, die man auch als seriös eingestuft hat. Daher meine Skepsis.

[willy4711]

Ich bekomme bei meinem ISP keine Spammails. Es geht hierbei auch nicht darum, anonym zu bleiben, das ist eh eine Illusion.
Aber wie @ReturnToSender schon richtig bemerkt hat, muß ich ja nicht noch eine Bestätigung senden, daß meine Mailadresse eine gültige ist.

Ok - meine Mail- Adressen, die nicht verspammt sind, habe ich da auch nicht überprüft. Da gibt und gab es auch keinen Anlass dazu.
Insofern hast du recht. War aber schon interessant, wo "offizielle Hacks" stattgefunden haben.
Überhaupt nicht gut ist es aber, dass die beiden oben genannten Webseiten es nicht für nötig hielten, zu benachrichtigen.
Na ja - dann würde man wahrscheinlich von "wir sind gehackt- Nachrichten" überschwemmt werden.

[schorsch_76]

@willy4711: Du schätzt ein wie dieser Partner mit den Daten umgeht. Wie sicher das ist. Wie sich der Partner vermutlich in der Zukunft verhalten wird. Wie die Vergangenheit mit ihm war, wie sich das entwickeln wird. Wenn du dann deine Entscheidung fällst: "Ja, das mach ich!" Dann must du auf den Partner vertrauen das sich dieser so verhält wie du das erwartest.

[MSfree]

Du schätzt ein wie dieser Partner mit den Daten umgeht.

Es sind in der Vergangenheit öfter Services im Internet geöffnet worden, bei denen man prüfen konnte, ob man betroffen ist. Dabei wurde mit dem eingegebenen Loginnamen eine Datenbank abgefragt.

Ich bin da auch immer sehr skeptisch, ob die dabei gewonnenen Loginnamen nicht letztlich wieder in eine Datenbank fliessen. Da braucht nur versehentlich das Logging des Webservers zu hoch eingestellt sein und schon landet alles schön im Klartext in Logfiles, die möglicherweise nie gelöscht werden, weil sie täglich in ein Backup kopiert werden.

Gleiches gilt für Paßwortgeneratoren im Internet. Wer garantiert, daß die generierten Paßwörter nicht gespeichert werden und bei der nächsten Bruteforce-Attacke bevorzugt ausprobiert werden?

Man sollte aber beim HPI die Kirche im Dorf lassen. Immerhin ist das ein renomiertes Institut, das sich ihren Ruf nicht durch schlampigen Umgang mit Daten versauen will. Potentiellen Vorsatz kann man dem HPI bestimmt nicht vorwerfen, aber gegen versehentlich Fehlkonfigurationen sind die natürlich nicht gefeit.

[Meillo]

Du schätzt ein wie dieser Partner mit den Daten umgeht.

Es sind in der Vergangenheit öfter Services im Internet geöffnet worden, bei denen man prüfen konnte, ob man betroffen ist. Dabei wurde mit dem eingegebenen Loginnamen eine Datenbank abgefragt.

Ich bin da auch immer sehr skeptisch, ob die dabei gewonnenen Loginnamen nicht letztlich wieder in eine Datenbank fliessen. Da braucht nur versehentlich das Logging des Webservers zu hoch eingestellt sein und schon landet alles schön im Klartext in Logfiles, die möglicherweise nie gelöscht werden, weil sie täglich in ein Backup kopiert werden.

Gleiches gilt für Paßwortgeneratoren im Internet. Wer garantiert, daß die generierten Paßwörter nicht gespeichert werden und bei der nächsten Bruteforce-Attacke bevorzugt ausprobiert werden?

Man sollte aber beim HPI die Kirche im Dorf lassen. Immerhin ist das ein renomiertes Institut, das sich ihren Ruf nicht durch schlampigen Umgang mit Daten versauen will. Potentiellen Vorsatz kann man dem HPI bestimmt nicht vorwerfen, aber gegen versehentlich Fehlkonfigurationen sind die natürlich nicht gefeit.

Super Post! Damit legst du die Risiken wunderbar dar und zeigst eine moegliche Bewertung auf. Ich kann dem nichts mehr hinzufuegen. Danke.

[uname]

Gleiches gilt für Paßwortgeneratoren im Internet.

Die Passwortgeneratoren sollten Javascript verwenden. Schau dir z. B. https://www.toolsley.com/password.html an. Da wird beim Klick auf "Again" nichts ins Internet übertragen.

[ReturnToSender]

Super Post! Damit legst du die Risiken wunderbar dar und zeigst eine moegliche Bewertung auf. Ich kann dem nichts mehr hinzufuegen. Danke.

Dem schließe ich mich an, Danke! .... ich will auch jetzt mal kurz darlegen, was mir dabei durch den Kopf gegangen ist... wobei ich natürlich auch nicht ausschließen kann, dass das mehrheitlich Kalk war

Ich verwende mehrere Mail-Adressen mit Fake-Namen für Internet-Auftritte. Speziell auch für Foren, in denen ich mich mal temporär für 1-2 benötigte Hilfestellungen anmelde, habe ich quasi ansonsten völlig ungenutzte Mailadressen.... die reichen aber für eine Bestätigungsmail nach der Anmeldung aus. Und ich habe natürlich auch Real-Namen-Mailadressen, die ich aber eher sorgfältig verwende.

Und vor diesem Hintergrund ging mir der Gedanke durch den Kopf, dass ich beim Durchprüfen aller Mail-Adressen mit einem Schlag eine einer einzigen Person zuzuordnenden Mail-Adressen-Gruppe generiere. Das hat mich dann doch skeptisch gemacht. Ich habe mich jetzt deshalb zu einem sukzessiven Prüfen entschlossen, über 3-4 Tage, jeden Tag eine oder 2 Adressen, wo also die Fake-Adressen von den Real-Namen-Adressen zumindest durch eine DSL-Zwangstrennung IP-mäßig getrennt sind. Einen Teil teste ich aus meiner Debian-Installation, einen Teil wegen der Fingerprints über ne alte XP-VM, meine persönlichen Adressen teste ich dann aus ner Ubuntu-VM heraus, mit irgendnem anderen Browser.

Vielleicht ist das paranoid, keine Ahnung.... aber ich habe heute keinerlei Vertrauen mehr darin, dass irgendwas ausgelassen wird, um den Tracking-Kreis um Personen herum nicht lückenlos zu machen... im Gegenteil, ich hege eher großes Misstrauen gegen alle Datenschnüffler.

In 3 Tagen habe ich jetzt jeweils 2 Adressen prüfen lassen und bisher war keine dabei....

[whisper]

Gleiches gilt für Paßwortgeneratoren im Internet.

Die Passwortgeneratoren sollten Javascript verwenden. Schau dir z. B. https://www.toolsley.com/password.html an. Da wird beim Klick auf "Again" nichts ins Internet übertragen.

Noch besser ist es, wenn wir sowieso Linux verwenden ...
pwgen

Ist Lokal, pure Debian Blend, hat schöne Optionen und ich vergesse oft, dass ich es ja installiert habe!

[Meillo]

Gleiches gilt für Paßwortgeneratoren im Internet.

Die Passwortgeneratoren sollten Javascript verwenden. Schau dir z. B. https://www.toolsley.com/password.html an. Da wird beim Klick auf "Again" nichts ins Internet übertragen.

Noch besser ist es, wenn wir sowieso Linux verwenden ...
pwgen

Es ist letztlich immer eine Frage des Paranoiditaet.

Wenn ein Passwort-Generator in JS laeuft, hast du dann geprueft, ob er nicht irgendwelche JS nach laedt, die die Eingaben dann doch irgendwohin uebertragen? Diese Pruefung muss man eigentlich vor jedem Ausfuehren durchfuehren. Oder laedst du die Seite, gehst dann offline, generierst die Passwoerter dann, loeschst alle Cookies und sonstigen evtl. noch vorhandenen Ueberbleibsel der Seite, bevor du wieder online gehst?

Auch bei einem Kommandozeilentool wie `pwgen' muss jemand sicherstellen, dass der Code in Ordnung ist. Immerhin erzeugt es ein ganzes Set an Passwoertern, von denen es selber nicht weiss, welches ich auswaehle (und ob ich es noch erweitere oder veraendere).

Die Paranoiden wuerden sagen, dass selbst die Kenntnis des Systems mit dem Passwoerter erzeugt werden eine wertvolle Information fuer Angriffe ist. Wenn ich also weiss, mit welchem Programm du deine Passwoerter erzeugst, dann kann ich schonmal abschaetzen, wie sie in etwa aussehen werden oder wie nicht.

Andererseits: Der beste Fall ist ja der, bei dem das Verfahren komplett transparent ist und dennoch nicht geknackt werden kann.

Und letztlich sind Brute-Force-Angriffe ein Relikt von gestern. Entscheidend ist, denke ich, dass niemand deine konkreten Passwoerter kennt, ausser natuerlich die Stelle, die sie zwangslaeufig wissen muss, weil sie dein Login dort sind. (Aber noch besser waere Pubkey-Auth, weil die dann auch keine Passwoerter mehr haetten.)


Soviel meiner Gedanken am Morgen.

[MSfree]

...denke ich, dass niemand deine konkreten Passwoerter kennt, ausser natuerlich die Stelle, die sie zwangslaeufig wissen muss, weil sie dein Login dort sind.

Die Stelle, bei der du dich einloggen möchtest, braucht das Paßwort nicht zu kennen.

Viele Paßwortleaks basieren aber genau auf dem Fehler, daß Paßwörter im Klartext in Dateien gespeichert werden und diese Dateien "abhanden" kommen. Würden nicht die Paßwörter sondern ein Hash für das Paßwort gespeichert, könnte man nicht ohne großen Aufwand etwas mit den Hashes anfangen. Das Berechnen des ursprünglichen Paßwortes aus dem Hash ist nur mit roher Gewalt möglich.

Allerdings gestalten sich dann Funktionen wie "Ich habe mein Paßwort vergessen" etwas schwieriger. Dem vergeßlichen Kunden kann man dann nicht einfach eine Email mit dem Paßwort zuschicken sondern muß ein temporäres Paßwort vergeben, dem Kunden zuschicken und ihn dann sofort zum Eintragen einens neuen Paßwortes zwingen. Softwaretechnisch ist das alles kein Hexenwerk, man muß es aber implementieren und davor scheuen viele Anbieter, auch um dem Kunden vermeintlichen Komfort bieten zu können, zurück.

[uname]

Ich denke der Fehler liegt viel weiter vorne. Warum müssen Passwörter überhaupt über die Leitung (TLS) zum Webservice übertragen und dort mindestens beim Eingang im Klartext vorliegen? Wenn man mal Javascript voraussetzt, könnte man nicht clientseitig Datenpakete per Passwort signieren und damit sich damit gegenüber dem Server authentisieren?

[Meillo]

...denke ich, dass niemand deine konkreten Passwoerter kennt, ausser natuerlich die Stelle, die sie zwangslaeufig wissen muss, weil sie dein Login dort sind.

Die Stelle, bei der du dich einloggen möchtest, braucht das Paßwort nicht zu kennen.

Viele Paßwortleaks basieren aber genau auf dem Fehler, daß Paßwörter im Klartext in Dateien gespeichert werden und diese Dateien "abhanden" kommen. Würden nicht die Paßwörter sondern ein Hash für das Paßwort gespeichert, könnte man nicht ohne großen Aufwand etwas mit den Hashes anfangen. Das Berechnen des ursprünglichen Paßwortes aus dem Hash ist nur mit roher Gewalt möglich.

Das meinte ich schon so, aber sie bekommen das Passwort einmal am Anfang, wo sie dann den Hash bilden und den abspeichern (sollten). Und sie bekommen es jedes Mal beim Einloggen wieder uebertragen, um es zu Hashen und mit dem gespeicherten Hash zu vergleichen.

Allerdings gestalten sich dann Funktionen wie "Ich habe mein Paßwort vergessen" etwas schwieriger. Dem vergeßlichen Kunden kann man dann nicht einfach eine Email mit dem Paßwort zuschicken sondern muß ein temporäres Paßwort vergeben, dem Kunden zuschicken und ihn dann sofort zum Eintragen einens neuen Paßwortes zwingen.

Das ist auch richtig so. Im besten Fall bekommen sie kein temporaeres Passwort, sondern einen nur eine gewisse Zeitlang gueltigen Reaktivierungskey, mit dem sie dann ein neues Passwort setzen koennen. Das hast du wohl auch gemeint.


@uname: Das geht ja in Richtung Pubkey-Auth: Auf dem Server liegt nur noch eine oeffentlich bekannte Information, naemlich der Public-Key. Mit dem kann man lediglich pruefen, ob eine Information vom passenden Secret-Key signiert wurde (und man kann Ende-zu-Ende-verschluesselt kommunizieren). Das ist wie es sein sollte!