AdGuard setzt Passwörter aller Nutzer zurück
Interessante Geschichte, die die Menschen beim Werbeblocker AdGuard gemacht haben. Die haben nämlich die Passwörter all ihrer Nutzer zurückgesetzt. Das 2009 in Russland gegründete Unternehmen will laut eigener Aussagen damit nur die Nutzer schützen. Man habe – so sagt man selbst – keinen Einbruch auf den eigenen Servern feststellen können, allerdings sei mit einer Datenbank versucht worden, auf die Konten der Nutzer zuzugreifen.
Im Internet kursieren ja diverse Datenbanken, die Nutzernamen und Passwörter enthalten und da viele Anwender bei vielen Diensten die gleiche Kombination nutzen, wird es eben so probiert.
Lange Rede, kurzer Sinn: Angreifer nutzen verfügbare Daten, um auf Accounts bei AdGuard zuzugreifen. Warum auch immer. Bei einigen dieser Accounts ist es wohl gelungen und aus diesem Grunde habe man die Passwörter aller Accounts zurückgesetzt.
Laut der Infomail, die uns unser Leser Thomas geschickt hat, hat AdGuard nun auch die HaveIBeenPwned API angezapft, das ist die Seite, über die Nutzer herausfinden können, ob ihre Daten mal Teil eines Leaks waren.
Nutzer müssen nun ein neues Passwort vergeben. Wie eben erwähnt: Interessant. Dass ein Dienst Passwörter aller Accounts zurücksetzt, obwohl man angeblich von keinem Datenleck betroffen ist, das kennt man ja so nicht. Da wäre man unter Umständen ja sicher dauerhaft dabei, neue Passwörter zu verwenden, denn ich möchte nicht wissen, wie häufig die geleakten Datenbanken bei Diensten durch Angreifer gegengecheckt werden.
Das Verhalten von Adguard war hier eigentlich vorbildlich und sollte grundsätzlich so gehandhabt werden. Sie haben jetzt die HaveIbeePawned Api eingebaut, sodass zukünftig nur noch irgendwo geleakte Mailadressen zurückgesetzt werden müssen. Adguard selbst hatte scheinbar wirklich kein Problem, zumindest ist meine nur bei Adguard genutzte Mail Adresse laut HIBP sauber.
Welche Variante letztendlich stimmt, werden wir nicht erfahren. Mir ist diese Vorgehensweise lieber, als Wochen zu warten und dann erst damit „an die Öffentlichkeit“ zu gehen.
Sehe ich auch so. Lieber auf Nummer sicher gehen, als nach Wochen herausbekommen, dass doch irgendwas passiert ist und es den Nutzern überlassen, ob sie ihr PW ändern.
In meinen Augen absolut vorbildlich. Adguard ist für mich der beste Blocker auf jeder Plattform. Unter Android blockiert das Teil wirklich alles, ohne das die eigentlichen Werbekästchen noch erscheinen.
Kann ich nur bestätigen. Sogar In-App-Werbung kann AdGuard hervorragend rausfiltern.
Daran ist überhaupt nichts vorbildlich. Das ist sogar dermassen totaler Quatsch, dass man vermuten muss, dass es die Unwahrheit ist.
Es werden mehrfach in der Woche irgendwo irgendwelche Datenbanken irgendwo „aufgemacht“. Mit der Begründung „Die Nutzer dort könnten ja bei uns das gleiche Passwort verwendet haben wie dort“ könnte man täglich sein System neu einrichten. Plus: Jetzt kommt der nächste Dienst und sagt: „Wir setzen bei uns mal alles zurück, es scheint ja bei Adguard Probleme gegeben zu haben…“ —> Lawine.
Passwörter sind Usersache.
Kann ich nur bestätigen. Sogar In-App-Werbung kann AdGuard hervorragend rausfiltern.
Es scheinen einigen hier die Konsequenzen von AdGuards Vorgehensweise nicht klar zu sein: wenn nächste Woche wieder jemand so einen Angriff mit einer Passwort-Datenbank versucht, müssten sie konsequenterweise wieder alle Passwörter zurücksetzen. Und beim nächsten Angriff übernächste Woche wieder usw.
Wenn das dann alle Seiten machen, auf denen man registriert ist, würde da wahrscheinlich fast täglich irgendwo ein Passwort zurückgesetzt werden. Das wäre dann, wie Caschy schreibt, interessant.
Ich halte für vorbildlich.
Es ist ein externes Risiko, was tendenziell sehr geschäftsschädigend sein kann für das Unternehmen.
Das Risiko wird (pro)aktiv gemanagt. Der Aufwand für die User hält sich in Grenzen.
Und ja, wenn das nächste Woche wieder passiert, bitte AdGuard, setzt wieder alle PWs zurück und seid genauso transparent. So einem Unternehmen gebe ich lieber Geld als einem was nur die Hälfte von dem zugibt, was man ohne nachweisen kann (*yahoo*hust*)
Nein, der Aufwand hält sich NICHT in Grenzen! Ich will nicht jede Woche alle meine >100 Passwörter zurücksetzen müssen.
*Das*, lieber Peter, ist ganz allein Dein Problem.
Problem des Unternehmens ist es Geschäftsrisiken zu managen.
Unternehmen, die Geschäftsrisiken auf diese Weise managen, haben zu Recht bald keine Risiken, kein Unternehmen und kein Geschäft mehr.
Wir haben unerbeten ihren Tank zugeklebt. Das hätte alles brennen können! Und Benzin ist giftig!
Ja, lieber pux, nur mit sinnlosem Aktionismus Kunden zu vergraulen ist durchaus sehr geschäftsschädigend.
Denn wenn ich als Kunde bei einem Dienst ein sicheres Passwort verwende und dieses auch sonst nirgends benutze und es trotzdem andauernd ändern muss, dann bin ich bei diesem Unternehmen bald kein Kunde mehr.
Was ist denn das für eine Vorstellung?
Nächste Woche: GMX wird gehackt.
Reaktion: GMail, Microsoft, Facebook, Twitter, Amazon plus 1.000.000 Kleindienstleister erzwingen neue Passwörter?
IT-Sicherheit ist immer eine ABWÄGUNG, nur ein im Garten vergrabener, gehäckselter, eingeschmolzener Rechner ist „sicher“. Freidrehende SecPanik tut niemand einen Gefallen.
…und weil kein professioneller Anbieter jemals dermaßen panisch über-reagieren würde, garantiere ich: Da ist irgendwas schiefgegangen.
Korrekt. Nicht die User müssen ihre Passworte ändern, sondern AdGuard muß dafür sorgen, daß niemand eine Liste mit tausenden Usernamen/eMailadreassen und Passworten per Skript gegen ihren Login werfen kann.
Selbst wenn (ich betone „wenn“, denn bis jetzt ist die Kommunikation anders) die kompletten Zugangsdaten von AdGuard abgegriffen worden wären, wären die hoffentlich ordentlich gehashed und mit salt & pepper versehen, so daß neue Userpassworte zwar nett aber nicht zwingend gewesen wären.
Für eine eventuelle Dummheit der User, überall die gleiche eMailadresse und Passwort zu nehmen, ist AdGuard nicht verantwortlich zu machen.
Sie kümmern sich um etwas für das sie nicht verantwortlich sind und die Serversicherheit für die sie verantwortlich sind nehmen sie jetzt erst in Angriff – was daran vorbildlich ist, kann ich nicht sehen.
Das verstehe ich nicht.
Da versucht AdGuard es *richtig* zu machen und schon wird denen was schlechtes unterstellt.
Und bei denen, die hier meckern über den unsäglichen Aufwand eines PW-Wechsels…
Wie macht Ihr denn das bisher mit dem PW ändern?
Bei soooo vielen Accounts sollte *das* Problem doch schon längst gelöst sein…
Nimm dir bitte einen Zettel, male für jedes Konto, das Du irgendwo hast, einen Kreis. Social Media, Bank, Microsoft, Witze-Community, Angel-Forum, Zugänge für Internetanbieter, Handyanbieter, Autohaus, Baumarkt.
Jedesmal, wenn irgendein Anbieter auf der Welt ein Sicherheitsproblem hat, (Nein, nicht DEINE Anbieter, sondern alle existierenden! Zum Beispiel, sagenwirmal, Foobarbazmail in China), dann ändern alle diese Anbieter ihre Konten. Und Du musst nachziehen: Auf dem Rechner, auf dem Handy, im Browser und in der App, und natürlich in deiner Doku. Und natürlich: Nix Passwortmanager-Sync, das Passwort ändert sich ja.
Wenn Du DA das Problem nicht siehst, dann weiss ich auch nicht.
Die Alternative: Überall verschiedenen Passwörter verwenden, und wer das verpennt hat, trägt SEINE Konsequenzen.
Korrekt, das ist nicht Problem des Anbieters, sondern *Deins*.
Ich habe nicht *bei allen existierenden* Anbietern Accounts, sondern bei einer kleinen Teilmenge davon. Wenn einer dieser Anbieter (Security-)Probleme hat und daher zu dem Entschluss kommt alle *seine* Accounts/Nutzer/Kunden zu schützen ist das begrüßenswert.
Wie *Du* das in *Deinen* Systemen hinbekommst, ich wiederhole mich: *Dein* Problem.
Eine Lösung kann natürlich ein PW-Manager sein, der auch auf die PWs diversen Systeme synct. Klar muss man sich mit beschäftigen, damit die PW-DB nicht plötzlich im Klartext im Internet rumliegt.
AdGuard HAT KEIN SECURITY-PROBLEM (wenn sie nicht gerade Lügen), sondern jemand hat versucht, ob in einer Datenbank gespeicherte Paare aus Nutzername und Passwort auch bei AdGuard verwendet wurden.
Ich glaube worauf Jörg hinaus wollte ist, wenn AdGuard jetzt sagt, es gibt *woanders* geleakte Usernamen/Passworte, die man verwenden könnte, um bei AdGuard zu probieren, ob die auch dort funktionieren und AdGuard dann sagt „ändert alle Euer Passwort“, dann müssen die das logischerweise auch zukünftig immer machen, wenn *irgendwo* auf der Welt ein Datenleck existiert über das zusätzliche Usernamen/Passworte in den Umlauf kommen.
Das ist ein untaugliches Mittel, wie ein Pflaster bei Kopfschmerzen, da macht es auch ein zweites oder drittes Pflaster nicht besser.
AdGuard soll sich im ihre Serversicherheit kümmern und die User kümmern sich um ihre eMail/Usernamen/Passworte.
Welchen Sicherheitsvorteil bietet das Wechseln des Passworts, nur weil der Betreiber mit Loginversuchen bombardiert wird?
Ich habe ein altes zufällig generiertes Passwort, das ich nicht kannte (nur der Passwortmanager) durch ein neues zufällig generiertes Passwort ersetzt, das ich auch nicht kenne. Die eMailadresse ist sowieso Webseiten-spezifisch.
Wenn die Betreiber ihre Pflicht (2FA, Begrenzung der Versuche usw.) erfüllt haben, können sie vielleicht zur Kur übergehen, bisher sehe ich nur Versäumnisse – nichts zum Feiern.
Wenn du für jeden Account ein eigenes, zufällig generiertes Passwort benutzt, dann ist das lobenswert und schön für dich. Dann bist du sicher und profitierst halt nicht von dieser Aktion.
Die Aktion ist halt dafür gedacht, die User zu schützen, die überall das gleiche Passwort benutzen. Denn nur deren Accounts könnten betroffen sein.
Sicher könntest du zu diesen Leuten sagen: Selber schuld. Aber wäre das ein Grund, nichts zu tun? Ich finde es gut, dass sich AdGuard auch um die „dummen“ User kümmert und nicht nur um die „schlauen“. Und AdGuard kann ja nicht unterscheiden, welcher Account ein „dummes“ oder „schlaues“ Passwort hat. Denn sie selber können die Passwörter in ihrer Datenbank nicht lesen, weil sie gehasht und gesalzen sind. Steht ja alles in ihrem Blog. Und das ist gut so.
Und an 2FA arbeiten sie ja auch schon. Auch wenn wahrscheinlich sowieso wieder ein Großteil der User zu faul dafür sein wird.
Das verwendete Mittel ist untauglich, darum geht es – siehe meinen Post von 14:34 Uhr.
Vorweg: ich bin langjähriger Nutzer und habe 4 Lizenzen, es geht hier um die Sache, nicht um persönliche Befindlichkeiten.
Aber welche Einstellung AdGuard zu den Userdaten hat, kannst Du hier sehen
https://www.youtube.com/watch?v=5cyhFpwdevI
Das war das Ziehen von Gewinnern eines Gewinnspiels, da tickern mal eben die Namen aller Teilnehmer durch …
Ich kann es jetzt nicht beeiden, glaube mich aber zu erinnern, daß im Jahr davor, zuerst auch noch die Mailadressen nicht abdeckt waren – das kann ich nicht beweisen, daher bleiben wir mal bei den Namen.
Auch hier sollte Transparenz dadurch herbeigeführt werden, daß man zeigt „Seht es wird tatsächlich aus allen Teilnehmern gezogen“. Wie leicht das zu manipulieren ist, ist bei dem was AdGuard als Produkt anbietet, für jeden zu erkennen.
Das ist Pseudotransparenz – und das Resetten aller Userpassworte ist das Gleiche in grün „Schaut wie wichtig uns Sicherheit ist!“ – und prompt fallen viele darauf rein, weil sie nicht sehen, daß das Problem nicht die Userpassworte sind, sondern die Möglichkeit viele tausend Usernamen/Passworte durchprobieren zu können.
Was lernt man heutzutage eigentlich in der Schule?
Es gibt jeden Tag irgendwo Einbrüche, also müsste jeden Tag alle deine Passworte zurückgesetzt werden. Das Internet hört auf zu funktionieren nach 3 Iterationen.
ES FUNKTIONIERT NICHT!
Vorbildlich
Hi, wer benutzt denn bitte ADGUARD? Kenn ich nichtmal, die besten meiner Ansicht sind Panda Dome + Malwarebytes 1.75, des reicht. Mann kann alles moegliche konfigurieren, auf Ausnahme setzen, usw. denke, das ist genug Protektion.
> Kenn ich nichtmal
Das hättest Du nicht extra schreiben müssen, denn das wurde aus Deinem nachfolgenden Text ersichtlich.