AdGuard setzt Passwörter aller Nutzer zurück

Interessante Geschichte, die die Menschen beim Werbeblocker AdGuard gemacht haben. Die haben nämlich die Passwörter all ihrer Nutzer zurückgesetzt. Das 2009 in Russland gegründete Unternehmen will laut eigener Aussagen damit nur die Nutzer schützen. Man habe – so sagt man selbst – keinen Einbruch auf den eigenen Servern feststellen können, allerdings sei mit einer Datenbank versucht worden, auf die Konten der Nutzer zuzugreifen.

Im Internet kursieren ja diverse Datenbanken, die Nutzernamen und Passwörter enthalten und da viele Anwender bei vielen Diensten die gleiche Kombination nutzen, wird es eben so probiert.

Lange Rede, kurzer Sinn: Angreifer nutzen verfügbare Daten, um auf Accounts bei AdGuard zuzugreifen. Warum auch immer. Bei einigen dieser Accounts ist es wohl gelungen und aus diesem Grunde habe man die Passwörter aller Accounts zurückgesetzt.

Laut der Infomail, die uns unser Leser Thomas geschickt hat, hat AdGuard nun auch die HaveIBeenPwned API angezapft, das ist die Seite, über die Nutzer herausfinden können, ob ihre Daten mal Teil eines Leaks waren.

Nutzer müssen nun ein neues Passwort vergeben. Wie eben erwähnt: Interessant. Dass ein Dienst Passwörter aller Accounts zurücksetzt, obwohl man angeblich von keinem Datenleck betroffen ist, das kennt man ja so nicht. Da wäre man unter Umständen ja sicher dauerhaft dabei, neue Passwörter zu verwenden, denn ich möchte nicht wissen, wie häufig die geleakten Datenbanken bei Diensten durch Angreifer gegengecheckt werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. Das Verhalten von Adguard war hier eigentlich vorbildlich und sollte grundsätzlich so gehandhabt werden. Sie haben jetzt die HaveIbeePawned Api eingebaut, sodass zukünftig nur noch irgendwo geleakte Mailadressen zurückgesetzt werden müssen. Adguard selbst hatte scheinbar wirklich kein Problem, zumindest ist meine nur bei Adguard genutzte Mail Adresse laut HIBP sauber.

  2. Welche Variante letztendlich stimmt, werden wir nicht erfahren. Mir ist diese Vorgehensweise lieber, als Wochen zu warten und dann erst damit „an die Öffentlichkeit“ zu gehen.

    • Sehe ich auch so. Lieber auf Nummer sicher gehen, als nach Wochen herausbekommen, dass doch irgendwas passiert ist und es den Nutzern überlassen, ob sie ihr PW ändern.

  3. In meinen Augen absolut vorbildlich. Adguard ist für mich der beste Blocker auf jeder Plattform. Unter Android blockiert das Teil wirklich alles, ohne das die eigentlichen Werbekästchen noch erscheinen.

  4. Daran ist überhaupt nichts vorbildlich. Das ist sogar dermassen totaler Quatsch, dass man vermuten muss, dass es die Unwahrheit ist.

    Es werden mehrfach in der Woche irgendwo irgendwelche Datenbanken irgendwo „aufgemacht“. Mit der Begründung „Die Nutzer dort könnten ja bei uns das gleiche Passwort verwendet haben wie dort“ könnte man täglich sein System neu einrichten. Plus: Jetzt kommt der nächste Dienst und sagt: „Wir setzen bei uns mal alles zurück, es scheint ja bei Adguard Probleme gegeben zu haben…“ —> Lawine.

    Passwörter sind Usersache.

  5. Der andere Peter says:

    Es scheinen einigen hier die Konsequenzen von AdGuards Vorgehensweise nicht klar zu sein: wenn nächste Woche wieder jemand so einen Angriff mit einer Passwort-Datenbank versucht, müssten sie konsequenterweise wieder alle Passwörter zurücksetzen. Und beim nächsten Angriff übernächste Woche wieder usw.

    Wenn das dann alle Seiten machen, auf denen man registriert ist, würde da wahrscheinlich fast täglich irgendwo ein Passwort zurückgesetzt werden. Das wäre dann, wie Caschy schreibt, interessant.

    • Ich halte für vorbildlich.
      Es ist ein externes Risiko, was tendenziell sehr geschäftsschädigend sein kann für das Unternehmen.
      Das Risiko wird (pro)aktiv gemanagt. Der Aufwand für die User hält sich in Grenzen.
      Und ja, wenn das nächste Woche wieder passiert, bitte AdGuard, setzt wieder alle PWs zurück und seid genauso transparent. So einem Unternehmen gebe ich lieber Geld als einem was nur die Hälfte von dem zugibt, was man ohne nachweisen kann (*yahoo*hust*)

      • Der andere Peter says:

        Nein, der Aufwand hält sich NICHT in Grenzen! Ich will nicht jede Woche alle meine >100 Passwörter zurücksetzen müssen.

        • *Das*, lieber Peter, ist ganz allein Dein Problem.
          Problem des Unternehmens ist es Geschäftsrisiken zu managen.

          • Unternehmen, die Geschäftsrisiken auf diese Weise managen, haben zu Recht bald keine Risiken, kein Unternehmen und kein Geschäft mehr.

            Wir haben unerbeten ihren Tank zugeklebt. Das hätte alles brennen können! Und Benzin ist giftig!

          • Der andere Peter says:

            Ja, lieber pux, nur mit sinnlosem Aktionismus Kunden zu vergraulen ist durchaus sehr geschäftsschädigend.
            Denn wenn ich als Kunde bei einem Dienst ein sicheres Passwort verwende und dieses auch sonst nirgends benutze und es trotzdem andauernd ändern muss, dann bin ich bei diesem Unternehmen bald kein Kunde mehr.

      • Was ist denn das für eine Vorstellung?

        Nächste Woche: GMX wird gehackt.
        Reaktion: GMail, Microsoft, Facebook, Twitter, Amazon plus 1.000.000 Kleindienstleister erzwingen neue Passwörter?

        IT-Sicherheit ist immer eine ABWÄGUNG, nur ein im Garten vergrabener, gehäckselter, eingeschmolzener Rechner ist „sicher“. Freidrehende SecPanik tut niemand einen Gefallen.

        …und weil kein professioneller Anbieter jemals dermaßen panisch über-reagieren würde, garantiere ich: Da ist irgendwas schiefgegangen.

        • Sparbrötchen says:

          Korrekt. Nicht die User müssen ihre Passworte ändern, sondern AdGuard muß dafür sorgen, daß niemand eine Liste mit tausenden Usernamen/eMailadreassen und Passworten per Skript gegen ihren Login werfen kann.

          Selbst wenn (ich betone „wenn“, denn bis jetzt ist die Kommunikation anders) die kompletten Zugangsdaten von AdGuard abgegriffen worden wären, wären die hoffentlich ordentlich gehashed und mit salt & pepper versehen, so daß neue Userpassworte zwar nett aber nicht zwingend gewesen wären.

          Für eine eventuelle Dummheit der User, überall die gleiche eMailadresse und Passwort zu nehmen, ist AdGuard nicht verantwortlich zu machen.

          Sie kümmern sich um etwas für das sie nicht verantwortlich sind und die Serversicherheit für die sie verantwortlich sind nehmen sie jetzt erst in Angriff – was daran vorbildlich ist, kann ich nicht sehen.

        • Das verstehe ich nicht.
          Da versucht AdGuard es *richtig* zu machen und schon wird denen was schlechtes unterstellt.

          Und bei denen, die hier meckern über den unsäglichen Aufwand eines PW-Wechsels…
          Wie macht Ihr denn das bisher mit dem PW ändern?
          Bei soooo vielen Accounts sollte *das* Problem doch schon längst gelöst sein…

          • Nimm dir bitte einen Zettel, male für jedes Konto, das Du irgendwo hast, einen Kreis. Social Media, Bank, Microsoft, Witze-Community, Angel-Forum, Zugänge für Internetanbieter, Handyanbieter, Autohaus, Baumarkt.

            Jedesmal, wenn irgendein Anbieter auf der Welt ein Sicherheitsproblem hat, (Nein, nicht DEINE Anbieter, sondern alle existierenden! Zum Beispiel, sagenwirmal, Foobarbazmail in China), dann ändern alle diese Anbieter ihre Konten. Und Du musst nachziehen: Auf dem Rechner, auf dem Handy, im Browser und in der App, und natürlich in deiner Doku. Und natürlich: Nix Passwortmanager-Sync, das Passwort ändert sich ja.

            Wenn Du DA das Problem nicht siehst, dann weiss ich auch nicht.

            Die Alternative: Überall verschiedenen Passwörter verwenden, und wer das verpennt hat, trägt SEINE Konsequenzen.

            • Korrekt, das ist nicht Problem des Anbieters, sondern *Deins*.
              Ich habe nicht *bei allen existierenden* Anbietern Accounts, sondern bei einer kleinen Teilmenge davon. Wenn einer dieser Anbieter (Security-)Probleme hat und daher zu dem Entschluss kommt alle *seine* Accounts/Nutzer/Kunden zu schützen ist das begrüßenswert.
              Wie *Du* das in *Deinen* Systemen hinbekommst, ich wiederhole mich: *Dein* Problem.

              Eine Lösung kann natürlich ein PW-Manager sein, der auch auf die PWs diversen Systeme synct. Klar muss man sich mit beschäftigen, damit die PW-DB nicht plötzlich im Klartext im Internet rumliegt.

              • Der andere Peter says:

                AdGuard HAT KEIN SECURITY-PROBLEM (wenn sie nicht gerade Lügen), sondern jemand hat versucht, ob in einer Datenbank gespeicherte Paare aus Nutzername und Passwort auch bei AdGuard verwendet wurden.

              • Sparbrötchen says:

                Ich glaube worauf Jörg hinaus wollte ist, wenn AdGuard jetzt sagt, es gibt *woanders* geleakte Usernamen/Passworte, die man verwenden könnte, um bei AdGuard zu probieren, ob die auch dort funktionieren und AdGuard dann sagt „ändert alle Euer Passwort“, dann müssen die das logischerweise auch zukünftig immer machen, wenn *irgendwo* auf der Welt ein Datenleck existiert über das zusätzliche Usernamen/Passworte in den Umlauf kommen.

                Das ist ein untaugliches Mittel, wie ein Pflaster bei Kopfschmerzen, da macht es auch ein zweites oder drittes Pflaster nicht besser.

                AdGuard soll sich im ihre Serversicherheit kümmern und die User kümmern sich um ihre eMail/Usernamen/Passworte.

          • Sparbrötchen says:

            Welchen Sicherheitsvorteil bietet das Wechseln des Passworts, nur weil der Betreiber mit Loginversuchen bombardiert wird?

            Ich habe ein altes zufällig generiertes Passwort, das ich nicht kannte (nur der Passwortmanager) durch ein neues zufällig generiertes Passwort ersetzt, das ich auch nicht kenne. Die eMailadresse ist sowieso Webseiten-spezifisch.

            Wenn die Betreiber ihre Pflicht (2FA, Begrenzung der Versuche usw.) erfüllt haben, können sie vielleicht zur Kur übergehen, bisher sehe ich nur Versäumnisse – nichts zum Feiern.

            • Wenn du für jeden Account ein eigenes, zufällig generiertes Passwort benutzt, dann ist das lobenswert und schön für dich. Dann bist du sicher und profitierst halt nicht von dieser Aktion.

              Die Aktion ist halt dafür gedacht, die User zu schützen, die überall das gleiche Passwort benutzen. Denn nur deren Accounts könnten betroffen sein.

              Sicher könntest du zu diesen Leuten sagen: Selber schuld. Aber wäre das ein Grund, nichts zu tun? Ich finde es gut, dass sich AdGuard auch um die „dummen“ User kümmert und nicht nur um die „schlauen“. Und AdGuard kann ja nicht unterscheiden, welcher Account ein „dummes“ oder „schlaues“ Passwort hat. Denn sie selber können die Passwörter in ihrer Datenbank nicht lesen, weil sie gehasht und gesalzen sind. Steht ja alles in ihrem Blog. Und das ist gut so.

              Und an 2FA arbeiten sie ja auch schon. Auch wenn wahrscheinlich sowieso wieder ein Großteil der User zu faul dafür sein wird.

              • Sparbrötchen says:

                Das verwendete Mittel ist untauglich, darum geht es – siehe meinen Post von 14:34 Uhr.

                Vorweg: ich bin langjähriger Nutzer und habe 4 Lizenzen, es geht hier um die Sache, nicht um persönliche Befindlichkeiten.
                Aber welche Einstellung AdGuard zu den Userdaten hat, kannst Du hier sehen
                https://www.youtube.com/watch?v=5cyhFpwdevI

                Das war das Ziehen von Gewinnern eines Gewinnspiels, da tickern mal eben die Namen aller Teilnehmer durch …
                Ich kann es jetzt nicht beeiden, glaube mich aber zu erinnern, daß im Jahr davor, zuerst auch noch die Mailadressen nicht abdeckt waren – das kann ich nicht beweisen, daher bleiben wir mal bei den Namen.

                Auch hier sollte Transparenz dadurch herbeigeführt werden, daß man zeigt „Seht es wird tatsächlich aus allen Teilnehmern gezogen“. Wie leicht das zu manipulieren ist, ist bei dem was AdGuard als Produkt anbietet, für jeden zu erkennen.

                Das ist Pseudotransparenz – und das Resetten aller Userpassworte ist das Gleiche in grün „Schaut wie wichtig uns Sicherheit ist!“ – und prompt fallen viele darauf rein, weil sie nicht sehen, daß das Problem nicht die Userpassworte sind, sondern die Möglichkeit viele tausend Usernamen/Passworte durchprobieren zu können.

              • Was lernt man heutzutage eigentlich in der Schule?

                Es gibt jeden Tag irgendwo Einbrüche, also müsste jeden Tag alle deine Passworte zurückgesetzt werden. Das Internet hört auf zu funktionieren nach 3 Iterationen.

                ES FUNKTIONIERT NICHT!

  6. Hi, wer benutzt denn bitte ADGUARD? Kenn ich nichtmal, die besten meiner Ansicht sind Panda Dome + Malwarebytes 1.75, des reicht. Mann kann alles moegliche konfigurieren, auf Ausnahme setzen, usw. denke, das ist genug Protektion.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.