EyeEm, 500px, ShareThis und weitere: Wieder über 600 Millionen Login-Daten im Umlauf
Login-Leaks nehmen zu, immer wieder werden Dienste angegriffen und Daten im Gegenzug abgegriffen. Oder der Nutzer fällt in großem Stil auf Phishing herein. Oder er lädt eine vermeintlich saubere Datei von einer offiziellen Webseite eines Produkts. Die Wege sind vielfältig, über die böse Buben an Login-Daten kommen. Den Schaden hat im Zweifelsfall der Nutzer. Mindestens sollte er sein Passwort ändern – gut ist es immerhin, wenn es einfach dabei bleibt.
Über solche Datenleaks informieren aktuell auch mehrere Dienste, darunter auch welche, die hierzulande durchaus beliebt sind. Insgesamt wurden über 600 Millionen Datensätze erbeutet, die nun zum Verkauf stehen. Laut The Register sind die Daten valide, das sollen Test-Datensätze belegen, die man sich genauer angeschaut hat.
Die Daten stammen dabei aber nicht alle aus einem neuen Leak, teilweise sind es auch Daten aus bereits kommunizierten Leaks, die nun zum Vorschein kommen. Die neuesten Daten stammen aus Dezember 2018, sind also noch relativ frisch. Betroffen sind folgende Dienste:
Dubsmash: 161.549.210 Accounts betroffen
500px: 14.870.304 Accounts betroffen
EyeEm: 22.360.765 Accounts betroffen
8fit: 20.180.667 Accounts betroffen
Fotolog: 16.000.000 Accounts betroffen
Animoto: 25.402.283 Accounts betroffen
MyHeritage: 92.284.478 Accounts betroffen
MyFitnessPal: 150.633.038 Accounts betroffen
Artsy: 1.070.000 Accounts betroffen
Armor Games: 11.013.617 Accounts betroffen
Bookmate: 8.026.992 Accounts betroffen
CoffeeMeetsBagel: 6.174.513 Accounts betroffen
DataCamp: 700.000 Accounts betroffen
HauteLook: 28.000.000 Accounts betroffen
ShareThis: 41.028.098 Accounts betroffen
Whitepages: 17.775.679 Accounts betroffen
Dienste wie 500px oder EyeEm informieren ihre Nutzer aktuell über den Diebstahl der Daten, fordern zum Zurücksetzen des Passworts auf. Solltet Ihr Konten bei einem oder mehrerer der genannten Dienste haben, solltet Ihr die Passwörter auch ändern. Am einfachsten geht das über einen Passwortmanager. Sofern von Diensten angeboten, solltet Ihr auch immer ein 2-Faktor-Authentisierung aktivieren, das bietet eine gewisse Sicherheit auch beim Abhandenkommen der eigentlichen Login-Kombination.
Aktuell scheinen die neuen Daten noch nicht in Tools wie haveibeenpwned oder den HPI Identity Leak Checker eingepflegt zu sein, hier findet man noch die große Sammlung von Anfang des Jahres als aktuelle Daten vor.
Wird geladen ...
Zum Kotzen! Heute reicht es nicht, dass man selbst auf seine Sicherheit acht gibt. Ständig hört man von solchen „Datenpannen“und muss fürchten, dass man durch Schlampigkeit von Anbietern kompromittiert wurde.
Ich bin nun durch EyeEm betroffen. Und der Anbieter hat natürlich keine 2-Faktor Authentifizierung. Auch jetzt noch nicht. Wirklich ärgerlich!
Das Risiko ist aber nicht neu und das kann der Nutzer auch bei größter Sorgfalt leider nicht ausschließen. Sobald ein Dritter mit im Spiel ist, wie hier eben ein Dienstanbieter, muss man damit wohl leben.
Grandios, mein 500px-Account wurde auch zurück gesetzt, nur leider kann ich kein neues Passwort erstellen, weil erst einen Verifizierungscode eingeben müsste, den wiederum habe ich nicht. Kurz gesagt, ich habe keinerlei Zugriff mehr auf meinen Account.
Die betroffenen Dienste werden ja hoffentlich die PW nicht im Klartext gespeichert haben. Schlimmer sind ohnehin die Mail-Adressen. Die werden dann schnell mit Spam bombardiert.
EyeEM hat in seiner gestrigen Email bestätigt, dass die Passwörter nicht im Klartext abgespeichert waren.
Wie wurden dann diese Mengen an Passwörtern entschlüsselt?
Wirklich schlimm ist das m.E. auch nicht, die meisten Spamfilter funktionieren ganz ordentlich, und in aller Regel kann man da auch noch manuell nachjustieren. Spam jedenfalls wäre da meine kleinste Sorge.
Na super da bin ich dann wohl auch wieder dabei.
Welche Seiten
– NEBEN haveibeenpwned –
bieten verlässliche Checks an?
Bin auch möglicherweise betroffenen: Wann ist eine Prüfung diesbezüglich für mich sinnvoll/möglich?