Sicherheitsexperte zweifelt an Diebstahl von 1,2 Milliarden Datensätzen
Gestern berichteten viele Medien – wir auch – über die russische Hackergruppe, die sich 1,2 Milliarden Passwörter „erarbeitet“ haben soll. Sicherheitsexperte Bruce Schneier zweifelt die ganze Geschichte an. In seinem Blog erklärt er, warum er es für unwahrscheinlich hält, dass die Story in dieser Form wahr ist. So sieht er zum Beispiel die fehlenden Details, etwa ob die Passwörter verschlüsselt oder unverschlüsselt vorliegen oder welche Seiten betroffen sind, als Anzeichen für eine Infragestellung. Auch wie die Gruppe an die Daten kam wurde nicht kommuniziert.
Was Bruce Schneier ebenfalls stutzig macht: er selbst hat noch nie etwas von Hold Security (die Firma, der die Daten angeblich vorliegt) gehört. Was ihn ebenfalls stört ist die Tatsache, dass Hold Security 120 Dollar pro Jahr verlangt, um zu prüfen, ob man selbst betroffen ist. Hold Security rechtfertigt dies als Aufwandsentschädigung, um den Betroffenen zu beweisen, dass man zur guten Seite gehöre, wenn man aktiv auf eventuell betroffene Firmen zugeht.
Die dritte Sache, die Schneier an der Story zweifeln lässt, ist der fehlende Schaden. Wenn eine russische Gruppe im Besitz von 1,2 Milliarden Datensätzen ist und man keinen Anstieg von Accountübernahmen, Kreditkartenbtrügereien oder anderweitige Schäden feststellt, zeigt dies seiner Ansicht nach nur, dass das Internet tatsächlich in gewisser Weise sicher zu sein scheint.
Wird geladen ...
Da fehlt ein scheint am Ende, oder? 🙂
Gestern im Heise Forum gelesen. „Biete EC Pins von 0000-9999 für 10€ an. Garantiere aber nicht ob die Daten aktuell sind“ .. Trifft es denke ich ziemlich gut.
120€ im Jahr oder 10€ im Monat für eine einmalige lächerliche Abfrage.
Ich bezweifele das an der Geschichte was dran ist. Vielleicht wurden auch einfach Daten aus alten Leaks genommen und wer
den nun als neu verkauft.
Ich bin gespannt wie die Geschichte zu Ende geht.
…zumindest habe ich heute, ob Zufall oder nicht, eine E-Mail von eBay bekommen, dass ich bitte mein Passwort ändern soll, wenn ich es nach Ende Mai noch nicht getan habe.
Ich zweifel stark an der Kompetenz des Erstellers dieses Artikels.
Ich sehe auch noch diese Möglichkeit. Auf jeden Fall werde ich vorsichtig sein, wenn irgendwelche „Lösungen“ von „seriösen“ Unternehmen angeboten werden.
Bitte im letzten Absatz ausbessern: Kreditkartenbtrügereien
@JB
Warum?
Ich habe es auch so verstanden.
In der Sache selbst, halte ich die Geschichte auch für unglaubwürdig. Auch wenn Held Security daraus ein Geschäft machen will und deshalb Angaben zurückhalten würde, fehlt es an verifizierbaren Hintergrunddaten. Wie wurde der angebliche Diebstahl festgestellt, welche Regionen sind betroffen nd derzeit passen dRussland.
Ja, die bösen Russen wieder mal. Passt ja in das aktuelle Medienecho.
ladibla.
Moment Moment also gestern war hold Security keine unbekannte Firma und heute kennt sie noch nicht mal ein sicherheitsexperte? Was stimmt den nun?
@FlyingT
Habe das gleiche gedacht.
@Sascha: wenn du schon auf die Blog Meldung von Bruce Schneier verweist, dann solltest du auch auf die Gegenmeinung verweisen. Schneier erwähnt ganz unten, dass Brian Krebs Hold Security für seriös hält.
Krebs schreibt: „I’ve known Hold Security’s Founder Alex Holden for nearly seven years.“ http://krebsonsecurity.com/2014/08/qa-on-the-reported-theft-of-1-2b-email-accounts/#more-27205
Während Schneier spekuliert, kennt Krebs Hold persönlich und hat schon mehrfach mit ihm zusammen gearbeitet. Krebs hält den Fall für plausibel, Schneier nicht. Experte gegen Experte.
Fazit zu deinem Artikel: Die Substanz hinter der Nachrichtenmeldung ist weiterhin unklar. Schneier legt nur seine persönliche (durchaus nachvollziehbare) Spekulation dar.
Nunja, diesen Kommentar finde ich interessant:
„Check out holdsecurity.com on the wayback machine (archive.org)
It shows the first instance of the URL in June of 2013 – but check any page link before yesterday (Aug 6)…. there are no pages displayed at all.
So for over a year, the URL was valid and took you to a blank white page. Until the story hit.“
Wenn man dann noch bedenkt, dass der Fürsprecher Brian Krebs zum Aufsichtsrat der Firma Hold Security gehört …
Meiner Meinung nach ist das alles nicht plausibel. Diese Menge an Datensätzen plus es ist weder bekannt wie sie vorliegen noch welche Dienste betroffen sind. Des Weiteren soll man ein Abo abschliessen, um herauszufinden, ob man betroffen ist. Ziemlich komischer Kontext. Keine seriöse Sicherheitsfirma macht so etwas. Ich persönlich sehe das ganze als Panikmache und Marketingversuch. Angebliche 1,2 Milliarden Datensätze, viele Privatanwender mit wenig Ahnung geraten in Panik, zahlen lieber einmal 120 Flocken um zu erfahren ob sie betroffen sind. Wenn es lediglich 10 Millionen Menschen machen, verdient der gute Alex Holden mit seiner Firma ein kleines Vermögen von 1,2 Milliarden! Ähnlich wie mit der Fake-AV-App unter Android. Nichts passierte, aber der Entwickler kassierte gut ab.
Solange mir niemand weitere Details zu dieser Menge an Datensätzen liefert, glaube ich da nicht dran.
Experten, die mit involvierten Personen befreundet sind, schenke ich noch weniger Glauben. Sie sind für mich voreingenommen und nicht objektiv! Denkt mal drüber nach! 😉
@mrgoodlife
So habe ich das noch gar nicht gesehen, selbst wenn nur 1 oder 2 Millionen das machen kann man schon ne Zeit lang davon leben.
Die Russen kommen! Schon mein Opa… ;>
Nein, im Ernst: durch Shock&Aw wird der Pöbel für bislang unerhöhrte Methoden weichgekocht. Im Cyber-Krieg werden wir – wie damals – im Digital-Schnee vor Moskau stecken bleiben.
In der Ukraine-Krise, nebst Russland-Boykott, werden wir nicht nur den russischen Kaviar vermissen ;DD