Trillian: Forum des Multi-Messengers gehackt, offenbar über 3 Millionen Nutzer betroffen

artikel_trillianDer Multi-Messenger Trillian, wer ihn heute noch nutzt und eventuell in den Foren aktiv ist, sollte über einen Passwortwechsel nachdenken. Wie der Entwickler mitteilt, gab es Anfang Juli einen Einruch auf einen Server, entwendet wurden die Nutzerdatenbanken für das Forum und auch das Blog von Trillian. Die Datenbanken enthalten auch salted MD5 hashed Passwörter. Die entwendeten Daten sollen ein Alter zwischen drei und 14 Jahren haben, Trillian hält die Nutzbarkeit der Daten für unwahrscheinlich, falls man nicht seit Jahren das gleiche Passwort über verschiedene Dienste nutzt.

Nutzer, die allerdings das gleiche Passwort für Trillian selbst und das Forum verwenden, sollten es vorsichtshalber ändern. Der betroffene Server wurde übrigens nach dem Vorfall vom Netz genommen und wird auch nicht mehr zurückkehren.

trillian_hack_02

Interessanterweise hat es auch Caschy erwischt, über seinen Benachrichtigungsdienst liest sich das allerdings ein wenig anders als bei Trillian. Der Hack soll demnach bereits im Dezember 2015 stattgefunden haben, jetzt aber erst bekannt geworden sein (siehe Screenshot). Im Zweifelsfall also lieber einmal mehr das Passwort wechseln, egal ob der Anbieter sagt, das sei nötig oder nicht. Sollte man eh viel regelmäßiger machen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. „Im Zweifelsfall also lieber einmal mehr das Passwort wechseln, […]. Sollte man eh viel regelmäßiger machen.“

    Warum?

  2. Sascha Ostermaier says:

    Damit man in solchen Fällen safe ist? Wenn die Daten Dezember abhanden kamen und das erst im Juli rauskommt, ist da doch eine gewisse Zeitspanne, in der mit den Daten Schindluder getrieben werden kann, oder nicht? Ist ja sehr häufig so, dass „Hacks“ erst sehr viel später bekannt werden, wäre doch toll, wenn man da vorher schon ein neues Passwort hat.

  3. Wie soll ich hunderte von Passwörtern regelmäßig ändern?

  4. @dh: Das sind die wahren Probleme der Menschheit …

    Wir alle wissen doch, dass man Passworte regelmäßig ändern sollte und dass das aus Gründen der Sicherheit sinnvoll ist. Wir wissen aber auch, dass die meisten von uns das nicht machen, schon gar nicht regelmäßig. Aber dann darf man sich eben auch nicht beschweren, wenn man mal auf die Nase fällt. Letztlich ist das so ähnlich wie mit Geschwindigkeitsüberschreitungen im Straßenverkehr: Dafür ist man allein selbst verantwortlich, dafür kann man keinem anderen die Schuld geben. Blöd, aber nicht zu ändern.

  5. @dh: Passwortmanager nutzen, die geben durch den Zeitstempel der „letzten Änderung“ einen Hinweis darauf, wann man den Passworteintrag zuletzt editiert hat. Loggt man sich das nächste Mal beim Dienst mithilfe des PW-Managers wieder ein, sieht man das Datum.

    Bei Accounts die ich nur alle heiligen Zeiten (Onlineshopping/Preisvergleich) nutze änder ich natürlich auch nicht im Monatsrythmus mein Passwort), das sollte schon klar sein.

    Aber diese Angriffe zielen vor allem auf eins ab: auf User die überall dasselbe Passwort verwenden, und es nicht für notwendig erachten verschiedene Passwörter in den Griff zu bekommen.

  6. ich halte es trotzdem für schwachsinnig, regelmäßig sein Passwort zu ändern. Idealerweise hat man ein Passwort pro Dienst, also ist dann auch nur ein Dienst kompromittiert. Ändere ich „dauernd“ das Passwort, führt das nur dazu, dass ich mir selbst meine Passphrase nicht mehr selber merken kann, weil auch noch die Kalenderwoche/whatever dazu kommt.
    Selbst von meinen wichtigen Sachen (Mail/Onlinebanking) habe ich das Passwort max 1x in 10+ Jahren geändert und trotzdem ist noch nie was passiert und ich mach weiß Gott wieviel im Internet

  7. @Torsten
    Wenn das Email-Konto kompromittiert ist kann man darüber schnell mal Passwörter anderer Dienste zurücksetzen. Ist schon häufig genug vorgekommen. Allerdings gibt’s seit ner ganzen Weile auch Sicherheiten wie 2-Faktor-Auth. Allerdings nur wenn’s auch wirklich 2 Faktoren sind, 2 separate Geräte, und nicht zum Beispiel der Google Authenticator auch auf dem Smartphone läuft auf dem man sich gerade irgendwo einloggt. Dann kann man sich 2FA gleich sparen.

  8. Dann ändert man eben das Passwort. Wobei in dem falle. Was kann man damit anfangen?
    Wenn man nicht das Passwort woanders nutzt. Was man nie tun sollte. Ist das ganze eben nicht der rede wert.

    Ohne Grund ändere ich mein Passwort aber nicht. Wenn man vernünftige benutzt. Braucht man eben nur bei Datenlecks Regieren. Ein Problem ist natürlich wenn so Meldungen dann ewig brauchen bis es die Kunden erreicht.

    Da hilft ja laufend ändern auch nicht. Wenn ich es ändere 2 Tage später gibt es den Hack und nach 4 Monaten erfahre ich davon.

    Da müsste man ja jede Woche ein neues machen. Und bei der Masse an Passwörtern ist das unmöglich.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.