Wieder umfangreiche Liste mit Kreditkarten- und Account-Informationen veröffentlicht
Über Weihnachten wurden nicht nur Xbox Live und das PlayStation Network lahmgelegt, Hacker von Anonymous veröffentlichten auch eine riesige Liste mit Account-Informationen zu verschiedenen Diensten, sowie Kreditkartennummern, inklusive Ablaufdatum und Sicherheitscode. Angekündigt wurde die Aktion bereits am 23. Dezember, veröffentlicht wurde das Material dann am 26. Dezember. Unklar ist allerdings, woher die Daten stammen oder wie alt diese sind.
#LulzXmas is coming soon. Accounts of various companies around the world will leak. #Anonymous #AntiSec
— Anonymous (@AnonymousGlobo) 23. Dezember 2014
Rund 13.000 Login-Informationen für Accounts von VPNCyberGhost, UbiSoft, VCC, Brazzers, UFC TV, PSN, XBL Gamers, Twitch TV, Amazon, Hulu Plus, Dell, Walmart und (EA) Games wurden veröffentlicht. Den krönenden Abschuss der #LulzXmas getauften Aktion ist die Veröffentlichung einer Kopie des Films „The Interview“, den Sony zuerst zurück zog und dann doch in manchen Kinos und online anlaufen ließ.
Well, to finish with #LulzXmas. Film „The Interview“ available for download. Kernel.mp4 2.05 GB https://t.co/Q8XytvJxGV #Anonymous #AntiSec
— Anonymous (@AnonymousGlobo) 26. Dezember 2014
(Quelle: Tech Crunch)
Brazzers!
Auch wenn ich damit vlt. recht alleine hier sein sollte: Ich finde es gut dass die privaten Daten veröffentlicht werden. Denn so wird der Druck auf die Firma, die Öffentlichkeit und die Politik erhöht. So zumindest die Theorie. In der Praxis scheint das ja weder Nutzer, noch Öffentlichkeit, noch Politik zu interessieren. Zumindest ist nach tausenden Hacks und millionen Daten noch nichts passiert. Auch habe ich noch nie erlebt das sich jemand ernsthaft darüber aufregt. Die Leute regen sich nur auf wenn sie nicht Zocken / Porn schauen können. Der Rest ist irgendwie allen egal.
@fabey: Das schafft falscher Druck, den meist sind es eh nur Daten aus Phishing-Aktionen.
Trotzdem wird es Zeit, dass endlich mal eine vernünftige und eindeutige Absicherung für Logins durchgesetzt wird. Damit kein Betrug mit ‚gefundenen‘ Kundendaten durchgeführt werden kann.
Das mit den Anmeldedaten ist so ein zweischneidiges Schwert. Natürlich … suboptimal für die Betroffenen, aber so werden die Firmen unter Druck gesetzt und auch die User sensibilisiert keine Passwörter wie 123456 und ähnliches zu verwenden. Ich kenne z. B. eine große Bank wo man für Online Banking Probleme bekommt mit per Zufall generierten Passwörtern wie von KeePass (ja, mit 16 Stellen incl. Groß-Kleinschreibung, Ziffern und Sonderzeichen). Diese werden als „zu unsicher“ zurückgewiesen. Aber Passwörter die schon ewig in den Listen stehen wie beispielsweise Geheim123 wird als sicher anerkannt. Sowas kann und darf nicht sein.
Dass der Film nu im Netz steht find ich gut so. Nach dem Aufruhr vermute ich dass sogar So-Nie dagegen nicht vorgehen wird, auch wenn es ja ein Verdienstausfall ist.
Was ist „nicht besonders schwer zu machen“? Sicherheitscodes dürfen natürlich nicht gespeichert werden, aber für den Rest braucht es nur einen selbst ernannten Snowden, der die Datenbank kopiert und sich dann ganz toll vorkommt. Leute mit diesen Berechtigungen braucht man aber nunmal leider zum Betrieb solcher Seiten.
@Thomas Baumann:
Bei Banken wird der Login immerhin komplett gesperrt bei zu vielen Fehlversuchen.
Find es jedoch trotzdem leicht uncool, dass die Volksbank Stuttgart bis heute nur max. 5 Stellen im Passwort zulässt.
@caschy: zum 2.x: die neuen Sharebuttons bremsen die Seite gewaltig aus!
Wenn ich mir die Amazon-Logins so anschaue, dann sind die Passwörter alle samt in den einfachsten Wordlisten zu finden. Hier wurde also ehr nicht gehackt, sondern nur mal wieder Wordlisten mit div. Emailadressen abgerattert.
Es ist schon hart für die betroffenen. Aber veröffentlich sollten solche Listen nie. Denn nun probieren die Email/Passwort Kombinationen auch andere bei anderen Diensten durch. Dabei können die Dienst ehr nichts dafür, wenn ihre Nutzer für alles den selben Login und Passwort benutzen!
Der einzighe Weg Wordlisten einzudämmen wäre ein durchgängiger Zwang 16+ Zeichen-Passwörter zu benutzen, gepaart mit einer Zwei-Faktor-Authentifizierung. Aber wenn jeder Dienst seine 2FA-APP macht, haben wird tausende davon auf dem Phone.
Ich nutze schon eine ganze weile Keypass mit einen kombinierten Schlüssel und bin gerade dabei meine Verwandschaft zum Umstieg zu zwingen 🙂
@klaus warum denn den eine 2FA per app durchführen? geht mit sms doch genausogut. ich nutze sämtliche dienste die die 2FA anbieten per sms.klar da kann man jetzt wieder mit der kürzlich gefundenen sicherheitslücke dagegen argumentieren, aber der aufwand ist dadruch schon um einiges größer, und ein einfaches hacken/stehlen, von millionen datensätzen, wird dadurch schon weniger attraktiv für die hacker, weil es ohne die sms eben nichts nutzt, und dafür ist der aufwand wesentlich größer. zweite möglichkeit wäre es so wie blizzard es anbietet, einen hardware tan generator, der unendlich lange zufällige 6-stellige zahlenfolgen generiert. diesen müsste mann dann nur so gestalten, dass ihn jeder (anwender/seitenbetreiber) einfach nutzen kann, also einen one-for-all hardware key.
Stefan: nicht jeder hält sich unentwegt im gleichen Land auf oder hat nur eine sim Karte. 2FA via SMS mag für viele funktionieren, für einige ist es aber ein Unding. Insbesondere, wenn dies vorgeschrieben wird (ich bin nach wie vor sehr glücklich, eine Tan Liste von meiner Bank zu bekommen, auch wenn dieses Verfahreb heutzutage ja schon als recht unsicher gilt).
@Stefan
SMS ist nicht immer das Mittel der Wahl. Zumal es bei den Anbietern schon ein recht großer Kostenfaktor ist. Auch wenn es für den Massenversand andere Peise gibt als für den Versand von einer SMS, macht es die Menge. Und die zahlst Du. Ausserdem kommen SMS nicht immer gleich an. In Auslastungsspitzen der PRovider kann es auch mal Stunden dauern. Blöd wenn dann ein SMS- Code nur 5 Minuten gültig ist.
Ein Hardwaretoken wäre eine Option, aber dazu müsste man die Anbvieter ersteinmal zusammen bringen.
Onlinebanking, PayPal etc. kenn ich nicht mehr. Bin da mittlerweile wieder analog. Traurig aber wahr! Mittlerweile wird doch alles gehackt. So isses und so wird es bleiben 🙁
Bin ja froh diese Seite noch lesen zu können ohne mich gleich „verdächtig“ zu machen!
@Klaus
Und sämtliche Datenschützer mundtot machen. Wobei, vielleicht hilft da ja die NSA.
@Stefan
SMS-Backends sind entweder verdammt teuer oder berechnen pro SMS.
@Patrick
Was dir (bzw deiner Bank, denn die wird für den Schaden aufkommen müssen) wenig bringt, wenn – wie hier – abgegriffene Datensätze geleakt werden. Maximal 5 Zeichen (womöglich noch mit eingeschränktem Zeichensatz) sind noch innerhalb des Rentablen für reines Bruteforcen.
@Sebastian
Sicherheitscodes darf man eigentlich nicht speichern, ja. Machen viele trotzdem, was von den Kreditkartenanbietern auch aufgrund des nicht mehr existenten Sicherheitswerts ebenjenes Codes toleriert wird.
((Der Algorithmus mit dem festgestellt wird ob ein gegebener Sicherheitscode zu einer gegebenen Kartennummer passt ist bekannt und ein dreistelliger numerischer Code nicht der Rede wert.))
So langsam geht es mir auf den Geist alle paar Wochen meine Logins zu übrprüfen oder PW zu ändern. Bis erst mal ein heilender Effekt bei den Seitenbetreibern eintritt sind die Kunden/User die Dummen. Und mit Spaß hat das definitiv nichts zu tun.
Wo es geht nutze ich 2FA (Google, Evernote, Origin, Steam, Battle.net, Microsoft, Dropbox). Wäre schön, wenn mehr Firmen das implementieren würden, so schwer kann das doch nicht sein.
Ich persönlich nutze auch 2FA, wenn es angeboten wird, finde es aber unendlich nervig. Bestes Beispiel ist icloud.com. Bei JEDEM Login muss man die 2FA durchführen, nach dem iPhone wühlen, entsperren, den Code eintippen, iPhone wieder weg… Selbst wenn man sich eine Stunde vorher vom selben Rechner mit derselben IP und demselben Browser angemeldet hat…
Der heilende Effekt fehlt aber wohl eher bei den Nutzern. Ich kenne genug Leute, vermutlich sogar der überwiegende Teil, die nutzen ein einziges Passwort für alle Dienste und haben das noch nie gewechselt. Wenn dann im Passwort mal eine Ziffer oder ein Sonderzeichen steckt, ist das schon recht überraschend. Betrifft eher die weniger technikbegeisterten Menschen in meinem Umfeld, aber das ist eben der größere Teil…
ich finde die Liste nicht, um zu schauen ob mein Account auch dabei ist
Liste ist leider schon wieder weg. Hätte auch gern nachgesehen, ob mein Account betroffen ist.
Bei so einem kleinen Datensatz brauchst du dir keine Sorgen zu machen, dass du dabei bist.
@ChackZz: Mehr Sicherheit bedeutet eben immer auch weniger Komfort. Und wohl nur die wenigsten müssen nach dem iPhone wühlen. Im Regelfall hat man doch das iPhone zumindest in Griffweite, jedenfalls wenn man weiß, dass man es für die Anmeldung bei so einem Dienst benötigt.
Wurde Google jemals schon mal gehackt?
Das waren alles Angriffe über Phishing-Seiten, nie direkt.
Daran sollen sich die Firmrn mal ein Beispiel nehmen 😉