Werbung

Berichte, dass ein massiver Verlust von Webmail-Konten eine große Anzahl von Anmeldeinformationen enthält, die noch nie zuvor gesehen wurden, stießen auf eine Mischung aus Panik… und Zweifel. Wie genau sind die Nachrichten und könnten Ihre Anmeldeinformationen für Google Mail, Hotmail / Outlook oder Yahoo Mail in der Mischung enthalten sein?

272 Millionen eindeutige E-Mail-Adressen

Nein, an Ihrem Sehvermögen ist nichts auszusetzen. Es liest wirklich "272 Millionen". Dies ist die Summe der eindeutigen Paare von E-Mail-Adressen und Kennwörtern, die Hold Security, eine Informationssicherheitsfirma, die zuvor eine Sammlung von E-Mail-Adressen und Passwörtern erhalten hat 1,2 Milliarden Namen von russischen Cyberbanden im Jahr 2014 Russische Hacking-Bande erfasst 1,2 Milliarden Anmeldeinformationen: Was Sie tun sollten Weiterlesen . Es scheint also, dass das Unternehmen in diesem Bereich eine gute Form hat und als zuverlässig angesehen werden kann.

Aber wir werden darauf zurückkommen.

Muo-Sicherheitsdaten-Leck-Zweifel-Binär

Die Zahl von 272 Millionen ist in der Tat hoch und ist anscheinend eine Sammlung von Konten von Google Mail, Hotmail, Yahoo Mail und Mail.ru, einem russischen und osteuropäischen Webmail-Dienst. Hold Security behauptet, dass von den 272 Millionen Konten 42,5 Millionen neu sind - sie wurden noch nie in früheren Datenschutzverletzungen berücksichtigt.

instagram viewer

Wenn dies zutrifft, ist das Leck mit einigen der größten aller Zeiten verbunden, wie z. B. dem massiven Leck von 150 Millionen Adobe-Benutzerkonten und dem wahnsinnig schädliches Ashley Madison Leck Ashley Madison Leak Keine große Sache? Denk nochmalDie diskrete Online-Dating-Website Ashley Madison (die sich hauptsächlich an betrügerische Ehepartner richtet) wurde gehackt. Dies ist jedoch ein weitaus schwerwiegenderes Problem als in der Presse dargestellt, mit erheblichen Auswirkungen auf die Benutzersicherheit. Weiterlesen .

Wie bei allen großen Lecks können Sie herausfinden, ob Ihre Anmeldeinformationen in den Händen von Hackern liegen, indem Sie einen Besuch abstatten www.haveibeenpwned.com. Diese Site, die zuvor auf MUO vorgestellt wurde, ist eine durchsuchbare Datenbank mit Daten aller größten Hacks. Wenn Sie dort Ihre Anmeldeinformationen finden und das Passwort als aktuelles erkennen, ist es Zeit, es zu ändern. Wenn das Konto jetzt nicht mehr verwendet wird, lohnt es sich, es zu schließen.

Was ist nun mit diesen 42 Millionen Konten?

Wer hat die Daten verloren?

Die Geschichte hinter diesem Leck scheint geheimnisvoll zu sein. Halten Sie den Blog-Beitrag von Security zu diesem Thema schlägt vor, dass sie anonym mit über 900 Millionen Anmeldeinformationen kontaktiert wurden, die bei mehreren Verstößen über einen bestimmten Zeitraum gesammelt wurden, was einer 10-Gigabyte-Datei insgesamt entspricht.

Wir kennen die Person nicht, die die Daten durchgesickert ist, außer dass er als "dieses Kind aus einer kleinen Stadt in Russland" beschrieben wird und dass er in sozialen Medien bezahlt wurde. Nicht wirklich.

Wie Datenverletzungen von Hackern genutzt werden können

Was bedeutet das eigentlich? Wie kann jemand durchgesickerte E-Mail-Anmeldeinformationen im Wert von 10 Gigabyte verwenden? Denken Sie mal darüber nach: Auf wie vielen Websites melden Sie sich mit Ihrem E-Mail-Konto an?

Im Gespräch mit der BBC erklärte Alex Holden, Chief Information Security Officer von Hold Security in Milwaukee, wie „es Hacker-Sites gibt, die das tun Werben Sie für beliebte Dienste und "Store Fronts", indem Sie eine große Anzahl von Anmeldeinformationen verwenden und diese einzeln gegen die Seite? ˅."

Nacheinander wird versucht, ein Passwort nach dem anderen für Dienste wie Amazon, eBay, möglicherweise Xbox Live und PlayStation Network zu verwenden Brute-Force-Technik Was sind Brute-Force-Angriffe und wie können Sie sich schützen?Sie haben wahrscheinlich den Satz "Brute-Force-Angriff" gehört. Aber was genau bedeutet das? Wie funktioniert es? Und wie können Sie sich davor schützen? Folgendes müssen Sie wissen. Weiterlesen , hier demonstriert:

Schlimmer noch, die Anmeldeinformationen wurden wahrscheinlich inzwischen auf der ganzen Welt geteilt, gibt Holden zu:

"Was diese Entdeckung bedeutender macht, ist die Bereitschaft des Hackers, diese Anmeldeinformationen praktisch kostenlos weiterzugeben, was die Anzahl der... böswilligen Personen erhöht, die möglicherweise über diese Informationen verfügen."

Sicherheitsverletzungen können aber auch von Sicherheitsunternehmen ausgenutzt werden. Im Jahr 2014 versuchte Hold Security, von dem damals gemeldeten Verstoß zu profitieren. Angebot eines Abonnementdienstes für Websitebesitzer (aber nicht Einzelpersonen). Einige Forscher behaupten, dass ihr vorheriger Moment im Rampenlicht ein Fall von Stil über Substanz war, aber Holden bestritt, dass dies der Fall warund behaupten, „tatsächlich Geld zu verlieren. Wir versuchen überhaupt nicht, dies für die Öffentlichkeit aus der Perspektive des Gewinns zu tun, wir treiben unsere Dienstleistungen nicht voran. Tatsächlich versuchen wir, nicht pleite zu gehen. "

Ob Sie Holden glauben, ist jedoch nicht der Punkt. Der Punkt ist, dass das Leck Daten enthält, die Ihnen gehören könnten. Was können Sie dagegen tun?

Ich sollte mein Passwort ändern, oder?

Wenn Sie Eigentümer eines Hotmail-, Outlook-, Gmail-, Yahoo Mail- oder Mail.ru-Kontos sind, denken Sie wahrscheinlich, dass derzeit der beste Zeitpunkt ist, um Ihr Kontokennwort zu ändern. Halten Sie für einen Moment Ihre Pferde. Renommierter Sicherheitsforscher Professor Alan Woodward sagte der BBC dass "es zu diesem Zeitpunkt keinen Grund zur Panik gab" oder dass die Leute ihre Passwörter ändern mussten. "

Wir sagen jetzt nicht, dass Sie Ihr Passwort nicht ändern sollten. Sie können dies jederzeit tun, da es sich um Ihr Konto handelt. Wenn der Verstoß jedoch so schwerwiegend ist, wie behauptet wird, fordert Ihr Webmail-Anbieter Sie auf, Ihr Kennwort zu ändern, wenn Sie sich das nächste Mal anmelden.

Muo-Sicherheitsdaten-Leck-Zweifel-Passwort gesperrt

Prof. Prof. Woodward ist hier ziemlich schlau und rät Benutzern, auf Anweisungen ihres Webmail-Anbieters zu warten. Warum? Zunächst einmal sind es Google Mail, Hotmail / Outlook, Yahoo Mail und Mail.ru, die über die Ressourcen verfügen Untersuchen Sie die Legitimität des Verstoßes, und es sind diejenigen Unternehmen, die die Macht haben, Massen zu initiieren Passwort wird zurückgesetzt.

Darüber hinaus verfügen Webmail-Anbieter über Tools zum Erkennen verdächtiger Anmeldungen. Alles in allem haben sie die Situation unter Kontrolle.

Die Bedrohung durch Phishing und Spam

Ein großes Problem bei bekannten Sicherheitsverletzungen besteht darin, dass sie zusätzliche Bedrohungen mit sich bringen. Wie Pilotfische sind Kriminelle nie weit von der großen Auszahlung entfernt und bereit, die weggeworfenen Abfälle einzusammeln. Es gibt eine große Bedrohung durch Phishing nach dieser besonderen Neuigkeit.

muo-security-phishingemails-apple

Wenn Sie Google Mail, Hotmail oder Outlook, Yahoo Mail oder Mail.ru verwenden, stellen Sie möglicherweise eine Zunahme von Spam-E-Mail-Nachrichten fest. Einige stammen möglicherweise aus neuen Quellen und können von Ihrem Webmail-Anbieter nur schwer auf die übliche Weise behandelt werden (dh bewahren Sie sie im Spam- / Junk-Ordner auf, damit Sie sie nicht sehen können). Infolgedessen ist zusätzliche Wachsamkeit erforderlich.

Am wichtigsten ist vielleicht, dass Sie sich der Wahrscheinlichkeit bewusst sind Phishing-E-Mails So erkennen Sie eine Phishing-E-MailDas Abfangen einer Phishing-E-Mail ist schwierig! Betrüger posieren als PayPal oder Amazon und versuchen, Ihr Passwort und Ihre Kreditkarteninformationen zu stehlen. Ihre Täuschung ist nahezu perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Weiterlesen Sie sollen vom Webmail-Anbieter stammen und auf einen Link klicken, um Ihr Passwort zurückzusetzen. Der Link wird natürlich zu a sein gefälschte Website Wie Betrüger auf Ihr PayPal-Konto abzielen und wie Sie niemals darauf hereinfallenPayPal ist eines der wichtigsten Konten, die Sie online haben. Versteh mich nicht falsch, ich bin kein großer PayPal-Fan, aber wenn es um dein Geld geht, willst du nicht herumspielen. Während... Weiterlesen , bereit, Ihre aktuellen Anmeldeinformationen zu sammeln.

Keiner der betroffenen Webmail-Anbieter wird Ihnen wahrscheinlich eine E-Mail dieses Typs senden.

Bleiben Sie sicher und vermeiden Sie Phishing-E-Mails

Wir scheinen in einem goldenen Zeitalter der Sicherheitsverletzungen zu leben (zumindest für die Hacker), und es gibt keine Anzeichen für ein Nachlassen. Solange es Online-Systeme gibt und ein Gewinn erzielt werden kann, wird es Menschen geben, die über die Fähigkeiten und die Motivation verfügen, diese Systeme zu durchbrechen.

Um dies zu bekämpfen, müssen die Unternehmen und Dienste, mit denen wir unsere E-Mail-Adressen und persönlichen Daten teilen, wachsamer sein. Wir müssen uns auch der Bedrohungen bewusst sein und wissen, wie sie ausgeführt werden können. Spam-E-Mails, Phishing und gefälschte Websites - alle greifen wahrscheinlich Vektoren an, die auf Ihren Posteingang zusteuern.

Wie stehen Sie zu dieser neuesten Sicherheitsverletzung? Haben Sie es satt, von Online-Lecks zu hören, die mit einer strengeren Sicherheit vermieden werden könnten? Sagen Sie uns Ihre Meinung - starten Sie das Gespräch im Kommentarfeld.

Bildnachweis: eine Geldbörse stehlen von Volkova Vera über Shutterstock, Brian Senic über Shutterstock.com, JMiks über Shutterstock.com

Christian Cawley ist stellvertretender Redakteur für Sicherheit, Linux, DIY, Programmierung und Tech Explained. Er produziert auch The Really Useful Podcast und verfügt über umfangreiche Erfahrung im Desktop- und Software-Support. Christian ist ein Mitarbeiter des Linux Format Magazins. Er ist ein Bastler von Raspberry Pi, ein Lego-Liebhaber und ein Retro-Gaming-Fan.