Russische Hacker sammeln 1,2 Milliarden Name/Passwort-Daten an

Es ist der vermutlich bisher größte Fall von Internet-Kriminalität, zumindest wenn man die schiere Masse an Nutzername/Passwort-Kombinationen hernimmt. Laut dem Bericht eines Sicherheits­unternehmens hat ein russische "Cyber-Bande" 1,2 Milliarden ... mehr... Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ist sicher nur ein Backup der NSA Datenbank :D
 
@LoD14: Erklär mir doch mal seit wann Russland jetzt für die USA arbeitet?! Aber Hauptsache, Hirn aus und einfach mal gebasht! :D

Also ich hätte da ja eher behauptet das der FSB den Rückstand zur NSA langsam aufholt, aber naja. ^^
 
@Si13nt: Steht irgendwo geschrieben, dass die das Backup für die NSA gemacht haben? Nein? Hauptsache Hirn ausgemacht und umhergesaftet... ;)
 
@Si13nt: http://de.wikipedia.org/wiki/Ironie
 
Wenn es per SQL-Injection ging fehlte meistens eine Auswertungsfunktion, die den Benutzername und/oder das Passwort auf mögliche SQL-Ausdrücke abfragt. Die einfachste Methode ist aus alles einen Hash zu erzeugen, diesen an die DB zu senden.
 
Passwörter ändern wird irgendwie immer sinnloser, solche Leute fahren ja in 3 Monaten wieder mit ihrem Hackangriff drüber und haben gleich wieder die neuen Pw's...
 
@VortexWF: Darum hat man ein passwort fuer eine Seite und ggfs ein Username fuer eine Seite und vllt nen google mail account mit . getrennt um aliases zu erzeugen johndoe jo.hndoe john.doe(alles der gleiche user account - google ignoriert den Punkt im Nutzername ) etc
 
@-adrian-: google braucht ja auch nicht dein Passwort, die durchsuchen einfach direkt deine mail ;)
 
@Nomex: Wobei ich aber Google in so einer Sache mehr vertrauen schenke als (russischen) Hackern.
Kann mir nicht vorstellen, dass Google in meinem Namen mit z.B. einem gestohlenem Ebay-Konto schabernack treibt!
 
@Trimmi: Nein Google sind die Guten, so wie die USA. Die aktuelle Anti-Russland Propaganda scheint zu wirken...
 
@shaft: was hat das eine mit dem anderen zu tun? o.o
 
@shaft: ich impliziere google nicht direkt mit usa!
und mit der allgemeinen krisen-bericht-erstattung bin ich momentan eher auf russicher seite...
 
@VortexWF: Ja, von daher sollte die einfach die verdammte Liste veröffentlichen, so dass man schauen kann, ob mein sein Passwort jetzt ändern muss oder nicht.
 
@VortexWF: Das ist ja das Problem. Solange man nicht weiß, wie sie an die Daten gekommen sind (welche Firmen, welche Sicherheitslücke), so lange bringt einem der Passwortwechsel herzlich wenig. Sie haben ja sicherlich nicht das Passwort benutzt um an das Passwort zu kommen. Erst wenn man weiß wie und wo, dieser Passwortklau zustande kahm, und was dagegen unternommen wurde, macht es auch sinn Dieses Passwort zu ändern. Klar kann man deren Daten nutzlos machen indem man es ändert, aber wie du schon geschrieben hast, fahren sie einfach den Angriff wieder.
 
@VortexWF: oder man nutzt passwortmanager die solche passwörter schnell und einfach generieren und sich das gleich merken.
 
gibts da irgendwo ne liste dazu?
 
@steve_1337: Ja, bei Hold Security...
 
@klein-m: danke
 
Ziemlich traurig das so viele Internetseiten unsicher sind.
 
@Menschenhasser: Ist doch völlig Hupe ob Seiten wie Winfuture oder Gamingforen sicher sind oder ned.

Wichtig ist das bei Banken / E-Mail providern / Internet shops.
 
Was mich brennend interessiert ist, ob Microsoft, Apple, Google und Amazon unter den Betroffenen sind.
 
@IntreppIT: Das wird sich rausstellen. Hier mal von einigen großen, die vorher bereits öffentlich geworden sind: https://scontent-b-ams.xx.fbcdn.net/hphotos-xfp1/t1.0-9/10547699_10152390223564775_373930284502628104_n.jpg
 
@IntreppIT: Die wohl Plus Ebay usw,halt die großen Unternehmen
 
Unsichere Webseiten sollten dafür vor Gericht belangt werden dürfen - mit Schadensersatzforderungen. Es ist verdammt nochmal Aufgabe der Firmen dafür zu sorgen, dass so etwas nicht passiert. Oftmals wird aber z.B. nicht einmal die aktuellste mysql- und apache-Software installiert oder aktualisiert. Und dann wundert man sich? Klar - sind ja im Prinzip nicht deren Daten, die dann flöten gehen. Ich finde, dass z.B. Ebay bei einem Hack, der nicht auf ein simples Passwort zurück zu führen ist - also über einen Fehler seitens der Programmierer gelingen konnte - finanziell belangt werden können sollte. Das was man hier macht ist grob fahrlässig und wenn man keine Ahnung vom Programmieren und Designen hat, dann sollte man sich lieber irgendwen holen, der diese Ahnung hat. Ich muss mir ja auch vieles im RL gefallen lassen wofür ich gerade stehen muss - wo ist also das Problem?!
 
Sprechen wir hier wirklich von (Deutschen)Milliarden, denn selbst das Verhältnis 420k Seiten zu 500k Unterschiedlichen E-Mail Adressen klingt irgentwie unpassend
 
Die berühmten US Beweise. Und ausnahmsweise nicht die Chinesen. Da hat jemandem der Ukraine Konflikt nicht die gewünschten Resultate gebracht.
Also noch mehr US-Beweis-Öl ins Feuer.
 
@BadMax: Und der böse Russe, vermutlich war es Putin persönlich, wird wieder zum Sündenbock gemacht. Ich lach mit tot. :D
 
Da will mal eben ein Unternehmen mit Panikmache dick Kohle machen.

Hold Security: "You can pay as low as $120 monthly to find out if your site is affected by the breach."

Forbes: http://www.forbes.com/sites/kashmirhill/2014/08/05/huge-password-breach-shady-antics/

Hold Security Breach Notification Service: http://www.holdsecurity.com/services/deep-web-monitoring/bns/
 
@w4n: Da gibt´s doch auch schon etliche spekulationen zu. Finde dieses "Zahl damit du weißt ob du betroffen bist." mehr als unseriös. Da werden / würden auch mit Sicherheit einige drauf anspringen. Schade.

Vielleicht bringt das BSI ja irgendwann in ein paar Wochen wieder so einen Test...
 
Zitat:
Ausgangspunkt für den Datenklau der knapp zwölfköpfigen Gruppe ist ein "riesiges Bot-Netzwerk" an gekaperten Rechnern.

Da möchte ich mich persönlich bei allen Internetbenutzern bedanken, die noch immer glauben, Ihr Rechner sei 'Viren-frei' und ein 'Antivirusprogramm' sei unnötiger Humbug, weil Brain.exe alles regelt.
 
@Vollh0r5t: Richtig. Wobei ein Antivirus Programm natürlich auch nicht greift und es etliche Fehlmeldungen gibt. Habe einige im Bekanntenkreis die sich, wegen der teilweisen Fehlmeldungen, weigern ein Antivirusprogramm zu nutzen.

Allerdings muss ich dazu sagen, dass ich auch nur auf den Windowsrechnern entsprechende Programme laufen lassen - bei Linux hatte ich nur mal ClamAV laufen, und das auch nur, um zu sehen, wie das da funktioniert (Installationstechnisch - Linux Noob halt ^^).
 
@Vollh0r5t: Ich nutze Windows nur in einer VM (offline) auf meinem Linuxrechner. Finde es so am sichersten. Aber gegen Social Engineering hilft kein OS, sondern nur gesunder Menschenverstand.
 
Der böse Russe, vermutlich war es wieder Putin, klaut Daten und ein US Unternehmen, die ja immer die Wahrheit sagen, Stichwort Irakkrieg, ist ganz uneigennützig und rückt die Daten nur gegen Bezahlung heraus. Passt auch zu gut in die aktuelle Situation so dass einem der Glaube daran fehlt. Haben sich das Obama und seine Märchenschreiber wieder ausgedacht ?
 
Die Frage ist doch aber, wenn die Daten "echt" sind, haben sie dann wirklich Name und Passwort, oder nur einen Passwort-Hash? Wenn irgendwelche Seiten Passwörter im Klartext speichern würde ich gerne wissen welche. Oder welchen Schaden können die anrichten wenn sie den Hash haben? Sofern sie nicht die einfachen Passwörter selbst entschlüsselt haben.
 
Ich kann dazu nur eins sagen: Die Dummheit vieler Onlineshop Betreiber/Online-Unternehmer im Bereich IT-Secuirty ist unfassbar und teils mehr als fahrlässig. Da werden Sicherheitsupdates über Jahre nicht eingespielt. Und wenn es den Hack gab, die Seite infiziert ist wird lediglich kurz (wenn überhaupt) bei der Kriminalpolizei Anzeige erstattet und das wars.

Jeder Internetseitenbetreiber sollte für fahrlässig verschuldete IT-Security Fehler richtig deftig zur Kasse gebeten werden. Es muss eine zentrale Stelle geben, wo diese Unternehmen derartige Lecks melden müssen und bei erneutem Verschulden für x Monate die Lizenz zum Online Business entzogen bekommen oder sie planen ein entsprechendes IT-Security Budget ein und lassen externe Berater diesen Part übernehmen.
 
Ein Paar Webseiten auf einem Screen aufgenommen, und dann nur noch verschiedenste Hände auf Tastaturen rumklicken. Visuelle Hintergundberauschung...
 
Sicherheitsunternehmen Hold Security. Letztere hat einen guten Ruf ... hier müsste stehen: HATTE einen guten Ruf.
Denn jetzt bieten Sie gegen BEZAHLUNG an, zu prüfen, ob die eigenen Daten auch unter den gestohlenen sind.
Aber woher wissen Hold Security so genau, WELCHE Daten entwendet wurden?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles