TeamViewer äußert sich zu Lücke, nennt Anzahl Betroffener 'signifikant'

Vergangene Woche wurden Nutzer des Fernwartungstools TeamViewer zum Opfer eines "Hacks" bzw. wurde die Anwendung genutzt, um unerlaubte Transaktionen, etwa per PayPal, durchzuführen. TeamViewer hatte dazu bisher eine eher unglückliche ... mehr... Internet, Fernsteuerung, Remote, TeamViewer, Remote Desktop Bildquelle: TeamViewer Internet, Fernsteuerung, Remote, TeamViewer, Remote Desktop Internet, Fernsteuerung, Remote, TeamViewer, Remote Desktop TeamViewer

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
nun gut, wenn ich meinen Autoschlüssel auf den Parkplatz vom Supermarkt verliere, brauch ich auch nicht zum Autohersteller rennen und mich wundern, warum jemand mit meinem Auto ne runde gefahren ist...

Die frage die sich hier stellt. wie kann man verhindern, dass der User Passwörter doppelt und 3-Fach verwendet.

Sollte man Passwortlisten (mit verknüpften Account namen) künftig direkt "Sperren". Also dass man nicht selbst sein Passwort ändern müsse, sondern dass gleich in diesen Fall Team-Viewer die online Listen durchsucht und alle Accounts deaktiviert... <- mit der Meldung (wenden Sie sich an den Support).
Ich meine PayPal ist da noch "unproblematisch" <- hier kann ich nen Transfair ne gewissen Zeit gut begründet Rückgängig machen... mit z.B. Western Union sieht das etwas "anders" aus.
 
@baeri:

Facebook macht das übrigens, die gleichen öffentlich gewordene Liste gehackter Accounts mit den Emails ihrer User ab und machen sie darauf aufmerksam dass sie ihr Passwort ändern sollen. Das ist wie ich meine vorbildlich von Facebook.
 
@JTRch: echt?

ich mag ja Facebook gar nicht, aber das ist ja echt mal "vorbildlich" ...
=> sollten alle so machen
 
@JTRch: also ich hab davon nichts mitbekommen, meine Email adresse ist aber im tumblr, 000webhost, myspace und adobe leak drinnen.
 
@baeri: Gegen die Bequemlichkeit der Leute ist kein Kraut gewachsen... manche lernen es eben nur auf die harte Tour.
 
@baeri: Ich bin zum Glück "Sicher" vor solchen Cross-Site-credentials. Ich habe mein Passwort oft geändert und mittlerweile weiß ich nicht mehr, welches Login ich wo verwende - daher bemühe ich immer die Passwort-Vergessen Funktion und lasse das Passwort dann ungeändert - bis zum nächsten mal :-)

Implizite 2-Wege-Authentifizierung :P
 
Leider wird diese "Panne" trotzdem nicht spurlos an Teamviewer vorbeigehen. Denn einige, auch hier, haben sofort ohne jeden Beweiß los gemeckert. Natürlich muss Teamviewer erst einmal analysieren und auswerten was passiert ist. Und solange keiner der Betroffenen 2FA-Benutzer bereit ist seine Logs zur Auswertung zur Verfügung zu stellen ist auch diese böswillige Behauptung letztendlich noch nicht bewiesen.
Auch die Reaktionszeit war noch durchaus angemessen. Ich werde Teamviewer auch weiterhin verwenden. Selbst wenn sie gehackt worden wären. Denn ein Remote-Programm ist immer ein Sicherheitsrisiko. Ich will nicht wissen wie viele Hintertüren und sicherheitsrelevante Bugs Microsoft in RDP hat.
 
@FileMakerDE: RDP ist ja auch nur was im LAN oder ueber VPN. Dann ist die Sicherheit von RDP recht irrelevant. Teamviewer ist ne Remote Fernwartung uebers internet, RDP fur lokale Netze
 
@ThreeM: Natürlich ist RDP über Internet erreichbar. Auszug Wikipedia: Das Remote Desktop Protocol (RDP) ist ein proprietäres Netzwerkprotokoll von Microsoft zum Darstellen und Steuern des Bildschirminhalts (Desktop) entfernter Computer.
Entfernte Computer sind nicht nur Lokale Netzwerke. Teamviewer ist nur die konfigurationsfreie eierlegende Wollmilchsau und erfüllt den gleichen Zweck mit zusätzlichen Extras.
 
@FileMakerDE: mit Ve4laub, Wiki ist da nicht genau, ein entfernter Computer kann innerhalb eines Lans sein und trotzdem nicht physikalisch greifbar. RDP verwendet eine relativ Schwäche Verschluesslung, benötigt (wenns uebers internet gehen soll) entsprechend aufgeweichte Firewall Rules( Ports). Es ist nicht dazu geeignet Verbindungen uebers Inzernet aufzubauen. Da is m8r Wurst was Wikipedia da sagt.
 
Beste Fernwartungstool überhaupt <3
 
@ceramicx: gibt es eigentlich gute Alternativen? Benutze seit jeh her teamviewer..
 
@yves_: es gibt zig alternativen die praktisch identisch funktionieren, fastviewer, logmein, netviewer, pcvisit usw
 
@0711: Fastviewer ist mal der größte Scheiß. Ewig lahme Verbindung, öfters mal Abbrüche, kann sporadisch einfach mal keine Verbidnung aufbauen usw
 
@yves_: ich bin, was meine privatrechner angeht, komplett auf anydesk umgestiegen.
 
@yves_: bin auch beruflich wie privat, komplett auf anydesk umgestiegen. natürlich hab ich auch noch TV für manche Bekannte, aber wo ichs kann nutze ich anydesk, dem übrigens auch noch ein funktioneller AU Modus komplett fehlt !
 
@yves_: Ich/Wir benutzen VPN + Dameware. Die Remotesoftware soll das tun, wofür Sie da ist, Verbindungs-Authentifizierung und Absicherung soll der VPN-Client übernehmen.

Läuft prima.
 
@dognose: Danke! Ohne Spass, es ist angenehm hier jemanden zu lesen der es versteht.
 
"Man habe bei allen Vorfällen bei TeamViewer bei der anschließenden Überprüfung feststellen können, dass diese Zugangsdaten bereits an anderer Stelle verwendet worden seien." - Wenn die Passwörter ordentlich gehasht in der Datenbank liegen, wie wollen die das dann festgestellt haben? Genauso die Info nach schwachen Passwörtern?
 
@max06.net: schwache passöwrter wären z.B. mit einem bruteforce gegen die eigene Infrastruktur nicht allzu schwer zu ermitteln...und wenn mans nur mit einem Wörterbuch macht bei dem man die 100 beliebtesten Passwörter drin hat ist so ein test auch schnell durch.
Wie sie allerdings herausgefunden haben dass die Passwörter bereits an anderer stelle genutzt werden? die listen sind ja mehr oder minder nicht geheim insofern könnte teamveiwer auch einfach mal die liste mit bei ihnen bekannten mailadressen o.ä. abgeglichen haben und halt auch mal draufballern
 
@max06.net: Vermutlich auf die selbe weise wie sie von den Vorfällen erfahren haben, durch den jeweils Betroffenen.
 
@daaaani: Klingt logisch - mehr Kaffee!
 
Das Schlimmste sind die meist beabsichtigten Fehlinformationen, die verbreitet werden. Genauso wie hier in diesem Artikel, bei dem mehrfach das Wort "Hack" verwendet wurde und man es durch die Formulierungen auch noch als bestätigt von Teamviewer wirken lässt.
 
@ouzo: Dieser Artikel hier ist einfach nur großer Dünsch. Das ist Bild-Niveau. Es gab keinen Hack.
 
@Nigg: In der Originalquelle, also Ars Technica, ist von gehackten Accounts die Rede: "TeamViewer confirms number of hacked user accounts is "significant""
Ich habe dennoch das Wort Hack aus der Headline entfernt, damit nicht der Eindruck entsteht, TV wäre gehackt worden. Dennoch ist in der Angelegenheit nicht zu vermeiden, das Wort zu verwenden, u. a. weil ein Hack den unerlaubten Zugriff auf Daten der Nutzer umschreibt. Und diese sind unbestritten.
 
@witek: Jetzt steht dort "Lücke". Das versetzt den Artikel immer noch in einen anderen Kontext. Als wäre eine Lücke bei Teamviewer ausgenutzt worden oder unbefugt in ein System eingedrungen. Das ist aber nicht erwiesen. Auch Ars Technika kann man hier unterstellen, dass ganze etwas voreingenommen zu kommunizieren. Ich bin der Meinung, dass wenn irgendeine Accountdatenbank bei Teamviewer gehackt worden wäre, weitaus mehr Konten betroffen wären. Und nicht nur eine lächerliche Anzahl an reddit -Teilnehmern, von denen auch niemand wirklich Logfiles veröffentlich hat. Bei LinkedIn und co. sind Millionen von Datensätzen abhanden gekommen und Teamviewer hat bestätigt, dass einige Datensätze zu Teamviewer-Konten passen. Das hat weder etwas mit einem Hack, noch mit einer Lücke zu tun, sondern ist einfach nur Dummheit auf Anwenderseite.
 
@Nigg: Du hast aber schon mehr gelesen als nur die Headline oder? Denn im Artikel steht mehrfach drin: Ja, es hat Missbrauch gegeben, aber nicht auf Basis der Schuld von TeamViewer.
Und worin besteht eigentlich die Voreingenommenheit von Ars? Zu fragen, was da passiert ist? Und zwar nachdem TeamViewer anfangs alles andere als glücklich agiert hat. Ich wünsche es dem Unternehmen zwar sehr, da auch ich die Software privat nutze und auch schätze, aber für ein endgültiges Fazit und ein klare Schuldzuweisung ist es derzeit noch zu früh. Deshalb verstehe ich das Bild-Argument jetzt einfach nicht und will es auch scharf zurückweisen.
 
@witek: Tatsache ist, dass deine Headline clickbait war. Sie klingt jetzt besser, ist aber immer noch nicht korrekt. Was für eine Lücke? Wo hat Teamviewer unglücklich agiert? Es gab eine ordnungsgemäße Pressemitteilung am 01.06. Was sollen sie denn auch sagen, außer dass die Nutzer selber schuld waren, solange nichts anderes bestätigt ist? Eine ordentliche Analyse braucht nun mal Zeit und wenn reddit-Nutzer dann einen Flamewar starten und keine Protokolle angeben ändert sich auch dadurch nichts. Ich kann auch behaupten mein Account bei WF gehackt worden. WF äußert sich nicht zur Lücke. Und nun?
 
@Nigg: Clickbait ist inzwischen so ein Wald und Wiesen-Vorwurf, genauso das mit Bild.
Und die Kommunikation von TeamViewer war alles andere als optimal, dabei bleibe ich, denn in den ersten Reaktionen sprach man schwammig von "Problemen".
Du schreibst richtig, dass eine Analyse Zeit benötigt. Das gilt aber für Schuld und Unschuld, denn viele haben den Eindruck, dass TeamViewer hier zunächst ganz laut "nicht unsere Schuld!" geschrieen hat, bevor man die Sache gründlich analysiert hat und sich überlegen konnte, ob man auch von sich aus etwas hätte besser machen können.
Und nochmal: Hast du den gesamten Text oben gelesen. Denn da steht eindeutig zB folgendes drin:

Schmidt betont, dass es keine Zweifel gebe, dass TeamViewer-Konten missbraucht worden sind. Aber: "Der Grund dafür war keine Schwachstelle bei TeamViewer", so Schmidt.

Und dein Vergleich hinkt etwas...
 
@witek: Du erwähnst im Artikel nicht, dass es da noch die Problematik mit dem DoS gab, die zeitgleich auftrat. Was ist da deiner Meinung nach schwammig in den Pressemitteilungen? Man bestätigt eben das, was man zum entsprechenden Zeitpunkt bestätigen kann. Und in den entsprechenden Logs wird wahrscheinlich eben genau nichts drin sein, weshalb man folgerichtig auch einen Hack ausschließen konnte. Außerdem wurden zeitnah Security Features nachgeschoben, die eben genau die Konten sichern, für den Fall, dass das Passwort zu weich ist. Die wurden aber eben nicht spontan entwickelt, sondern waren schon länger in der Planung. Man kann hier also auch keine Fahrlässigkeit nachsagen. Was soll denn noch passieren? Jedem Nutzer den Hintern pudern? Für jeden drei Kronjuwelen Schadenersatz? Hauptsache man kann etwas dramatisieren. Hier ein neutraler Artikel zu dem Thema, ohne Clickbait: http://goo.gl/GmfsUK
 
Tja das große Problem mit den Passwörtern. Der Passwortschutz wurde erfunden als die Rechner nicht mehr rechenleistung als gewöhnliche Taschenrechner besaßen. Heute hat jeder normale Computer bereits mehrere Terraflops leistung und kann Passwörter in windeseile Knacken. Nur sind in der Zwischenzeit die Passwörter nicht viel besser geworden.

Es gibt quasi niemanden der seine Passwörter nur einmal verwendet und besonders schwer sind diese meist auch nicht, ist ja auch logisch, man will sie ja im Kopf behalten.

Jemanden beizubringen sich ein Passwortbuch anzulegen, ist eine schwierige Sache genauso das die Passwörter mit großen und kleinen Buchstaben, Zahlen und Sonderzeichen sein sollen.

Meiner meinung nach wird es Zeit etwas besseres zu erfinden / nutzen.
 
@MOSkorpion: Ich glaube hier auf Winfuture wurde vor kurzem knapp erwähnt, Google forsche an Alternativen zu den klassischen Passwörtern, und etwas davon fände ggf. seinen Weg schon in die nächste Android-Version.

Die Newsmeldung war nur recht allgemein gehalten, Details waren keine zu entnehmen - aber erwartungsgemäß regte sich in den Kommentaren sofort die lautstarke Kritik der Reflex-Bedenkenträger, die etwaige neue Verfahren bereits ohne jegliche Kenntnis, wie genau diese nun aussehen sollten, als unbrauchbar, Spionagewerkzeug, unsicher etc. "erkannten" ;)
 
@FenFire: Du meint das, oder? ...war sogar ein eigener Artikel und mehr als eine Erwähnung.
http://winfuture.de/news,92441.html
 
@witek: Ah, danke! War offenbar nur relativ bruchstückhaft in meinem Gedächtnis hängen geblieben... ich werde alt...
 
@MOSkorpion: Wurde schon erfunden. Nennt sich KeyPass (oder ähnliche Tools)
Dank aktueller Verschlüsselungsmethoden deutlich sicherer als das erwähnte Passwortbuch und dabei noch deutlich praktischer.

So verwalte ich jedenfalls kapp 300 Passwörter, von denen ich die wenigsten jemals im Klartext gesehen habe. Und üblicherweise reize ich auch die maximale Passwortstärke der jeweiligen Anbieter aus. So habe ich zum Beispiel bei Eve Online ein 64 stelliges Passwort, weil der Anbieter das erlaubt...

Davon mal abgesehen, ist ein Brute Force auf ein einzelnes Passwort eher unüblich. Da sind Datenbank-Hacks zusammen mit Rainbow Tables deutlich effektiver.
Wozu mehrere Tage Rechenzeit für nur ein Passwort verschwenden, wenn man direkt hunderte oder gar tausende knacken kann.
 
Die Two-Factor Authentication is nicht ausgehebelt worden? Gibt einige Fälle wo die Leute sagten dass das so wäre, ich frag mich ob die alle Lügen oder ob die Firma das nicht zugibt und es heimlich, still und leise auf ihren Servern gepatcht hat.

EDIT: Hmm, ich hab gerade überlegt ob die nicht einfach ihr E-Mail-Konto mit dem gleichen Passwort ausgestattet hatten und die "Hacker" einfach die Two-Factor-Auth gekillt haben... Aber das würde nicht gehen, weil man diesen Einmalcode zum Deaktivieren der 2FA beim Aktivieren davon bekommt... komisch.
 
Größtes Problem ist TeamViewer - sollte keiner verwenden, der regelmäßig VNC nutzen möchte / muss und sich stattdessen eine alternative Lösung suchen die er selber vernünftig administrieren kann. Auch für den Ziel-Client angepasste Serverfiles sollten kein Problem sein.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles