Forum: Offtopic Datensatz mit Millionen Passwörtern und Mailadressen entdeckt

troow schrieb:
> Ist da was dran?

Wenn man mit "Collection #1" sucht, findet man einige Berichte dazu.

Mal paar Adressen durch genudelt, hat nicht lange gedauert (Bild).

Allerdings verstehe ich die Information nicht richtig: Es sind 773 Mio. 
Mail-Adressen und 21 Mio. Passwörter aufgetaucht. Wenn immer ein 
Passwort zu einer Mailadresse gehört, kann man schon mal 752 Mio. 
Mailadressen den Lokus runter spülen.

Sind nun auch die Zugehörigkeiten bekannt? Oder gibt es nur eine Liste 
Mailadressen und eine Liste Passwörter? Dann könnte man diese beiden 
Listen ebenfalls im Lokus runter spülen.

Gustav K. schrieb:
> Sind nun auch die Zugehörigkeiten bekannt?

Nicht für alles, pwnded listet ja (weiter unten), in welcher Liste die 
Daten gefunden wurden. Dropbox, Adobe & Co sind eindeutig. Die neue 
Collection und die anderen sind einfach nur Listen woher auch immer. Bei 
einem Kunden ist eine Firmenadresse eines Mitarbeiters gleich in drei so 
quellenlosen Listen und prompt wurde heute sein Office365-Account zum 
Spammen benutzt (im Sent Ordner tauchten viele russische Mails 
auf...). Hat er wohl sein Passwort mehrfach benutzt und bei outlook.com 
hat der Versuch dann geklappt.

Ich find das irgendwie lustig...

Gib doch mal schnell Deine eMail-Adresse und Dein Kennwort hier ein, 
damit wir prüfen können, ob es in den geleakten Daten enthalten ist. 
Klasse, hinterher kannst man sich ganz sicher sein, daß es entweder in 
der bereits bestehenden oder wenn schon nicht da, dann in der neuen 
Datenbank enthalten ist. Klasse Idee.

Ben B. schrieb:
> Ich find das irgendwie lustig...

Klar, wenn man seine Mail-Adresse und das zugehörige Passwort und 
dann vielleicht beides noch vom selben PC/IP Adresse eingibt....aber 
dann hat man es vielleicht auch nicht anders verdient.
Dort steht ja extra, man soll keine aktuellen Passwörter eingeben.

Christian R. schrieb:
> Ben B. schrieb:
>> Ich find das irgendwie lustig...
>
> Klar, wenn man seine Mail-Adresse und das zugehörige Passwort und
> dann vielleicht beides noch vom selben PC/IP Adresse eingibt....aber
> dann hat man es vielleicht auch nicht anders verdient.
> Dort steht ja extra, man soll keine aktuellen Passwörter eingeben.


Naja, man kann da auch mehrere Mail-Adressen eingeben und mehrere 
Passwörter ausprobieren

Man gibt dort beides NICHT zusammen ein!

Die Meldung wirft gleichwohl Fragen auf:

1. Welcher Idiot entwirft eine Datenbank mit einer sechsstelligen Anzahl 
von Feldern je Datensatz?

2. Wie viele derartige Datensätze sind noch zu erwarten?

3. Welchen Bildungsabschluss darf man höchstens haben, um in Deutschland 
Nachrichten verfassen zu dürfen?

4. Was wird für derartige Übersetzungen bezahlt?

Die Passwortkontrolle der Seite ist ja mal für die Katz.
Nur weil dort steht das dieses Passwort bereits existiert heißt es noch 
lange nicht das es "Pwned" ist.

Das mit den Emailadressen fand ich schon deutlich interessanter, dort 
hatte ich einen Treffer aber der ist unwichtig.

Anbei noch ein Screenshot vom Passwort ;-)

Holger L. schrieb:
> Die Passwortkontrolle der Seite ist ja mal für die Katz.
> Nur weil dort steht das dieses Passwort bereits existiert heißt es noch
> lange nicht das es "Pwned" ist.

Wenn 4 Mio Leute das gleiche Password verwenden...
Sollte er denn nach Login+Password fragen? ;-)

Hat jemand nen download link für die ganze Tabelle? Ich schau nämlich 
lieber selbst nach anstatt irgendwo auf dubiosen Seiten Formulare 
auszufüllen und dann doch nicht die Info zu bekommen die ich suche.

Bernd K. schrieb:
> Hat jemand nen download link für die ganze Tabelle? Ich schau nämlich
> lieber selbst nach anstatt irgendwo auf dubiosen Seiten Formulare
> auszufüllen und dann doch nicht die Info zu bekommen die ich suche.

Irgendwo gelesen, die Datei ist um die 60GB groß.

Da könntest du auch andere Namen finden und ausprobieren.

Ich habe auch ähnliche Namen ausprobiert um zu schauen, was passiert.

A. K. schrieb:
> Sollte er denn nach Login+Password fragen? ;-)

Natürlich, sonst kann man die Daten doch gar nicht verifizieren :)

Bernd K. schrieb:
> Hat jemand nen download link für die ganze Tabelle? Ich schau nämlich
> lieber selbst nach anstatt irgendwo auf dubiosen Seiten Formulare
> auszufüllen und dann doch nicht die Info zu bekommen die ich suche.

Auf dem seiner Webseite schrieb er was von 87GB, ein anderer Nutzer (in 
den Kommentaren) sogar etwas von ~1TB es gibt anscheinend Collection 1 - 
5.
Da die Daten sensible Informationen enthalten wurden die anscheinend 
gelöscht und sollten nur noch auf noch dubioseren Seiten zu finden 
sein...

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Meine GMX-E-Mail ist angeblich auch Pwnd!
Laut HIBP "Collection #1 (unverified). Compromised data: Email 
addresses, Passwords".
Da ich einen Mac benutze, Software nur aus vertrauenswürdigen Quellen 
installiere und auch mit Email-Anhängen extrem vorsichtig bin, halte ich 
es für eher unwahrscheinlich, dass mein Rechner gehackt wurde.
An der Stelle frage ich mich jetzt, wie genau die an mein Passwort 
gekommen sind? Bei GMX habe ich mein Passwort das letzte mal Mitte 2016 
geändert und ich mache das grundsätzlich nie per Klick auf Mail-Links. 
Zudem speichern die bekannten Anbieter doch angeblich schon seit vielen 
Jahren die PWs nur als saltet Hash (und damit meine ich nicht MD5).

Ich hatte den Dienst HIBP so verstanden, dass in meinem Fall eben nicht 
nur der Benutzername bekannt ist sondern auch das Passwort im Klartext - 
oder haben die da Millionen von Hashwerten gespeichert? Der Download 
dieser Liste würde mich auch interessieren, um zu sehen welches Passwort 
die in welcher Form von mir haben. Da die Liste eh schon geleaked ist, 
sollte der Download unkritisch sein. Hat jemand einen Link?

Die Passwort-Abgleich-Funktion bei HIBP macht sowieso nur dann Sinn, 
wenn man ein einzigartiges Passwort nutzt. Trotzdem würde ich das da nie 
eingeben und es damit verbrennen.

Inzwischen tauchen oft solche Sammlungen auf. Vermute stark dass da 
vieles aus anderen Datenbanken drin ist.

Hax0r P. schrieb:
> . Zudem speichern die bekannten Anbieter doch angeblich schon seit
> vielen Jahren die PWs nur als saltet Hash

Es geht nicht um den email account. Es geht um andere Seiten, wo der 
Account als benutzername für den login genutzt wird. Also z. B. Paypal 
und viele viele andere.

Claus M. schrieb:
> Es geht um andere Seiten, wo der
> Account als benutzername für den login genutzt wird. Also z. B. Paypal
> und viele viele andere.

Vielen Dank, da hast Du wohl recht. Aber auch Paypal & Co speichern 
keine Klartext-Passwörter soweit ich weiß?!? Als Betroffener wäre es 
doch wichtig zu wissen ob in der Liste das Klartext-Passwort steht oder 
"nur" ein nach heutigen Maßstäben immer noch nutzloser salted Hash. 
Soviel sollten die originalen Daten doch eigentlich hergeben. Beim 
salted Hash hat wohl jemand die DB geknackt und man ändert 
sicherheitshalber alle seine Passwörter. Beim Klartext-Passwort wüsste 
ich zwar sofort welcher Anbieter in Frage kommt, würde mich aber fragen 
wo das abgegriffen wurde (manipuliertes Login-Script auf dem Server, 
Angriff auf lokal gespeicherte Logins im Firefox, etc.)? Im Zweifel dann 
alles ändern und Computer neu installieren. Aber so tappt man ja völlig 
im Dunkeln.

Eben ein Beitrag im Radio zum Thema: Böse Buben nutzten wohl beliebige 
Kombinationen von Mailadressen und Passwörtern, irgendwann würde solch 
eine Kombination schon irgendwo passen.

Bei web.de sah ich mal die Meldung, dass da 2 nicht erfolgreiche 
Login-Versuche stattfanden, die aber nicht von mir waren. Im Supermarkt 
war mal jemand vor mir, der hatte ein Problem mit seiner Pin. Die Dame 
an der Kasse meinte, nach dem 3. Versuch sei die Karte gesperrt.

Verhält sich dies bei eMail, Ebay, Online-Banking oder PayPal nicht 
ähnlich? Würde mal annehmen, nach einer Anzahl von Versuchen ist der 
Account gesperrt. Habe es aber noch nie probiert. Hat jemand 
Erfahrungen, wie sich dies verhält, wenn man rumprobiert?