Ist da was dran? https://web.de/magazine/digital/datensatz-millionen-passwoertern-mailadressen-entdeckt-33519800#.homepage.hero.Millionen%20Passwörter%20geleakt.0
:
Verschoben durch Moderator
Zumindest kann man so eine grosse Menge Anmeldedaten sammeln. :)
Beitrag #5700172 wurde vom Autor gelöscht.
troow schrieb: > Ist da was dran? Wenn man mit "Collection #1" sucht, findet man einige Berichte dazu.
Mal paar Adressen durch genudelt, hat nicht lange gedauert (Bild). Allerdings verstehe ich die Information nicht richtig: Es sind 773 Mio. Mail-Adressen und 21 Mio. Passwörter aufgetaucht. Wenn immer ein Passwort zu einer Mailadresse gehört, kann man schon mal 752 Mio. Mailadressen den Lokus runter spülen. Sind nun auch die Zugehörigkeiten bekannt? Oder gibt es nur eine Liste Mailadressen und eine Liste Passwörter? Dann könnte man diese beiden Listen ebenfalls im Lokus runter spülen.
Gustav K. schrieb: > Sind nun auch die Zugehörigkeiten bekannt? Nicht für alles, pwnded listet ja (weiter unten), in welcher Liste die Daten gefunden wurden. Dropbox, Adobe & Co sind eindeutig. Die neue Collection und die anderen sind einfach nur Listen woher auch immer. Bei einem Kunden ist eine Firmenadresse eines Mitarbeiters gleich in drei so quellenlosen Listen und prompt wurde heute sein Office365-Account zum Spammen benutzt (im Sent Ordner tauchten viele russische Mails auf...). Hat er wohl sein Passwort mehrfach benutzt und bei outlook.com hat der Versuch dann geklappt.
Ich find das irgendwie lustig... Gib doch mal schnell Deine eMail-Adresse und Dein Kennwort hier ein, damit wir prüfen können, ob es in den geleakten Daten enthalten ist. Klasse, hinterher kannst man sich ganz sicher sein, daß es entweder in der bereits bestehenden oder wenn schon nicht da, dann in der neuen Datenbank enthalten ist. Klasse Idee.
Ben B. schrieb: > Ich find das irgendwie lustig... Klar, wenn man seine Mail-Adresse und das zugehörige Passwort und dann vielleicht beides noch vom selben PC/IP Adresse eingibt....aber dann hat man es vielleicht auch nicht anders verdient. Dort steht ja extra, man soll keine aktuellen Passwörter eingeben.
Christian R. schrieb: > Ben B. schrieb: >> Ich find das irgendwie lustig... > > Klar, wenn man seine Mail-Adresse und das zugehörige Passwort und > dann vielleicht beides noch vom selben PC/IP Adresse eingibt....aber > dann hat man es vielleicht auch nicht anders verdient. > Dort steht ja extra, man soll keine aktuellen Passwörter eingeben. Naja, man kann da auch mehrere Mail-Adressen eingeben und mehrere Passwörter ausprobieren Man gibt dort beides NICHT zusammen ein!
Die Meldung wirft gleichwohl Fragen auf: 1. Welcher Idiot entwirft eine Datenbank mit einer sechsstelligen Anzahl von Feldern je Datensatz? 2. Wie viele derartige Datensätze sind noch zu erwarten? 3. Welchen Bildungsabschluss darf man höchstens haben, um in Deutschland Nachrichten verfassen zu dürfen? 4. Was wird für derartige Übersetzungen bezahlt?
Die Passwortkontrolle der Seite ist ja mal für die Katz. Nur weil dort steht das dieses Passwort bereits existiert heißt es noch lange nicht das es "Pwned" ist. Das mit den Emailadressen fand ich schon deutlich interessanter, dort hatte ich einen Treffer aber der ist unwichtig. Anbei noch ein Screenshot vom Passwort ;-)
Holger L. schrieb: > Die Passwortkontrolle der Seite ist ja mal für die Katz. > Nur weil dort steht das dieses Passwort bereits existiert heißt es noch > lange nicht das es "Pwned" ist. Wenn 4 Mio Leute das gleiche Password verwenden... Sollte er denn nach Login+Password fragen? ;-)
Hat jemand nen download link für die ganze Tabelle? Ich schau nämlich lieber selbst nach anstatt irgendwo auf dubiosen Seiten Formulare auszufüllen und dann doch nicht die Info zu bekommen die ich suche.
Bernd K. schrieb: > Hat jemand nen download link für die ganze Tabelle? Ich schau nämlich > lieber selbst nach anstatt irgendwo auf dubiosen Seiten Formulare > auszufüllen und dann doch nicht die Info zu bekommen die ich suche. Irgendwo gelesen, die Datei ist um die 60GB groß. Da könntest du auch andere Namen finden und ausprobieren. Ich habe auch ähnliche Namen ausprobiert um zu schauen, was passiert.
A. K. schrieb: > Sollte er denn nach Login+Password fragen? ;-) Natürlich, sonst kann man die Daten doch gar nicht verifizieren :) Bernd K. schrieb: > Hat jemand nen download link für die ganze Tabelle? Ich schau nämlich > lieber selbst nach anstatt irgendwo auf dubiosen Seiten Formulare > auszufüllen und dann doch nicht die Info zu bekommen die ich suche. Auf dem seiner Webseite schrieb er was von 87GB, ein anderer Nutzer (in den Kommentaren) sogar etwas von ~1TB es gibt anscheinend Collection 1 - 5. Da die Daten sensible Informationen enthalten wurden die anscheinend gelöscht und sollten nur noch auf noch dubioseren Seiten zu finden sein... https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
Meine GMX-E-Mail ist angeblich auch Pwnd! Laut HIBP "Collection #1 (unverified). Compromised data: Email addresses, Passwords". Da ich einen Mac benutze, Software nur aus vertrauenswürdigen Quellen installiere und auch mit Email-Anhängen extrem vorsichtig bin, halte ich es für eher unwahrscheinlich, dass mein Rechner gehackt wurde. An der Stelle frage ich mich jetzt, wie genau die an mein Passwort gekommen sind? Bei GMX habe ich mein Passwort das letzte mal Mitte 2016 geändert und ich mache das grundsätzlich nie per Klick auf Mail-Links. Zudem speichern die bekannten Anbieter doch angeblich schon seit vielen Jahren die PWs nur als saltet Hash (und damit meine ich nicht MD5). Ich hatte den Dienst HIBP so verstanden, dass in meinem Fall eben nicht nur der Benutzername bekannt ist sondern auch das Passwort im Klartext - oder haben die da Millionen von Hashwerten gespeichert? Der Download dieser Liste würde mich auch interessieren, um zu sehen welches Passwort die in welcher Form von mir haben. Da die Liste eh schon geleaked ist, sollte der Download unkritisch sein. Hat jemand einen Link? Die Passwort-Abgleich-Funktion bei HIBP macht sowieso nur dann Sinn, wenn man ein einzigartiges Passwort nutzt. Trotzdem würde ich das da nie eingeben und es damit verbrennen.
Inzwischen tauchen oft solche Sammlungen auf. Vermute stark dass da vieles aus anderen Datenbanken drin ist.
Hax0r P. schrieb: > . Zudem speichern die bekannten Anbieter doch angeblich schon seit > vielen Jahren die PWs nur als saltet Hash Es geht nicht um den email account. Es geht um andere Seiten, wo der Account als benutzername für den login genutzt wird. Also z. B. Paypal und viele viele andere.
:
Bearbeitet durch User
Claus M. schrieb: > Es geht um andere Seiten, wo der > Account als benutzername für den login genutzt wird. Also z. B. Paypal > und viele viele andere. Vielen Dank, da hast Du wohl recht. Aber auch Paypal & Co speichern keine Klartext-Passwörter soweit ich weiß?!? Als Betroffener wäre es doch wichtig zu wissen ob in der Liste das Klartext-Passwort steht oder "nur" ein nach heutigen Maßstäben immer noch nutzloser salted Hash. Soviel sollten die originalen Daten doch eigentlich hergeben. Beim salted Hash hat wohl jemand die DB geknackt und man ändert sicherheitshalber alle seine Passwörter. Beim Klartext-Passwort wüsste ich zwar sofort welcher Anbieter in Frage kommt, würde mich aber fragen wo das abgegriffen wurde (manipuliertes Login-Script auf dem Server, Angriff auf lokal gespeicherte Logins im Firefox, etc.)? Im Zweifel dann alles ändern und Computer neu installieren. Aber so tappt man ja völlig im Dunkeln.
Eben ein Beitrag im Radio zum Thema: Böse Buben nutzten wohl beliebige Kombinationen von Mailadressen und Passwörtern, irgendwann würde solch eine Kombination schon irgendwo passen. Bei web.de sah ich mal die Meldung, dass da 2 nicht erfolgreiche Login-Versuche stattfanden, die aber nicht von mir waren. Im Supermarkt war mal jemand vor mir, der hatte ein Problem mit seiner Pin. Die Dame an der Kasse meinte, nach dem 3. Versuch sei die Karte gesperrt. Verhält sich dies bei eMail, Ebay, Online-Banking oder PayPal nicht ähnlich? Würde mal annehmen, nach einer Anzahl von Versuchen ist der Account gesperrt. Habe es aber noch nie probiert. Hat jemand Erfahrungen, wie sich dies verhält, wenn man rumprobiert?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.