[WICHTIGE INFO] Sicherheitshinweis: Warum ihr sichere Passwörter benutzen solltet

48
eingestellt am 10. Nov 2017Bearbeitet von:"David"
Um erstmal zur allgemeinen Beruhigung beizutragen: Nein, wir wurden nicht gehackt.

Natürlich - wie so oft - gibt es aber auch an dieser Stelle ein (sehr) großes ABER. Ein paar von euch haben in den vergangenen Wochen Nachrichten von einem Amazon-Marketplace-Händler mit der "Bitte" bekommen, doch ihre Produkte hier bei uns zu posten. Das Merkwürdige an der Sache war, dass diese Nachrichten direkt an eure E-Mail-Adressen geschickt wurden. Da haben bei uns natürlich erstmal direkt die Alarmglocken geläutet, da es ähnliche Vorkommnisse auch bei unseren englischen Kollegen von HotUKDeals gab. Wurden wir Opfer einer erfolgreichen Hacking-Attacke? Die gute Nachricht: In unseren Server-Logs gibt es dafür nicht den geringsten Hinweis. Die E-Mail-Adressen mussten also von woanders stammen.

Um heraus zu finden, wer überhaupt hinter diesen Nachrichten steckt, haben wir uns dann selber mal - natürlich mit einer privaten E-Mail-Adresse - an den Absender gewendet (mydealz Undercover sozusagen) und unser Interesse bekundet, Deals von ihnen gegen Bezahlung hier bei mydealz zu posten. Die Antwort ließ dann auch nicht lange auf sich warten und - man möchte fast sagen natürlich - steckt da ein chinesischer Amazon-Marketplace-Händler dahinter.

Interessanter Weise der gleiche Händler, dessen Deals so unnatürlich heiß geworden sind und bei denen auch das Vote-Verhalten so auffällig war, dass schon damals unsere Fraud-Detection-Systeme angeschlagen haben. Ja - einige werden es schon ahnen - es hat was mit Fitnessbändern, Tauchmasken, polarisierten Sonnenbrillen und Kohlenmonoxidmeldern zu tun.

Damals konnten wir uns allerdings keinen wirklichen Reim drauf machen. Denn die zum Voten genutzten Accounts sahen im Prinzip komplett normal aus. Teilweise seit vielen Jahren angemeldet, aktive Kommentar- und Dealposter. Einen internen Leak konnten wir damals ausschließen. Denn da wir eure Passwörter nicht im Klartext speichern, hätte sich selbst für den Fall, dass es einen gegeben hätte, niemand in die Accounts einloggen können. Wurden die Accounts also verkauft? Auch das erschien uns aufgrund der Verteilung und Anzahl eher unwahrscheinlich.

Erst als wir die Verbindung zu den verschickten Spam-Mails herstellen konnten, wurde uns klar, dass die Zugangsdaten der betroffenen Accounts mit hoher Wahrscheinlichkeit von woanders stammen müssen. Also fingen wir an die potentiell betroffenen Accounts bzw. E-Mail-Adressen bei Have I Been Pwned zu testen. Wer die Seite nicht kennt: Sie kaufen im Internet geleakte Datensätze auf und stellen damit eine Abfrage zur Verfügung, ob die eigenen Daten Opfer eines solchen Leaks geworden sind. Besonders bekannt sind mit Sicherheit die Fälle Dropbox oder Yahoo, aber natürlich gibt es noch jede Menge weiterer Fälle, in denen personenbezogene Daten von Hackern erbeutet und anschließend verkauft worden sind.

Langer Rede kurzer Sinn: Rund 99% der E-Mail-Adressen (dass auch Have I Been Pwned nicht über alle Daten verfügt, liegt in der Natur der Sache), die wir getestet haben, waren von mindestens einem, meist von mehreren Leaks betroffen. Auch zeitlich gab es große Korrelationen zwischen Zeitpunkt des jeweiligen Leaks und Registrierung des mydealz-Accounts. Der Verdacht liegt also sehr nahe, dass diese gestohlenen Daten dazu genutzt wurden, sich in bestehende mydealz-Accounts einzuloggen. Wo dies nicht klappte, wurden dann vermutlich die besagten E-Mails rausgeschickt, um mit den Daten "zumindest etwas" anfangen zu können.



Insgesamt gehen wir von rund ~ 2600 betroffenen Accounts aus. Wir haben bei allen das Passwort resettet und eine Mail an die hinterlegen E-Mail-Adressen zum Zurücksetzen des Passworts rausgeschickt. Laut unseren Daten wurden die gekaperten Accounts ausschließlich zum Voten der besagten Deals genutzt. Es gab z.B. laut unserer Analyse keinen Zugriffe auf die privaten Nachrichten.

Um es noch einmal klar zu sagen: Es gab keinen Leak eurer Daten unsererseits! Es scheinen ausschließlich Accounts betroffen zu sein, deren Daten beim Angriff auf andere Seiten kompromittiert wurden und die höchstwahrscheinlich dasselbe Passwort für mehrere Webseiten genutzt haben. Das solltet ihr nach Möglichkeit NIE tun!



Was gibt es also für euch zu tun?

Wenn ihr euch plötzlich nicht mehr einloggen könnt und eine Mail zum Zurücksetzen des Passworts bekommen habt, dann tut dies und verwendet ein Passwort, dass ihr sonst nirgendwo anderes verwendet (ein Anleitung dazu findet ihr ganz unten in diesem Thread).
Auch wenn ihr aktuell nicht betroffen seid, aber wisst, dass ihr euer Passwort von hier auch auf anderen Seiten benutzt: Ändert es, hier und überall anders, verwendet nach Möglichkeit nie dasselbe Passwort für mehr als eine Seite!

Was gibt es für uns zu tun?

Wir werden zunächst unseren Bot-Check, den wir bereits in den Kommentaren nutzen, auf die Login-/Registrierungsseite ausweiten. Zusätzlich werden wir - so wie viele von euch es vermutlich z.B. von Google kennen - ein System entwickeln, dass euch darüber informiert, wenn von einem neuen Gerät auf euren Account bei mydealz zugegriffen wird. Zusätzlich werden wir versuchen, unserer Fraud-Detection-System weiter zu verbessern, um so etwas in Zukunft früher zu erkennen.



Wie schafft und merkt man sich ein sicheres Passwort?

Ich zitiere hier mal das Bundesamt für Sicherheit in der Informationstechnik:

Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Hier ein Beispiel:
"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".
Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut. Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren.

Wichtig ist hierbei, dass sich der Benutzer des Passwortes den Satz selbst ausgedacht hat. Werden zum Beispiel die Anfangsbuchstaben eines Literaturzitates als Passwort gewählt, dann ist prinzipiell die Möglichkeit einer Wörterbuchattacke nicht viel unrealistischer, als wenn direkt ein Wort verwendet würde. Dies trifft natürlich insbesondere für weithin bekannte Zitate zu.
Grundsätzlich sinnvoll ist es immer, echten Zufall in den Prozess der Auswahl eines Passwortes zu integrieren. Zum Beispiel kann man durch den Wurf einer Münze entscheiden, ob ein "und" im zugrundeliegenden Satz durch ein u oder durch & dargestellt wird.


Passwörter regelmäßig ändern

Jedes Passwort sollte in regelmäßigen Zeitabständen geändert werden. Viele Programme erinnern Sie automatisch daran, wenn Sie das Passwort zum Beispiel schon ein halbes Jahr benutzen. Diese Aufforderung nicht gleich wegklicken – sondern ihr am besten gleich nachkommen!



Unabhängig davon kann euch auch ein Passwort-Manager helfen, für jede Webseite unterschiedliche sichere Passwörter zu verwenden ohne sie euch merken zu müssen. Nur auch hier solltet ihr als Masterpasswort natürlich ein entsprechend sicheres nutzen. Persönlich empfehlen kann ich hier z.B. LastPass oder 1Password, aber es gibt zahlreiche Alternativen, teilweise kostenpflichtig oder als kostenlose Open-Source-Lösungen.
Zusätzliche Info
Diverses
Beste Kommentare
wann krieg ich mal endlich so ein Angebot vom Chinesen?
Ist mein Passwort (geheim007!) sicher?
Ich bin noch eingeloggt. Sheesh.

Guter Hinweis, gut ermittelt und transparent gemacht, gefällt mir
48 Kommentare
SKANDAL


Mein Passwort wurde auch zurück gesetzt. Dabei habe ich für MyDealz extra eine separate Email Adresse und ein separates Passwort. Das konnte also nirgendwo abgegriffen sein, außer ich bin von einem Trojaner befallen.
Bearbeitet von: "Syntheseprodukt" 10. Nov 2017
was ist mit Facebook Usern? Facebook Passwort ändern?
Ich bin noch eingeloggt. Sheesh.

Guter Hinweis, gut ermittelt und transparent gemacht, gefällt mir
Ist mein Passwort (geheim007!) sicher?
Also hat ein China Händler mydealzer auf ihrer privaten E-Mail angeschrieben, und ihr geht davon aus, dass der die Mails aus einem Leak, z.B. bei dropbox hatte - und woher wusste der dann, welche der 100 Millionen geleakten Mailadressen mydealzern gehören?
"""Es scheinen ausschließlich Accounts betroffen zu sein, deren Daten beim Angriff auf andere Seiten kompromittiert wurden und die höchstwahrscheinlich dasselbe Passwort für mehrere Webseiten genutzt haben. Das solltet ihr nach Möglichkeit NIE tun!"""


Aber Herr David.
Ich bin doch nicht unter (minder) bemittelt

Neues Passwort: !!!Wintersbone!!!. Is das jetzt besser(sicherer)?
leeroy.jenkins10. Nov 2017

was ist mit Facebook Usern? Facebook Passwort ändern?


Natürlich könnte auch dein Facebook-Account betroffen sein, aber da haben wir natürlich keine Infos.

Pat66610. Nov 2017

Also hat ein China Händler mydealzer auf ihrer privaten E-Mail …Also hat ein China Händler mydealzer auf ihrer privaten E-Mail angeschrieben, und ihr geht davon aus, dass der die Mails aus einem Leak, z.B. bei dropbox hatte - und woher wusste der dann, welche der 100 Millionen geleakten Mailadressen mydealzern gehören?



Ein Matching über Accountnamen etc. ist nun wirklich kein Hexenwerk. Letztendlich kann man es auch Brute-Forcen, wenn man genügend VPNs hat zum Wechseln.
Sicher, dass die nicht einfach den Spam an username@gmail/yahoo/gmx/... rauskloppen?
Bearbeitet von: "b1os" 10. Nov 2017
Wenn hier wieder was umgesetzt wird wie zB das neue Design, na dann gute Nacht.
Vielen_Dank_fßr_den_schnellen_Antwort.
[] spawn life_fnc_autoMessages; //

Hatte auch gerade die Mail, aber das ist eher unwahrscheinlich, hatte die vor kurzem erst auf betreffenden Seiten gecheckt. Macht aber nix, danke für die gute Arbeit in dem Fall.
Bearbeitet von: "PauliEffect" 10. Nov 2017
David10. Nov 2017

...gestohlenen Daten dazu genutzt wurden, sich in bestehende …...gestohlenen Daten dazu genutzt wurden, sich in bestehende mydealz-Accounts einzuloggen. Wo dies nicht klappte, wurden dann vermutlich die besagten E-Mails rausgeschickt, um mit den Daten "zumindest etwas" anfangen zu können.



David10. Nov 2017

Letztendlich kann man es auch Brute-Forcen, wenn man genügend VPNs hat zum …Letztendlich kann man es auch Brute-Forcen, wenn man genügend VPNs hat zum Wechseln.


Sorry, ich kapiers nich. Wenn ich eine beliebige geleakte Mail/Passwort Kombo hab, der Login auf mydealz damit aber nicht funktioniert weil das Passwort dort ein anderes ist - wie kann man dann Brute-Forcen ob die Mailadresse einem mydealzer gehört?
Wurde bei allen das Passwort zurück gesetzt oder nur bei den Betroffenen Accounts
Weder meine eigens für diesen Account angelegte E-Mail-Adresse, noch der Benutzername haben einen Eintrag bei Have I Been Pwned. (Wobei es mich jetzt ärgert die Daten dort eingegeben zu haben, war aber neugierig )
Mein Passwort wurde dennoch zurückgesetzt. Bedeutet das Vote-Verhalten meines Accounts ist auffällig und ich gehöre zu dem einen %. Danke für die Mitteilung, werde es mal selbst Beobachten.
Bearbeitet von: "Flowtek" 10. Nov 2017
wann krieg ich mal endlich so ein Angebot vom Chinesen?
Für die Aufklärung und Transparenz... ein Hot!
Danke gleich mal gewechselt sicher ist sicher Ms1a&pmmZ3M1
Pat66610. Nov 2017

Sorry, ich kapiers nich. Wenn ich eine beliebige geleakte Mail/Passwort …Sorry, ich kapiers nich. Wenn ich eine beliebige geleakte Mail/Passwort Kombo hab, der Login auf mydealz damit aber nicht funktioniert weil das Passwort dort ein anderes ist - wie kann man dann Brute-Forcen ob die Mailadresse einem mydealzer gehört?


Es wurden ja nicht nur E-Mail und Passwort erbeutet, sondern teilweise auch Accountnamen/Logins. Ob diese vorhanden sind bei mydealz lässt sich ja sehr leicht rausfinden. Klappt der Login mit den geklauten/kauften Daten nicht -> E-Mail rausschicken.

Flowtek10. Nov 2017

Weder meine eigens für diesen Account angelegte E-Mail-Adresse, noch der …Weder meine eigens für diesen Account angelegte E-Mail-Adresse, noch der Benutzername haben einen Eintrag bei Have I Been Pwned. (Wobei es mich jetzt ärgert die Daten dort eingegeben zu haben, war aber neugierig )Mein Passwort wurde dennoch zurückgesetzt. Bedeutet das Vote-Verhalten meines Accounts ist auffällig und ich gehöre zu dem einen %. Danke für die Mitteilung, werde es mal selbst Beobachten.



Das muss erstmal gar nix bedeuten. Wir haben da eine recht großzügige Regelung angewendet, um wirklich alle potentiell betroffenen Accounts zu erreichen. Wenn Deine E-Mail da nicht gelistet wurde, stehen die Chancen meiner Meinung nach gut, dass du dir keine weiteren Gedanken machen musst.
Flowtek10. Nov 2017

Weder meine eigens für diesen Account angelegte E-Mail-Adresse, noch der …Weder meine eigens für diesen Account angelegte E-Mail-Adresse, noch der Benutzername haben einen Eintrag bei Have I Been Pwned. (Wobei es mich jetzt ärgert die Daten dort eingegeben zu haben, war aber neugierig )Mein Passwort wurde dennoch zurückgesetzt. Bedeutet das Vote-Verhalten meines Accounts ist auffällig und ich gehöre zu dem einen %. Danke für die Mitteilung, werde es mal selbst Beobachten.




Geht mir genauso
Warum machen die sich so viel Mühe? Hier wird doch sowieso alles heiß.
Hab mich vorhin schon gewundert, nun bin ich aber von 1234 auf 4321 gewechselt und so auf der sicheren Seite!
Bearbeitet von: "BadeniaLibera" 10. Nov 2017
Hmm, mein Passwort wurde zurückgesetzt, obwohl ich noch nie so eine E-Mail bekommen habe. Außerdem verwende auf fast jeder Seite ein anderes Passwort, das immer wieder mal verändert wird. Naja, jetzt habe ich immerhin ein aktuelles MyDealz-Passwort, yeah!
testpeter10. Nov 2017

Wurde bei allen das Passwort zurück gesetzt oder nur bei den Betroffenen …Wurde bei allen das Passwort zurück gesetzt oder nur bei den Betroffenen Accounts


Logischerweise nur bei den potentiell betroffenen.
Bearbeitet von: "admin" 10. Nov 2017
@David@admin
Danke für diese Aktion. Somit tragt ihr dazu bei, dass MyDealz fair bleibt.

PS: Bin/war selber betroffen. Hatte, muss ich zu meiner Schande zugeben, ein schlechtes Passwort.
EDIT: Bei HaveIBeenPwned war ich nicht betroffen.
Bearbeitet von: "deal_la" 10. Nov 2017
admin10. Nov 2017

Logischerweise nur bei den potentiell betroffenen.



@David @admin

Meine mydealz eMail ist eigendlich meine Spam Mail (für unwichtigen Dinge)

Wurden die Votes mit einer Deutschen IP gemacht? kannst du etwas dazu sagen?
Bearbeitet von: "kultus" 12. Nov 2017
2 Wege Autorisierung würde ich mir bei viel mehr Diensten wünschen..
[deleted]
Bearbeitet von: "lolnickname" 30. Aug
Scheine ich ja neulich recht gehabt zu haben: mydealz.de/com…846
Bearbeitet von: "Tobias" 10. Nov 2017
Individuum10. Nov 2017

Warum machen die sich so viel Mühe? Hier wird doch sowieso alles heiß.



Die betroffenen Deals von dem China Hädnler wurden unerklärlich extrem heiß, z.B. polarisierte Sonnenbrillen für über 10 Euro, obwohl es die gleichen von anderen China Händlern ab 3 oder 4 Euro gibt. Wenn der also ein paar hundert Stück durch den Deal verkaufen kann und bei jeder mal 6-7 Euro Gewinn macht, lohnt sich der Aufwand schon.

Ich fand an den Deals viel interessanter, dass z.B. auch die erste Kommentarseite in kurzer Zeit voll mit merkwürdigen Posts war. Dadurch sind dann die Anmerkungen, dass die Deals viel zu teuer sind, erst auf einer hinteren Kommentarseite gelandet, die weniger Beachtung bekommt.
Rückblickend auf die jüngsten 8 Stunden Amazon-Deals... und keine Marketplace-Schrottdeals aus Drittstaaten außerhalb der EU. Die Nachsteuerung scheint also vorerst sehr gut zu funktionieren
Bearbeitet von: "oepfi" 10. Nov 2017
Snuff10. Nov 2017

2 Wege Autorisierung würde ich mir bei viel mehr Diensten wünschen..


Wir sind aber auch keine Bank. Ein bisschen Eigenverantwortung kann man schon voraussetzen.

kultus10. Nov 2017

@David @adminIch bin auch dabei.Meine mydealz eMail ist eigendlich meine …@David @adminIch bin auch dabei.Meine mydealz eMail ist eigendlich meine Spam Mail (für unwichtigen Dinge)Wurden die Votes mit einer Deutschen IP gemacht? kannst du etwas dazu sagen?


Die Votes wurden zu 99% mit ausländischen IPs gemacht.
David10. Nov 2017

Wir sind aber auch keine Bank. Ein bisschen Eigenverantwortung kann man …Wir sind aber auch keine Bank. Ein bisschen Eigenverantwortung kann man schon voraussetzen.Die Votes wurden zu 99% mit ausländischen IPs gemacht.


Ja ne für mydealz wär's mir auch zu umständlich
deal_la10. Nov 2017

@David @admin Danke für diese Aktion. Somit tragt ihr dazu bei, dass …@David @admin Danke für diese Aktion. Somit tragt ihr dazu bei, dass MyDealz fair bleibt.PS: Bin/war selber betroffen. Hatte, muss ich zu meiner Schande zugeben, ein schlechtes Passwort.EDIT: Bei HaveIBeenPwned war ich nicht betroffen.


Glaubst du an den Weihnachtsmann?
freak110. Nov 2017

Glaubst du an den Weihnachtsmann?



Nein, aber ans Christkind.

Ne, Spaß beseite, meiner Meinung nach trägt eine solche Aktion der Verbesserung der Fairness hier bei, auch wenn hier nicht alles fair. Es muss ja nicht übertrieben und zu offensichtliche unfair sein.
Danke, sehr interessant. Eigentlich der beste Beitrag in Diverses 2017 bis jetzt
Na super, jetzt muss ich wieder selber voten um das Abzeichen zu erhalten.
Sorry, aber ganz kapier ich’s nicht. Eigene Mail Adresse für mydealz und eigenes Passwort. Powd schlägt nicht an, trotzdem Passwort zurückgesetzt.
Deswegen habe ich auch immer Sorgen bei de.lokal.com größere Beträge an irgendwen zu senden, auch wenn er schon 100 Bewertungen hat, er könnte sich ja gehackt worden sein.
Die Hinweise bzgl sicherer Passwörter sind ziemlich outdated. Sonderzeichen bringen zB überhaupt nichts. Ebenso ist groß und Kleinschreibung völlig egal. Das einzige was hilft, sind möglichst lange Passwörter.
Ebenso wenig sinnvoll, der Hinweis die Passwörter häufig zu ändern. Bei 99% der User führt das nämlich dazu, dass sie besonders unsichere Passwörter verwenden.
Danke für die Info @David
Dein Kommentar
Avatar
@
    Text

    Top Diskussionen

    Top-Händler