Topthemen

Collection #1: Meine Daten sind in der Millionen-Liste

virtual security 01b
© Tiko Aramyan/Shutterstock

Hacker haben eine riesige Liste mit Millionen von Mail-Adressen und Passwörtern veröffentlicht. In den fast 773 Millionen Einträgen finden sich auch Informationen von mir, möglicherweise auch von Euch. Was heißt das jetzt?

Habt Ihr schon nachgeschaut, ob auch Eure E-Mail-Adresse zu den millionenfach veröffentlichten gehört, die in der Collection #1 stecken? Bei mir ist es nicht nur eine, sondern gleich zwei. Bei einer wusste ich das schon, da ich vor gut einer Woche schon einmal bei "Have I Been Pwned?" nachgeschaut hatte. Die zweite, wichtigere, war da noch sicher, jetzt nicht mehr.

Und jetzt? Fühlt sich erstmal scheiße an, um es deutlich auszudrücken. Die eine der beiden Mail-Adressen ist eigentlich ohnehin nur noch eine Spam-Sammelgrube, die ich kaum noch aktiv nutze. Aber die meines privaten Google-Kontos? Da sieht das schon anders aus. Viele Dienste sind damit verknüpft, Google weiß jede Menge über mich, das ist schon eine andere Hausnummer als irgendeine E-Mail-Adresse bei irgendeinem kleinen Anbieter.

Panikmache ist nicht angesagt

Natürlich muss man jetzt auch nicht in blanke Panik verfallen, es ist ja erst einmal nichts passiert. Die Adressen stammen hauptsächlich aus älteren Leaks und wurden nun von Hackern gesammelt und veröffentlicht. Zudem beinhaltet sie "nur" 21 Millionen Passwörter, die in vielen Fällen keiner Mail-Adresse zugeordnet sind. Wer zumindest einigermaßen regelmäßig seine wichtigsten Passwörter ändert, sollte nicht in unmittelbarer Gefahr sein. Ein Schuss vor den Bug ist die Sache aber trotzdem.

Welche Lehren wir aus diesem Mega-Datensatz an Mail-Adressen und Passwörtern ziehen sollten, liegt auf der Hand, und sie sind nicht neu. Verwendet komplexe Passwörter, die Ihr regelmäßig wechselt und stets nur bei einem einzigen Dienst einsetzt. Am einfachsten geht das mit einem Passwort-Manager, wir haben die besten davon für Euch zusammengestellt. Wenn möglich, setzt bei allen wichtigen Diensten auf Zwei-Faktor-Authentifizierung, das erhöht die Sicherheit merklich. Und klickt nicht auf jeden Link, der Euch unter die Finger kommt. Ich versuche, mich auch dran zu halten.

Habt Ihr schon geschaut, ob Eure Mail-Adresse Betrügern in die Hände gefallen ist?

Via: Caschys Blog Quelle: Troy Hunt

Die besten Smartphones bis 500 Euro

  Redaktionsempfehlung Beste Alternative Bestes Kamera-Smartphone Bester Software-Support Bestes Preis-Leistungs-Verhältnis Beste Performance
Produkt
Abbildung Xiaomi Redmi Note 13 Pro+ 5G Product Image Nothing Phone (1) Product Image Google Pixel 7 Product Image Samsung Galaxy A54 Product Image Motorola Edge 40 Neo Product Image Xiaomi Poco F5 Pro Product Image
Bewertung
Bewertung: Xiaomi Redmi Note 13 Pro+ 5G
Bewertung: Nothing Phone (1)
Bewertung: Google Pixel 7
Bewertung: Samsung Galaxy A54
Bewertung: Motorola Edge 40 Neo
Bewertung: Xiaomi Poco F5 Pro
Zum Angebot*
Zu den Kommentaren (19)
Steffen Herget

Steffen Herget
Senior Editor

Steffen ist seit 2009 in der bunten Welt des Technik-Journalismus aktiv und seit März 2017 bei Android PIT. Android hat eine Weile gebraucht, um sich gegen iOS und vor allem Windows Phone durchzusetzen, gegen die Flexibilität und Vielseitigkeit des Google-Systems ist am Ende aber kein Kraut gewachsen. Gute Displays und Kameras und ordentliche Akkus sind für ihn wichtiger als das letzte Bisschen mehr Taktfrequenz.

Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
19 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Atom 22
    Atom 20.01.2019 Link zum Kommentar

    Negativ, nicht in der Liste.

    Dirk Kleie


  • Martin Marquardt 44
    Martin Marquardt 18.01.2019 Link zum Kommentar

    bin betroffen, die Auswertung sagt:

    Android Forums: In October 2011, the Android Forums website was hacked and 745k user accounts were subsequently leaked publicly. The compromised data included email addresses, user birth dates and passwords stored as a salted MD5 hash.

    Compromised data: Dates of birth, Email addresses, Homepage URLs, Instant messenger identities, IP addresses, Passwords


  • 19
    Gabriel G. 18.01.2019 Link zum Kommentar

    Meine GMail Adresse ist dort gelistet. Ursache: Adobe im Okt. 2013 gehackt worden, Disqus (dieses nervige Kommentarsystem für Blogs) im Okt. 2017 gehackt worden. Deswegen kommen wohl durchschnittlich 8 Spammails / Tag.


    • Marcus J. 49
      Marcus J. 18.01.2019 Link zum Kommentar

      Wer seine richtige E-Mail Adresse bei Diensten wie Disqus angibt, ist selber schuld. Nicht umsonst gibt es Wegwerf-E-Mail Adressen.

      Dieter Schmidt


  • Gianluca Di Maggio 58
    Gianluca Di Maggio 18.01.2019 Link zum Kommentar

    Ich bin auch in der Liste, mache mir allerdings keine Sorgen. Meine Logins sind eh schon paar mal aufgetaucht, von Seiten die ich entweder eh nicht nutze oder die es nichtmal mehr gibt. Da da keine Zahlungsmethoden oder so hinterlegt sind ist mir das sowas von egal. Meine Alternativen Email-Addresen und neueren Passwörter sind sicher, von daher nicht weiter tragisch.


  • 17
    Gerry Kobold 18.01.2019 Link zum Kommentar

    Moin,
    ich loge mich immer mit dem jeweiligen Datum ein z.B.:"17Januar2019" und ändere ständig die Passwörter,kein "Schw..." kommt darauf wann und wo ich mich einlogge ,weil ich das natürlich nicht täglich mache... und ich brauch mir nur den Tag zu merken...
    OK ist jetzt vielleicht etwas zu kompliziert ,für Leute die 20 Accounts haben ;-)


    • 104
      Tenten 18.01.2019 Link zum Kommentar

      20? Du bist gut, jedes noch so winzige Internetklitsche verlangt heute eine Anmeldung, wenn man was bestellen möchte. Und für viele Offlinegeschäfte brauchst du das inzwischen auch, sonst bekommst du keine Kundenkarte und kannst die Rabatte nicht nutzen. Erst kürzlich musste ich mich bei einem Schuhgeschäft in der Innenstadt anmelden, um 35 Euro Rabatt zu bekommen. Und natürlich brauchte man dafür ein Passwort mit mindestens 8 Stellen und Zahlen und Sonderzeichen. Ich habe nicht 20 Passwörter, die ich inzwischen verwalten muss, sondern rund 60. Und dabei versuche ich schon, jeden neuen Account vermeiden zu können.


  • 8
    Bosanac 18.01.2019 Link zum Kommentar

    WTF mit 1 von 3 drin, und die ist von meinem Internet anbieter eigentlich die wo ich sehr selten nutze...

    Dagegen weder Hotmail oder Gmail drin und die werden bei jedem Account verwendet. :D Irgendwie komisch....

    Die hat sicher mein Anbieter verkauft. :mad:


  • 77
    Gelöschter Account 17.01.2019 Link zum Kommentar

    „Nur“ 21 Millionen E-Mail-Adressen und Passwörter? Dann kann ich ja beruhigt schlafen gehen 🌙💫😴💭. Gut Nacht


    • 24
      Merlin 18.01.2019 Link zum Kommentar

      21 Millionen Passwörter, aber über 700 Millionen Emailadressen.


  • 26
    Thomas Müller 17.01.2019 Link zum Kommentar

    Mal ein Tipp wie man Passwörter einfach und trotzdem sicher macht.

    Ihr denkt Euch ein Master Passwort aus was lang aber einfach zu merken ist.

    Z.B.

    *****IsstEine*****

    Das kann man sich merken und ist mit Absicht so geschrieben.

    Für Ebay verwandelt man das dann in:

    #Ebay******IsstEine******#

    Für Amazon:

    #AmazonAngelaMerkelIsstEineBitch#

    Usw.

    So hat jeder Dienst ein Passwort was man sich leicht merken kann und trotzdem sicher ist.

    Franklyn LuettgenMarcus J.Der alte FischerFred


    • Fabien Röhlinger 72
      Fabien Röhlinger
      • Admin
      • Staff
      18.01.2019 Link zum Kommentar

      Gute Idee. Schlechte Umsetzung.

      Politische Statements dieser Art sind echt nicht erwünscht.

      Tenten


      • 26
        Thomas Müller 18.01.2019 Link zum Kommentar

        Lies mal genau, ist extra kein politisches Statement. Es ist bewusst doppeldeutig und damit noch sicherer.

        Warum löscht Du etwas was vollkommen korrekt war? Da kannst Du den Beitrag auch gleich löschen, jetzt kann man damit nichts mehr anfangen. Schade

        Marcus J.


    • 10
      Woeba 18.01.2019 Link zum Kommentar

      Gute Idee, ich mach das ganz gerne Simpel mit Rechnungen.

      z.B: 2+4=6 => PW wäre "Zwei+Vier=6"

      So kommen kleine/große Buchstaben Zahlen und Sonderzeichen vor, un dsind auch ziemlich lang.

      Marcus J.


      • 104
        Tenten 18.01.2019 Link zum Kommentar

        Naja, wirklich sicher ist das nicht, diese Methode verwenden sehr viele. Als Hacker würde ich sowas gleich am Anfang ausprobieren.


  • 90
    Gelöschter Account 17.01.2019 Link zum Kommentar

    > Natürlich muss man jetzt auch nicht in blanke Panik verfallen, es ist ja erst einmal nichts passiert.

    Stopp mal! Richtig, Panik ist nie ein guter Ratgeber. Dennoch sollte man umgehend die Passwörter bei allen Accounts ändern, bei denen man die gefundene E-Mail-Adresse verwendet.

    "Umgehend" heißt jetzt! Man sitzt ja sowieso schon an einem Gerät, mit dem man das machen kann. Nicht denken, das mache ich morgen. Dann vergisst man es wohlmöglich. Der Ratschlag, Panik zu vermeiden führt aber leider oft dazu, dass man es nicht gleich macht und dann vergisst.

    Man sollte sich auch überlegen, ob man bei den betroffenen Konten nicht auch gleich die E-Mail-Adresse für den Login ändert.

    Gelöschter AccountFredfdy


    • 21
      fdy 17.01.2019 Link zum Kommentar

      Dankesehr, weise Worte die ich Dir gerne unterschreibe. So und nicht anders.

      Und jetzt noch ein kleines Sahnehäubchen: Viele werden sicherlich die selbe Kombination aus Passwort und Email Adresse bei einigen Anwendungen identisch haben.

      Macht man nicht, aber ist manchmal so, Kennwörter wo ihr Geld bewegen könnt, aber bitte wirklich einzigartig nehmen : Bank, Amaz*n, E*ay usw.

      Und noch ein Tipp, X3@h+&9=y mag vielleicht ein tolles Kennwort sein, aber : Donaudampfschiffahrt4u! (das 3. f fehlt mit Absicht) hat auch eine Zahl, hat auch ein Sonderzeichen, ist deutlich länger und trotzdem unglaublich viel leichter zu merken. Ergo mehr Zeichen sind gegen BruteForce Attacken deutlich stabiler und falls ihr noch einen absichtlichen Rechtschreibfehler einbaut hält es auch noch einer Wörterbuchattacke perfekt stand. Gute Kennwörter müssen nicht schwer sein.

      Und jetzt ran an den Speck ;o)

      Gelöschter AccountGelöschter AccountFredGelöschter Account


      • 34
        Gelöschter Account 17.01.2019 Link zum Kommentar

        Schwein gehabt. Mit keiner dabei.
        Aber Passwörter wie folgende sind super und leicht zu merken.

        Ichkaufeniebeiamazon3klingenrasierer!wirklich?

        Karin S.


      • 21
        fdy 17.01.2019 Link zum Kommentar

        Traumhaftes Passwort, ich beneide Dich:

        Gamigo: March 2012
        Anti Public Combo List: December 2016
        Collection #1: January 2019

        So sieht es dann aus, wenn die Adresse 19 Jahre alt sind.

        Falls es im übrigen interessiert,
        wie kommen Passwörter eigentlich in diese Liste ?

        Einfaches Beispiel:
        Ihr regestiert Euch bei Anbieter XYZ mit einer Kombination
        aus E-Mail Adresse & Passwort. Nun wird dass Kennwort
        von deren Administrator kompromitiert, z.B.
        durch ein schlecht gewähltes Passwort, Social Engeniering oder
        Brute Force (stumpfes Ausprobieren durch eine Software).
        alternativ durch eine Sicherheitslücke in der Website.

        So gelangen die bösen Jungs Zugriff auf die Kennwort-Datenbank,
        mit E-Mail Adressen und den dazugehörigen Kennwörtern. (Eventuell auch Adressen, Bankverbindung etc)
        Falls man jetzt diese Login-Informationen bei anderen
        Anbietern ebenfalls nutzt, hat der Angreifer in dem er diese
        Informationen auf anderen Seiten testet Vollzugriff auf Eure Daten / Konten.

        Dabei spielte ihm früher im übrigen noch die Tatsache
        in die Hand, dass die Kennwörter in der Datenbank
        im Klartext gespeichert wurden.
        Später hat man dann gemerkt, dass das nicht die beste Idee
        ist, wenn jeder Admin Zugriff darauf hat. Also hat man die Kennwörter
        verschlüsselt abgelegt, Anstelle des Kennwortes stand nun ein
        sogenannter Hash-Wert, also Quasi dass Kennwort verschlüsselt.
        Da man jedoch bei selben Kennwort auf den selben Hashwert kam
        und so Kennwörter auch wieder herausbekommen werden konnten,
        wurden diese später noch gesalzen, sprich mit einem weiteren
        Schlüssel doppelt verschlüsselt.

        Seither ist dass ganze deutlich sicherer, solange der Verschlüsselungskey nicht in falsche Hände fällt und der Algorhytmus in dem verschlüsselt wurde sicher ist. Aber auch hier ist Technik nicht unfehlbar, kein System ist wirklich sicher.

        Daher kommt im übrigen auch ein Großteil des Spams den ihr bekommt.
        Andere böse Jungs kaufen dann z.B. für kleines Geld die Mail-Adressen aus diesen Listen und schon gibt es Werbung für Viagra, die nackte Nachbarin, schnelle Möglichkeiten an Geld zu gelangen oder arme hilfbedürftige Verwandte in Nigeria.
        Im schlimmsten Fall mit persönlicher Ansprache und Adresse,
        welches der Mail von der Bank augenscheinlich eine gewisse Authentizität verleiht.

        Also wenn ihr in der Liste auftaucht ist nicht immer ein schlechtes
        Kennwort eurerseits Schuld.

        so far...

        fdy

        Gabriel G.

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel