Datenlecks: So überprüft Ihr, ob Eure persönlichen Daten betroffen sind
Bei den unzähligen Leaks persönlicher Daten, die jedes Jahr auftreten, ist es nicht ungewöhnlich, dass Eure Informationen möglicherweise in Datenbanken verfügbar sind, die in dunklen Ecken des Internets zum Verkauf stehen. Erfahrt hier, wie Ihr überprüfen könnt, ob Euer Konto oder Passwort kompromittiert wurde.
Die Passwort-Manager von Apple und Google bieten die Möglichkeit, regelmäßig zu prüfen, ob Konten von bekannten Datenecks betroffen sind und mit Euren Logins und Passwörtern, die in iOS/Safari bzw. Android/Chrome gespeichert wurden, abzugleichen. Das ist aber nicht die einzige Möglichkeit, um den Datenschutz bei Euren Konten zu erhöhen.
Trotzdem nutzen nicht alle Anwender das Tool, ignorieren die Funktion einfach oder haben das Konto noch nicht in den von den Unternehmen angebotenen Systemen hinterlegt. Hier kommt Have I Been Pwned ins Spiel.
Die Seite vergleicht öffentlich durchgesickerte Datenbanken – mit mehr als 11 Milliarden Konten zum Zeitpunkt der Erstellung dieses Artikels – mit einer vom Nutzer angegebenen E-Mail-Adresse oder Telefonnummer.
Inhalt:
- So prüft Ihr, ob Ihr auf einer Datenleck-Liste steht
- Was Ihr tun könnt, wenn Eure Daten geleakt wurden
- So minimiert Ihr das Risiko Opfer zukünftiger Datenlecks zu werden
- Facebook-Leak enthüllte die Daten von 500 Millionen Konten
So könnt Ihr überprüfen, ob Eure persönlichen Daten geleakt wurden
- Geht zu haveibeenpwned.com
- Gebt eine E-Mail-Adresse oder eine Telefonnummer im internationalen Format (mit Ländervorwahl und Ländercode) in das Textfeld ein
- Klickt auf die Schaltfläche pnwed?
Wenn sich Eure Daten nicht in einem bekannten Datenleck befinden, zeigt die Website die Meldung "Good news - no pwnage found! / No breached accounts" an.
Wurde hingegen ein Login in einer geleakten Datenbank gefunden, wird die Meldung "Oh no - pwned!" angezeigt, gefolgt von einer Liste bekannter Lecks, in denen es enthalten ist.
Die Liste der durchgesickerten Datenbanken gibt an, welche Informationen enthalten sind – zum Beispiel E-Mail, Passwort, Adresse, IP-Adressen, Geburtsdatum, Telefonnummer – und eine kurze Zusammenfassung, wie die Daten durchsichern und verbreitet werden konnten.
Was Ihr als Opfer eines Datenlecks tun könnt
Basierend auf den "Have I Been Pwned"-Ergebnissen ist das erste, was zu tun ist, doppelt verwendete Passwörter für die geleakten Dienste, die auf anderen Seiten verwendet werden, loszuwerden und durch einzigartige, schwer zu erratende Kombinationen zu ersetzen.
Danach ist es wichtig, zu prüfen, ob Zahlungsinformationen enthalten sind – z. B. Debit- oder Kreditkartennummer – und beim zuständigen Unternehmen nachzufragen. Überprüft auch, ob in diesem Zeitraum anormale Transaktionen stattgefunden haben und ob dementsprechend Maßnahmen ergriffen werden müssen.
Falls ja, sind die Daten leider schon öffentlich und Ihr könnt dann nicht viel tun. Eine weitere Sicherheitsmaßnahme ist auch das Ändern der Antworten in Passwort-Wiederherstellungssystemen, die Daten verwenden, die in den Leaks enthalten sind – Fragen wie "In welcher Stadt wurden Sie geboren? Das ist leider ein mühsamer Prozess, den Euch auch keine nützlichen Tools abnehmen können.
So vermeidet Ihr, Opfer neuer Passwort-Datenlecks zu werden
Der einzige sichere Weg, nicht in Passwort-Datenbanken aufgenommen zu werden, ist, keine Registrierungen zu erstellen. Selbst das Löschen so vieler persönlicher Informationen wie möglich aus bereits genutzten Diensten ist keine Garantie, da einige Lecks Daten enthalten, die von den Unternehmen hätten entfernt werden sollen.
Um den Schaden durch zukünftige Lecks zu minimieren, wiederholen wir hier nochmal die Empfehlung, eindeutige und schwer zu erratende Passwörter zu verwenden. Hier helfen die in Browsern eingebauten Passwort-Vorschlagstools nicht nur dabei, Kombinationen wie "123456" zu vermeiden, sondern auch Passwörter über mehrere verbundene Geräte hinweg zu synchronisieren. Oh, und bitte aktiviert, wann immer möglich, die Zwei-Faktor-Authentifizierung.
Die Daten von 500 Millionen Facebook-Konten wurden geleakt
Im April 2021 kursierten plötzlich die Informationen von mehr als einer halben Milliarde Facebook-Logins im Internet. Laut dem sozialen Netzwerk selbst wurden die Daten nicht durch einen Hack seiner Systeme erlangt, sondern durch ein Tool, das die Plattform unter Missbrauch vorhandener Ressourcen durchsuchte.
Das Unternehmen sagt, dass es den Zugriff auf die verwendete Funktion bereits im September 2019 verwehrt hat und empfiehlt die Verwendung des Privatsphäre-Checks, der auf Facebook verfügbar ist. Zu den Daten, die in diesem Leak enthalten sind, gehören Name, Geschlecht, Geburtsdatum, Wohnort, Beziehungs- und Arbeitsstatus, in der Regel in Verbindung mit Telefonnummern und in einigen Fällen auch E-Mail-Adressen.
Als ob dieses Datenleck Anfang des Monats nicht genug gewesen wäre, wurde zwei Wochen später ein neues Durchsuchungs-Tool veröffentlicht, das zeigt, wie man an die mit Benutzerkonten verbundenen E-Mails gelangt. Parallel dazu erhielt die belgische Website DataNews eine interne Facebook-E-Mail, in der die Öffentlichkeitsarbeitsteams angewiesen wurden, die Ausfälle auf ein "breites Branchenproblem" zurückzuführen, um den Fall Anfang April herunterzuspielen.
Trotz des Versuchs, die öffentliche Meinung zu manipulieren, ist es eine Tatsache, dass andere Dienste im selben Monat Opfer größerer Leaks wurden, darunter LinkedIn und Clubhouse. Leider ist dies nicht das letzte Mal, dass persönliche Daten im Umlauf sind, selbst mit den Mechanismen, die durch die Datenschutz-Grundverordnung (DSGVO) oder geschaffen wurden.
Habt Ihr Have I Been Pwnd schon einmal ausprobiert? Was sind Eure Tipps, um ein bisschen Sicherheit ins Netz zu bringen?
Quelle: DataNews
Da halte ich diese Seite für wesentlich seriöser.
https://leakchecker.uni-bonn.de/
Die Uni Bonn findet bei mir aber leider nicht alle Leaks, von denen ich aber weiß.
Das HPI dagegen schon: https://sec.hpi.de/ilc/search?lang=de
Ich kann nicht nachvollziehen, was die haveibeenpwned.com Seite an Daten sammelt, die nicht ohnehin schon bekannt sind. Ich schaue da ab und zu mal drauf. Und ich habe auch schon mehrere Leaks angezeigt bekommen, allerdings sehr alte (aus 2013, 2015 und 2016) um die ich mich bereits gekümmert habe. Allerdings werden diese auch weiterhin gefunden. Das kann zur Verunsicherung führen, zeigt aber (zumindest für mich), dass hier nichts gesammelt wird.
Bei eigenen Tests konnte ich mit zwei eigens dafür angelegten Adressen bei "Have I been pwned" danach keinerlei Spammails feststellen. Auch nach Jahren nicht. Keine einzige.
Trotzdem halte ich das Hasso-Plattner-Institut mir ihrem Prüfangebot für seriöser Industrie tatsächlich auch genauer und findet - beide mir - mehr.
Wenn man natürlich nur Artikel unreflektiert übersetzt wie hier, wird das nichts mit der deutschsprachigen Zielgruppe ;)
Mit Verlaub, wer aber so eine Datensammelseite bewirbt - den Rest schenke ich mir jetzt !
Habe vor Jahren (?) als das erste Mal von denen die Rede war, mir die Seite angesehen. Zum damaligen Zeitpunkt mehr als grenzwertig, technisch wie auch vom Design her. Der W3C validator hat mehr als 3000 Fehler gelistet.
Der Test mit einer Wegwerfadresse und fiktiven Daten hat nach rund 2h das arme Wegwerfpostfach gesprengt mit einer hohen 4-stelligen Anzahl von Spammails und Anderem.
Es scheint aber weltweit immer noch genügend 'schlichte' Geister zu geben, die dort ihre realen Anmeldedaten abliefern um die große Sammlung weiter zu vervollständigen.
Aries oder/und Izzy haben hier in der Vergangenheit sich bereits entsprechend dazu geäußert - nextpit sollte auf solche Artikel verzichten oder mal eine entsprechende Gegenprüfung durchführen. Eine Warnung vor solchen "Geschäftemachern" als Artikel mit den Hintergründen, das wäre mal was !
LG und Schönes Wochenende,
Kai