BSI Warnt: 16 Millionen Online-Konten geknackt

Vorhin schon getestet. Hab keine Mail bekommen. Also sollte alles okay sein :D

Aber 16 Mio. Konten sind schon ne Hausnummer.
 
Bevor ich meine emailadressen FREIWILLIG dem BSI gebe, gehe ich lieber das risiko ein und prüfe täglich meine Konten, was ich ohnehin mache.

Tatsache ist, dass jeder nachweisen muss warum x Mio EUR hier und da versickern. Ist schon vorteilhaft, wenn solche Cracks bekanntwerden. Dann achtet man weniger auf sowas:
http://winfuture.de/news,19376.html
http://www.egovernment-computing.de/projekte/articles/292886/
http://www.golem.de/news/gstool-bsi-bedroht-sicherheitsforscher-1309-101531.html
http://www.golem.de/news/nsa-skanda...o-mit-nsa-zusammenzuarbeiten-1307-100640.html
http://nachrichten.geliyoo.com/defa...riesiger-ansturm-auf-testseite-nach-datenklau

Und das beste dabei ist immer wieder dieser Schlusssatz:
Wir haben beim BSI um eine Stellungnahme gebeten, diese aber bisher nicht erhalten.
Zum Vergrößern anklicken....

Wie gut und professionell die Kollegen vom BSI mit den gesammelten Daten umgehen, soll jeder für sich beurteilen.

Ach ja und nochwas: die sog. Zwei-Faktor-Authentifizierung wird zZ. einfach überbewertet. Es ist eine Modeerscheinung die die Komplexität erhöht aber keinen wirklichen Mehrwert in Punkto Sicherheit gibt.


Aber wisst ihr was das BESTE an der geschichte ist?
in einem Jahr wird es heißen: "Die BSI-Seite hatte 40Mio Clicks ALLEIN IM JANUAR! Wir sind für dien Bundesbürger UNVERZICHTBAR und benötigen MEHR geld Für höhere Kapazitäten!"

Warum wird den vor dem ePerso nicht so eindrücklich in allen Medien gewarnt, wo es doch um ein VIELFACHES kritischer ist, alls ein account, den man resetten kann? - Marketing.
 
Dass der eigene Rechner gekapert und für ein Botnetz verwendet wird, setzt doch voraus, dass ein Schadprogramm installiert ist, oder? Da müsste man doch im Vorfeld z. B. irgendein Email Anhang öffnen? Spätestens dann sollte doch ein Virenscanner, MS Defender, Firewall, etc. Alarm schlagen?
 
wo ist das Problem, dem BSI die eigene Mailadresse zu übermitteln?
Gerade Firmenmailardessen stehen doch schon immer überall rum, da kommt es doch nicht mehr darauf an, ob man sie nun für den Test eingibt oder nicht!

Nik
 
Im Prinzip schon. Allerdings sind auch "drive-by" Infektionen sehr beliebt, wo Internetseiten prepariert werden u den Rechner über ungepatchte oder unbekannte Lücken beim ansurfen der Seite angreifen. Gerade der IE ist hier sehr beliebt, da MS bekanntgewordene Lücken teilweise erst bis zu einem Jahr später patcht. Mal davon abgesehen, dass es löchrig ist wie ein Sieb.

IMHO müsste in jedem Browser das NoScript Addon integriert sein. Dieses verhindert standardmäßig das ausführen von scripten auf einer Seite, es sei denn, man genehmigt diese. es ist anfangs etwas umständlich, aber zahlt sich nach hinten hinaus Dur einen viel schnelleren Seitenaufbau und ein vielfaches an angriffsprevention aus.

Grundsätzlich gilt aber. Aktuelle Software mit allen patches ist deutlich schwereranzugreifen, als ungepatchte mit bekannten Lücken

___
mobile post
 
Zuletzt bearbeitet:
Da gebe ich dir vollkommen Recht!

NoScript sollte von viel mehr Usern genutzt werden. Leider ist es vielen einfach zu umständlich bzw. viel Arbeit, jedes Script / jede Website einzeln zu erlauben.

NoScript gehört auf jeden Fall zu meinen Must Have Addons für den Firefox.
 
OK - per Websites, stimmt, daran habe ich nicht gedacht. Das NoScript Addon nutze ich im Firefox. Allerdings nicht regelmässig, weils einfach etwas nervig ist. Java wurde mitlerweile komplett deinstalliert. Mir ist das definitiv zu heiss.
 
Stratocaster schrieb:
Da gebe ich dir vollkommen Recht!

NoScript sollte von viel mehr Usern genutzt werden. Leider ist es vielen einfach zu umständlich bzw. viel Arbeit, jedes Script / jede Website einzeln zu erlauben.

NoScript gehört auf jeden Fall zu meinen Must Have Addons für den Firefox.
Zum Vergrößern anklicken....

NoScript habe ich zwischenzeitlich wieder deinstalliert, da das Programm eigentlich für den normalen Benutzer untauglich ist!
Bei jeder Internetseite muss man 10x irgendetwas bestätigen bzw. ablehnen, ohne zu verstehen was ich eigentlich mache oder nicht mache.

Was ist mit Java, zu was brauche ich das und ist das tatsächlich anfällig? Kann ich das einfach so deinstallieren?
 
Wo liegt das Problem, dem BSI eine email Adresse zu geben, an die geantwortet wird wenn
die Adresse in einem Datensatz bekannter gestohlener Identitaeten vorhanden sind?

Dafuer ist das BSI doch da. Endlich mal ein positiver Fall wie ein moderner Staat Mehrwert bieten kann.

Das eine Behoerde auch faule Ecken hat ist genau wie in jeder Firma, Verein, Club, Forum leider normal.
Die faule Ecke im Staat braucht aber sicher nicht meine eMail Adressse - die haben doch ggf. Zugriff auf
alles: eMail, Adresse, Autonummer, Sozialversicherungsnummer, Steuernummer, Personalausweis ID, Kontenstaende usw...


Schorsch330d schrieb:
Was ist mit Java, zu was brauche ich das und ist das tatsächlich anfällig? Kann ich das einfach so deinstallieren?
Zum Vergrößern anklicken....
Kannst du deinstallieren. Wenn ein Programm oder eine Webanwendung das braucht wird es sich melden.
Dann musst du ggf. halt wieder installieren ;).
 
Ja, Java kannst du natürlich deinstallieren.

Allerdings nutzen einige Programme und Webanwendungen Java. Du kannst es ja mal testweise deinstallieren und sehen, ob alles was du nutzt weiterhin läuft.

Entweder du deinstallierst es direkt im Betriebssystem, dann ist es komplett vom System verbannt. Wenn du es nur im Browser deaktivierst kannst du es trotzdem weiterhin im Betriebssystem für Programme (z.B. Open Office) nutzen.

Java an sich ist vom Konzept her erstmal recht sicher. Es benötigt eine Laufzeitumgebung (Virtual Machine) in der es ausgeführt wird. Das bedeutet erstmal mehr Sicherheit und macht die Programmiersprache extrem Kompatibel mit allen möglichen Geräten. Java läuft auf vielen Smartphones, TV Geräten, BluRay Playern, Desktop PC`s, etc. etc.
Allerdings gibt es schon seit einiger Zeit Exploits und Sicherheitslücken die Java Sicherheitsmechanismen aushebeln, was wohl auch der weiten Verbreitung und enormen Kompatibilität geschuldet ist.

Auf meinen Windows und Mac Computern läuft Java nach wie vor in der Endverbraucher und Entwicklerversion (brauche Java zum Programmieren). Bisher ohne Probleme.

Allerdings achte ich schon darauf, was für Software ich installiere und welche Webseiten ich ansurfe.

Wie gesagt, wenn du dich mit Java unsicher fühlst einfach mal deinstallieren / deaktivieren und sehen ob noch alles funktioniert was du benötigst. Ansonsten ist es ja wieder schnell installiert.

Im aktuellen Firefox 26.0 ist Java standardmäßig deaktiviert. Wenn eine Website mit Java besucht wird, muss man Java für diese Seite erst genemigen.
 
Z.B. im Heise Forum gibt es viele User die mit Weiterleitungs-Mails betroffen sind. Das spricht ja eher dafür das Webseiten gehackt wurde, Foren oder sonst was anstatt diverse PCs befallen sind.

Ich finds insgesamt seltsam, keine Ahnung warum - ist nur so ein Gefühl. Evtl. wirds bei mir allgemein auch mal wieder Zeit für Format C:
 
Bei mir sind 2 e-mail Adressen anscheinend nicht betroffen.
 
Ich hatte eine betroffene Mailadresse. Hab direkt mal alle wichtigen Passwörter geändert. Ob ein Forenzugang, den ich vergessen haben mag, ggf. kompromittiert ist ist mir egal.


Gesendet von meinem Lagerfeuer aus Takatukaland.
 
loskexos schrieb:
Wo liegt das Problem, dem BSI eine email Adresse zu geben, an die geantwortet wird wenn
die Adresse in einem Datensatz bekannter gestohlener Identitaeten vorhanden sind?

Dafuer ist das BSI doch da. Endlich mal ein positiver Fall wie ein moderner Staat Mehrwert bieten kann.
Zum Vergrößern anklicken....

2. Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Der auf dieser Webseite angebotene Sicherheitstest kann nur bei Angabe einer E-Mail-Adresse genutzt werden, da diese nur so mit den betroffenen E-Mail-Adressen abgeglichen werden kann. Bei Ihrer Nutzung des Sicherheitstests wird die Anzahl der Nutzer der Webseite sowie die Anzahl der versendeten E-Mails erfasst, um den Umfang der Nutzung der Webseite statistisch zu erfassen. Zur Abwehr des Missbrauchs des Dienstes werden zudem kurzfristig für die Dauer des Sicherheitstests Hashes von IP-Adressen sowie von E-Mail-Adressen erhoben.
Wofür hashes von IP und E-mail in kombination? Eine zusätzliche und praktische Datenverknüpfung, die zudem völlig unnötig ist, denn email und IP kann man auch ohne verknüpfung in nem Hash abgleichen ;)

Sämtliche personenbezogene Daten, die bei der Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald sie zur Durchführung des Tests nicht mehr benötigt werden.
Wann GENAU ist das? was ist, wenn dieser als "TEST" verkleidete Service 10Jahre läuft?

Die angegebene E-Mail-Adresse wird zu keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet.
Was ist mit der IP, den gesammelten Browserinformationen und dem ollen, oben erwähnten HASH, worin IP und email verküpft sind?
Wer kontrolliert das?
Zum Vergrößern anklicken....
Für mich ist es mehr als Schwammig und von einer Bundesbehörde ERWARTE ich exakte angaben, die man nicht je nach Auslegung sich zurechtbiegen kann.

aber selbst wenn alles so läuft, wie gepalnt. was ist wenn die seite gecracked wird? Dass SSL/TLS broken ist und abgehört werden kann, sollte ja kein geheimnis sein.
wenn ICH die 16Mio addys geklaut hätte. würde ich alles dran setzen um mir zu der IP-Emailtabelle der seite zutritt zu verschaffen. das sind allein DE wieder min 30Mio zusätzliche Emails mit zugehöriger IP die das BSI speichert.
"Nur für die Dauer des Tests" versteht sich ;)
 
Ich habe jetzt auch mal zwei E-Mail-Addies getestet - offenbar beide nicht betroffen. Zumindest kamen keine BSI-Mails.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten