Abermals Identit?tsdiebstahl von E-Mail-Konten

[DoggyDog]

http://www.funkschau.de/telekommunikation/artikel/107556/

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert angesichts eines erneuten Falles von großflächigem Identitätsdiebstahl betroffene Bürgerinnen und Bürger in Deutschland. Die Staatsanwaltschaft Verden (Aller) hat dem BSI einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt. Nach technischer Analyse und Bereinigung durch das BSI verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen.

Ich bin bei GMX, wurde nicht vom Provider informiert, habe heute den Test gemacht und bin betroffen!
Im Januar habe ich ebenfalls über den BSI die Abfrage gemacht, damals war ich nicht betroffen. Da ich mich ausschließlich über mein PC und mein Handy einlogge, scanne ich gerade beide Systeme ab. Ich kann mir beim besten Willen nicht erklären, wo verdammt nochmal mein Passwort ausgespäht wurde 

Gibt es weitere Betroffene im Forum?
Ich sehe mich als recht sensibel und aufgeklärt an, ich kann mir eigentlich nur mein Smartphone als mögliche Ursache erklären. Am PC bin ich absolut fit, fahre regelmäßig Updates, habe den aktuellen Kaspersky AV und eine Softwarefirewall. Nur das Smartphone und die 1000 Apps kann ich echt nicht einschätzen. Da finde ich, ist einfach zu wenig Kontrolle durch den User möglich...

[RalleBert]

Ich habe bisher weder von GMX noch vom BSI etwas bekommen. Sicher kann ich mich deshalb auch nicht fühlen, niemand gibt an, bis wann eine Antwort zugestellt werden soll. Trotzdem ist das eine ganz große Blamage, wenn das Leck nicht bei den Usern, sondern bei den Providern liegt. Und das die Provider den Nutzer per Email (LOL) über ihren kompromittierten Account informieren, finde ich auch gelungen.

[Dragoon]

das ist schon derb peinlich langsam für GMX

[DoggyDog]

Ich weiß nicht, es heißt ja die Ursache sei unklar aber am ehesten bei den Usern zu suchen (Keylogger, Trojaner). Habe ewig den PC abgescannt, nichts verdächtiges gefunden. Ebenso das Smartphone...

[Takeshi]

Bei Handys ist es ja bekannt, dass sich jedes zweite Programm am Adressbuch und sonst noch was bedient. Von daher würde mich das nicht wundern. Hab auch gestern noch in einer c't gelesen, dass eine App aus dem PlayStore geflogen ist, weil die im Hintergrund Bitcoins (oder eine andere digitale Währung) berechnet werden. Ein Handy ist im Grunde so ein rechtsfreier Raum, wie man es ja oft dem Internet zuschreibt. Auf dem Handy kann so eine App alles machen, Kontrolle gibt es kaum, Virenschutz auch nur bedingt.

Auffallend ist ja, dass es scheinbar (?!) nur einzelne Provider betrifft. Das spricht schon dagegen, dass die Ursache bei den Nutzern liegt. Ich erinner nur mal an Sony, als da Abermillionen Nutzerdaten geklaut wurden, inkl. unverschlüsselter und ungehashter (!) Passwörter. Dann hab ich auch noch in der c't gelesen, dass viele große Firmen, darunter auch Sicherheitsfirmen, eine Verschlüsselung im E-Mail-Verkehr gar nicht anbieten. Das ist richtig peinlich. Da traue ich es den E-Mail-Anbietern auch zu, dass die das mit der Sicherung der Kundendaten nicht so sehr haben. Es sind ja auch nicht deren Daten, die in Gefahr sind, sondern die der Kunden. Da gehen viele eh schon viel lascher mit um. So eine Verschlüsselung kostet ja auch Rechenzeit, das Finden und Schließen von Sicherheitslücken kostet Zeit, beides kostet Geld.

[Dragoon]

ist ja leicht den Nutzer die Schuld in die Schuhe zu schieben, um vom eigenen Fehler als Betreiber hinweg zu täuschen.

[Takeshi]

Ich scheine weder mit meinen Adressen auf meinem eigenen Server betroffen zu sein, noch mit meiner Adresse bei web.de. Ich hab keine E-Mails auf dem Handy.
Es wäre ja mal interessant alte Adressen zu prüfen, die schon lange nicht mehr genutzt wurden und gar nicht mehr gespeichert sind. Wenn die trotzdem betroffen sind, kann es nur an den Servern liegen.

[Dragoon]

soviel mal zu SSL Sicherheit...
http://rehmann.co/projects/heartbeat/

da wird mir einiges klar was E-Mail Datenklau etc. angeht...

[Takeshi]

Oder das Ganze in Deutsch:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL
SSL-Gau: So testen Sie Programme und Online-Dienste

[DoggyDog]

Super. Dann bin ich ja beruhigt, das würde als Erklärung reichen. Dachte zunächst, ich hätte mir möglicherweise wirklich was eingefangen, mein weiß ja nie...

[Dragoon]

kann natürlich trotzdem sein dass du dir was eingefangen hast, dies ist ja nicht ganz unwahrscheinlich.

[DoggyDog]

Ich habe ja alles mit Kaspersky gescannt, es wurde nichts gefunden. Auch eine Hijackthis-Auswertung brachte nichts verdächtiges zutage.

[Takeshi]

Am sichersten ist ja immer ein Scan von einem sicher sauberen System aus, wie einer Linux Live-DVD. Aber da kenne ich nur die Desinfec't.

[Dragoon]

oder eben über Bootloader, gibts ja auch genügend