[Gelöst] userdaten geleakt ohne User zu informieren?

Straycatsfan

Straycatsfan

Software-Overclocker(in)
Wann gab es bei pcgames/pcgameshardware denn die Panne bei der Userpasswörter geleakt sind ohne dass ich als User ne Mail vom Betreiber hier bekomme aber von Google es ne Warnung?
 
Die Chrome Meldung besagt nur dass die verwendeten Userdaten in einem Leak aufgetaucht sind, nicht von welcher Seite der stammte. Wahrscheinlich benutzt du den User und das Passwort auch in einem anderen Forum und DAS wurde irgendwann mal gehackt.
 
Hallo,

wenn es zu Sicherheitsverletzungen bzw. nachvollziehbarem Datenverlust kommen sollte sind wir verpflichtet diese nicht nur bei den Betroffenen, sondern auch bei der Behörde zu melden. Da uns jedoch keine Informationen zu einem Datenverlust vorliegen ist dies auch nicht notwendig. Das letzte Problem dieser Art liegt jetzt weit über 8 Jahre zurück und da wurden entsprechende Informationen global über alle Portale unseres Verlags veröffentlicht. Da gab es für uns aber auch keinen Hinweis, dass wirklich Daten abgezogen wurden, die Seiten wurden eher als Maleware-Verteilungs-Systeme missbraucht. Seitdem haben wir unsere Sicherheitsmaßnahmen auf ein schon fast paranoides Level angehoben.

Da wir aber auch seit jeher alle Meldungen in diese Richtung ernst nehmen, wäre noch folgende Information gut: Um was für eine Meldung handelt es sich denn und woher stammt die? Geht es vielleicht darum?
backofficethinking.com

Chrome's Password Warning: Feature, Not Hack - BackOffice Thinking

Nonprofit organizations may have heard about Chrome's Password Warning. It's a feature, not a hack. What do you need to do?
backofficethinking.com backofficethinking.com

Es ist unabhängig davon immer von Vorteil nie die gleichen Login-Daten auf mehreren Seiten zu verwenden, vor allem das Passwort des E-Mail-Accounts sollte individuell sein. Logins in Online-Banking-Systemen kann ich bis heute nicht nachvollziehen, wenn man nur 5 alphanumerische Zeichen erlaubt. ^^

Gruß
 
Zuletzt bearbeitet:
Ah, ich hab keine Ahnung wer der Drittanbieter sein sollte, da kein Passwortmanager etc genutzt.

Ich wollte gestern Kontaktdaten von einem Googlekonto aufs ein anderes übertragen, bin daher unter Android in die Kontoeinstellungen und da hat mich ein Fenster mit einem Passwortleak begrüßt welches am Ende aussieht wie folgt:
 

Anhänge

  • Screenshot_2020-11-13-09-29-18-952_com.google.android.gms.jpg
    Screenshot_2020-11-13-09-29-18-952_com.google.android.gms.jpg
    236 KB · Aufrufe: 61
Tja, tue uns einen Gefallen und teste dein Passwort / Mail auf https://haveibeenpwned.com/Passwords


Da steht nämlich nur, dass deine genutzten Kennwörter in Leaks stehen.

Da du ja anscheinend schon mal für beide PCG Accounts das selbe Kennwort nutzt, wird das vermutlich noch woanders genutzt?!


Bei der Gelegenheit würde ich mir gleich mal ernsthafte Gedanken über die eigene Accountsicherheit machen...
 
Straycatsfan schrieb:
Ah, ich hab keine Ahnung wer der Drittanbieter sein sollte, da kein Passwortmanager etc genutzt.

Ich wollte gestern Kontaktdaten von einem Googlekonto aufs ein anderes übertragen, bin daher unter Android in die Kontoeinstellungen und da hat mich ein Fenster mit einem Passwortleak begrüßt welches am Ende aussieht wie folgt:
Zum Vergrößern anklicken....

Das sieht aus wie die Warnung, die ein Passwort-Manager (wie LastPass) auch raushauen würde, weil die Seiten das gleiche Login-System nutzen, also zusammen gehören und damit natürlich identische Login-Daten haben. Zusätzlich wurden identische Login-Daten wohl auf Seiten verwendet, auf denen Daten entwendet wurden. Es ist keine Meldung, dass die Daten auf den gezeigten Seiten entwendet wurden. Wie gesagt, eine Variation von Login-Daten pro Fremdseite ist immer zu empfehlen.
 
Olstyle schrieb:
Die Chrome Meldung besagt nur dass die verwendeten Userdaten in einem Leak aufgetaucht sind, nicht von welcher Seite der stammte. Wahrscheinlich benutzt du den User und das Passwort auch in einem anderen Forum und DAS wurde irgendwann mal gehackt.
Zum Vergrößern anklicken....
Diese Erklärung ist korrekt. Wir haben keine Hinweise auf irgendwelche unberechtigten Zugriffe auf unsere Nutzerdaten, hinzu kommt, dass alle Passwörter bei uns gesalted und gehashed vorliegen - selbst wenn es einen Hack gegeben hätte, dann wäre dadurch Dein Passwort nicht kompromittiert worden, da man aus den bei uns gespeicherten Daten kein Passwort im Klartext wiederherstellen kann.

Dass Google bei Dir dennoch diese Warnung ausspuckt bedeutet allerdings, dass die von Dir auf unserer Seite verwendete Kombination aus Login und Passwort oder möglicherweise auch nur das Passwort allein irgendwo in einer Datenbank mit kompromittierten Daten vorgekommen ist, die von Google für diese Prüfung herangezogen wird. In Frage kommen da beispielsweise (aber nicht ausschließlich) die Hacks von Adobe, Sony und Electronic Arts und einige weitere. Google kann solche Leak-Quellen natürlich erst dann berücksichtigen, wenn diese bekannt werden - das kann mitunter Jahre nach dem eigentlichen Vorfall dauern. Die Warn-Funktion in Chrome wurde zudem erst im Dezember 2019 eingeführt.

Wir haben selbst nicht einmal eine Info zur Länge des von Dir verwendeten Passworts, geschweige denn zur Komplexität, ob es sich um ein einfach zu erratendes Wort handelt oder ob Du oder jemand anders dieses Passwort möglicherweise in der Vergangenheit auch auf anderen Seiten verwendest hast.

Den Hinweis, dass Deine Zugangsdaten unsicher sind, bedeutet also nicht, dass der Hack bei uns stattgefunden hat. Deinem Registrierungsdatum nach hast Du Dich ein paar Wochen nach unserem Sicherheitsproblem 2012 angemeldet und wir hatten schon damals keine klaren Hinweise darauf, dass tatsächlich Nutzerdaten entwendet wurden - unsere Seiten wurden damals primär als Malware-Schleudern missbraucht, die Angreifer waren eher nicht an Zugangsdaten interessiert.

Wir sehen aus unseren Logs, dass Du Dein Passwort seit Deiner Anmeldung im Mai 2012 nicht geändert hast. Es gibt zwar keine Empfehlung, sein Passwort regelmäßig zu ändern, aber in Deinem Fall scheint klar, dass zumindest das von Dir verwendete Passwort unsicher ist und daher dringend geändert werden sollte.

Viele Grüße

Markus
 
Körschgen schrieb:
Tja, tue uns einen Gefallen und teste dein Passwort / Mail auf https://haveibeenpwned.com/Passwords


Da steht nämlich nur, dass deine genutzten Kennwörter in Leaks stehen.

Da du ja anscheinend schon mal für beide PCG Accounts das selbe Kennwort nutzt, wird das vermutlich noch woanders genutzt?!


Bei der Gelegenheit würde ich mir gleich mal ernsthafte Gedanken über die eigene Accountsicherheit machen...
Zum Vergrößern anklicken....
Meine Accounts sind schon sicher, zumindest die wo es drauf ankommt, also Email, Paypal, Steam etc, komplexe Passwörter, für Email und Paypal bzw Gamingplattform nie die selbe Emailadresse, 2fa wo möglich etc.

Einen Browser ohne Addons etc nur fürs Onlinebanking.

Da mein Accout hier in der Tat seit 2012 besteht, 2011 der erste PC und DSL, war das hier ein Passwort aus anfangszeiten, noch etwas unbedarfter damals und nie geändert, auch bei pcgames genommen da ja quasi der selbe Verlag.

Ich flashe öfters mal ein anderes ROM aufs Handy, richte dann google neu ein, bisher kam der Hinweis nicht, daher musste es recht neu sein und beim hinweis diese zwei Seiten und Drittanbieter dachte ich das wäre dann evtl. der Drittanbieter/Server aus dem der Verlag hier hostet oder so?

Könnte sonst evtl. mit tapatalk zusammenhängen, das hatte ich mal paar Wochen genutz bis zu ner Info dass es wohl unsicher sein und da zu Problemen gekommen sein soll in Verbindung mit dem Service.

Sorry für die Aufregung und bleibt gesund.
 
Körschgen schrieb:
Da du ja anscheinend schon mal für beide PCG Accounts das selbe Kennwort nutzt, wird das vermutlich noch woanders genutzt?!
Zum Vergrößern anklicken....

Wie bereits in anderen Posts angedeutet: Wir haben ein Computec-weites Log-In-System, es handelt sich also nicht um zwei Accounts mit den gleichen Daten, sondern es handelt sich um zwei Portale, die auf den gleichen Account zugreifen. Und der hat natürlich immer die gleichen Zugangsdaten.


ZAM schrieb:
Es ist unabhängig davon immer von Vorteil nie die gleichen Login-Daten auf mehreren Seiten zu verwenden, vor allem das Passwort des E-Mail-Accounts sollte individuell sein. Logins in Online-Banking-Systemen kann ich bis heute nicht nachvollziehen, wenn man nur 5 alphanumerische Zeichen erlaubt. ^^

Gruß
Zum Vergrößern anklicken....

Ich hoffe mal, dass kein Banken-Server Brute-Force-Angriffe über 62^5 Kombinationen zulässt. ^^
Seit dem Zwang zu 2-Faktor selbst für banale Kontostandsabfragen ist die größte Sicherheitslücke ohnehin die Zusammenführung beider Wege in einer Smartphone-App, die bei einigen Banken die transaktionsspezifischen Freigaben ersetzt hat. Aber man muss ja nicht jeden Scheiß mitmachen.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

C
Vonovia schaltet Kabelinternet + TV komplett ab / Netzebene-4-Betreiber - Wer genau ist das ?
2 3
Antworten
41
Aufrufe
13K
DJKuhpisse
D
A
DXDiag Sound Fehlermeldung, trotz Sound
Antworten
4
Aufrufe
5K
Atzinator
A
svenwe77
Erfahrungen mit etwas sicherem Mail-Provider
Antworten
2
Aufrufe
11K
Waylinkin
Waylinkin
B
Welche SSD' s sind die langsamsten ?
Antworten
2
Aufrufe
5K
massaker
massaker
calotchro
Wie sieht es aus mit xiaomi Handys
Antworten
10
Aufrufe
13K
Threshold
Threshold
Oben Unten
Zurück