Sicherheitslücke bei web.de

Hallo!

 

Nachdem ich ja am Wochenende mit unbefugtem Zugriff auf mein paypal-Konto gekämpft habe, weiß ich jetzt, wo die Sicherheitslücke war:

 

Im November sind Unbekannte an die Passwörter von web.de-Konten gekommen. Jetzt konnten die Hacker bei allen möglichen online-Shops auf "Passwort vergessen" klicken und sich dann fröhlich einloggen.

Bei vielen Shops reicht das ja völlig aus.

 

(warum bei paypal dann auch noch BEIDE Sicherheitsfragen bei mir geknackt wurden, weiß ich nicht, aber zum Glück hat es bei uns ja keinen Schaden gegeben außer ein paar Stunden Stress)

 

Also an alle mit @web.de Adressen: GANZ DRINGEND: Erst ein neues Passwort für die emails anlegen und dann alle anderen Passwörter ändern... (Viel Spass beim Dichten!)

 

Liebe Grüße

 

Almut

na prima... und das wo ich mir doch soooo gut neue Passwörter merken kann....

Almut, worauf bitte stützt du diese Aussage?

Ich konnte NICHTS dergleichen über Google finden.

Der neueste Beitrag, den ich finden konnte (und der nur gaaaaaanz entfernt damit zusammenhängt), ist dieser hier. Und der handelt eher davon, wie leichtsinnig viele User generell mit ihren Passwörtern umgehen; mit Web.de an sich hat das so ziemlich nichts zu tun.

 

Wäre also froh über einen Quellenhinweis, da auch ich dort einen Account habe.

So ohne klingt das eher wie Pferdescheumachen...

(In dem Paypal-Thread schrieb auch irgendwer "Ich dachte immer, Paypal sei sicher!". Mit solchen Sätzen kann man ganz schönen Schaden anrichten und Leute verunsichern, die sich mit der Materie nicht näher auskennen. Dienste sind immer nur so sicher, wie ich vernünftig damit umgehe. Ich behaupte ja auch nicht, dass meine Bank total unsicher sei, weil sich mal wer als Bankangesteller verkleidet und mir dann an der Haustüre meine Daten abschwatzt. Das bezieht sich jetzt nicht auf dich und deine Paypal-Geschichte. Das ist natürlich ärgerlich, dass dir das passiert ist, und es ist gut, dass du es noch rechtzeitig bemerkt hast. Ich wollte das nur in dem Zusammenhang generell nochmal erwähnen. Bedachtsamkeit und Verantwortung hören nicht mit dem Klick aufs Internet auf, auch wenn dort alles so easy scheint.)

Bearbeitet 27. Januar 2010 von FeeShion

Schön das sich alles geklärt hat und kein Schaden für dich entstanden ist.

Almut, worauf bitte stützt du diese Aussage?

Ich konnte NICHTS dergleichen über Google finden.

 

Hallo Fee,

 

mir fällt dazu das ein: Phishing-Angriff trifft Hotmail, Google Mail, Yahoo und AOL

 

Passwort-Diebstahl - Auch Gmail und Yahoo betroffen - Computer - sueddeutsche.de

 

Hotmail-Hack: So kamen die Hacker an die E-Mail-Passwörter

 

Aber speziell wegen web.de kann ich nichts sagen.

Almut, worauf bitte stützt du diese Aussage?

Ich konnte NICHTS dergleichen über Google finden.

 

Wäre also froh über einen Quellenhinweis, da auch ich dort einen Account habe.

 

Von einer Telefonistin in der Sicherheitsabteilung bei Paypal...

Und sie weiß wohl, wovon sie redet - ich war ja nicht die einzige Betroffene. Aber es waren wohl auffällig viel Betroffene mit web.de Adressen und sie sagte, es sei bekannt, dass im November dort ein Sicherheitsloch entdeckt worden sei.

 

Ich dachte, da man ja ohnehin seine Passwörter häufiger wechseln sollte, ist das jetzt mal wieder eine gute Gelegenheit, daran zu denken.

Keine Panikmache, kein Schlechtreden...

Unsere mail-Adresse bleibt auch dort, immerhin haben DIE jetzt mal alles kontrolliert ;-)

Hallo Fee,

 

mir fällt dazu das ein:

 

Danke, Karin.

Aber das ist das, was ich meinte: Diese von dir genannten Meldungen haben absolut nichts mit einer Sicherheitslücke bei den jeweiligen Unternehmen zu tun, sondern mit einer Sicherheitslücke beim Nutzer selbst.

Da ist es dann egal, ob man bei Web.de, GMX oder LarsvomMars ist.

Wenn ich meine Passwörter auf dem Rechner speicher (egal, ob in Textdateien oder im Browser selbst), dann darf ich mich nicht wundern.

Oder übertrieben dargestellt: Wenn ich mir meinen Ebay-Benutzernamen samt Kennwort auf die Stirn male und dann jemand diese Daten nutzt, um damit sein Unwesen zu treiben: Bei wem liegt dann die Sicherheitslücke? Bei mir oder bei Ebay?

Das wird leider oft verwechselt und damit werden oft Unternehmen auch unschuldig in Verruf gebracht.

 

Von einer Telefonistin in der Sicherheitsabteilung bei Paypal...

Und sie weiß wohl, wovon sie redet - ich war ja nicht die einzige Betroffene. Aber es waren wohl auffällig viel Betroffene mit web.de Adressen und sie sagte, es sei bekannt, dass im November dort ein Sicherheitsloch entdeckt worden sei.[/Quote]

 

Ah ja, ist klar.

(Der Smiley bezieht sich nicht auf dich; eher auf die Aussage der Telefonistin. Also bitte nicht falsch verstehen!)

 

Und bekannt ist es ja scheinbar nicht wirklich, wenn man nichts darüber findet. Jedenfalls nicht über ein Sicherheitsloch bei Web.de.

Man muss da echt vorsichtig sein, was man sagt.

Das Sicherheitsloch ist nämlich meistens der User selbst.

 

Ich dachte, da man ja ohnehin seine Passwörter häufiger wechseln sollte, ist das jetzt mal wieder eine gute Gelegenheit, daran zu denken.

 

Da hast du natürlich Recht. Das sollte man regelmäßig tun.

 

Ansonsten: Passt gut auf eure Daten auf! In dem meisten Fällen seid IHR nämlich diejenigen, die es in der Hand haben, wo selbige landen.

In diesem Fall behaupte ich aber wirklich, dass die Lücke woanders sein muss und nicht bei mir...

Das email-Passwort war weder besonders alt noch einfach, mit Zahlen und Buchstaben etc.

Bei Paypal hatte ich Sicherheitsfragen, die hätte noch nicht einmal mein Mann beantworten können!

Und diese Antworten und die Passwörter stehen NIRGENDWO, schon gar nicht auf meiner Festplatte.

 

Für mich gibt es keinen Grund anzunehmen, dass diese Frau jetzt unrecht hatte. Bloß weil Dinge nicht veröffentlicht werden, sind sie nicht ungeschehen??? Meine Telefonpartnerin war ganz offensichtlich ziemlich gut im Bilde und hat mir diese Betrugsserie sehr kompetent erklärt und wusste detailliert Bescheid.

Google ist nicht allwissend...

Ich behaupte ja auch gar nicht, dass dieser oder jener Dienstleister besser oder schlechter ist, weil absolute Sicherheit wie überall eine Utopie ist.

Aber wenn ich weiß, dass es irgendwo mal wieder eine Lücke gegeben hat, dann ist es gut, das zu wissen, um die geklauten Daten unbrauchbar zu machen, indem ich Passwörter ändere.

In diesem Fall behaupte ich aber wirklich, dass die Lücke woanders sein muss und nicht bei mir...

Das email-Passwort war weder besonders alt noch einfach, mit Zahlen und Buchstaben etc.

Bei Paypal hatte ich Sicherheitsfragen, die hätte noch nicht einmal mein Mann beantworten können!

 

Wenn du dir bisher noch nicht darüber im Klaren bist, wie die Sicherheitsfragen beantwortet werden konnten, solltest du zusätzlich Keylogger u.ä. in Betracht ziehen. Oder hast du die Sicherheitsfragen evtl. mehrfach (andere Mailkonten, etc.) verwendet?

Almut, wie ich schon weiter oben schrieb, sollte das kein Angriff auf dich sein!

Ich finde es aber wichtig, in solchen Threads einfach auf gerenelle Dinge hinzuweisen. Das habe ich getan. Ganz generell. Ohne dir etwas zu unterstellen.

 

Das email-Passwort war weder besonders alt noch einfach, mit Zahlen und Buchstaben etc.

Bei Paypal hatte ich Sicherheitsfragen, die hätte noch nicht einmal mein Mann beantworten können![/Quote]

 

Wobei du die Sicherheitsfragen ja nur erneut beantworten solltest, weil Paypal dein Konto da schon längst wegen Verdachts gesperrt hatte.

Derjenige, der sich vor der "Betrügerei" eingeloggt hatte, brauchte diese ja nicht zu beantworten, sondern lediglich dein normales Passwort zu kennen.

 

Und diese Antworten und die Passwörter stehen NIRGENDWO, schon gar nicht auf meiner Festplatte.[/Quote]

 

Das ist gut! Allerdings ist das eben nicht jedem so bewusst, dass das unsicher ist (es wird ja so schön von den Browsern angeboten); deshalb hatte ich das erwähnt.

 

Bloß weil Dinge nicht veröffentlicht werden, sind sie nicht ungeschehen???[/Quote]

 

Das habe ich nicht gesagt.

Aber dennoch finde ich es unwahrscheinlich in der Größenordnung, da dann auf jeden Fall etwas davon durchgesickert oder darüber berichtet worden wäre. (Sei es von einer geschädigten Privatperson in einem Blog - denn da findet sich immer was, auch wenn der Konzern selbst evtl. alles aus Imagegründen vertuschen möchte - oder eben bei den "großen Medien". Die sind da immer recht fix.

Und die Unternehmen selbst geben in dem Zusammenhang normalerweise auch eine Meldung raus, um den Schaden einzudämmen.)

 

Aber wenn ich weiß, dass es irgendwo mal wieder eine Lücke gegeben hat, dann ist es gut, das zu wissen, um die geklauten Daten unbrauchbar zu machen, indem ich Passwörter ändere.

 

Das auf jeden Fall; schrieb ich ja auch schon.

 

Allerdings möchte ich doch schon noch etwas anmerken:

Im Paypalthread hattest du geschrieben, dass du den ersten Link in der Mail angeklickt hattest und dann auf die komische Seite kamst.

Ganz ehrlich? Auch, wenn du - was du ja dann (fälschlicherweise) als sicher angesehen hattest - dort nichts eingegeben hattest: Das kann schon für Phishing reichen.

Es gibt durchaus Methoden, die deinen Browser dann so ummodeln, dass der selbst nach deiner manuellen Eingabe der richtigen Adresse automatisch auf die falsche Domain weiterleitet, ohne dass du das mitbekommst.

Alleine das Öffnen einer solchen Mail kann bereits Trojaner und anderes Getier auf deinen Rechner lassen; so auch die oben genannten Keylogger.

Nimm so etwas also bitte nicht auf die leichte Schulter!

Schalte die Vorschau deines Mailprogramms aus und öffne wirklich nur Mails, denen du vertraust.

 

Hast du eigentlich mal direkt bei Web.de angefragt, ob die da etwas wissen. (Und jetzt bitte nicht sagen "Die würden das eh nicht zugeben aus Imagegründen!"; eine Anfrage wäre es doch in so einem Fall wert, oder?)

Bearbeitet 27. Januar 2010 von FeeShion

Den Thread zu Paypal habe ich jetzt erst gelesen. Das erklärt einiges.

 

@almut: Das Ändern sämtlicher Passwörter bedeutet nicht, dass du jetzt auf der sicheren Seite bist. Wenn du evtl. Sicherheitslücken auf deinem PC hast, wissen "Angreifer" jetzt natürlich auch die neuen Passwörter.

Aber irgend was ist merkwürdig.

Ich bekam um 16,52h ein Mail von web.de - ich hätte eine Anfrage nach meinem Passwort gemacht -weil ich es vergessen hätte.

Ich hatte noch nie was mit web. de zu tun!!!

 

Gisela

Allerdings möchte ich doch schon noch etwas anmerken:

Im Paypalthread hattest du geschrieben, dass du den ersten Link in der Mail angeklickt hattest und dann auf die komische Seite kamst.

Ganz ehrlich? Auch, wenn du - was du ja dann (fälschlicherweise) als sicher angesehen hattest - dort nichts eingegeben hattest: Das kann schon für Phishing reichen.

Im Nachhinein weiß ich, dass dies eine echte, korrekte mail war. Da habe ich also nichts falsch gemacht, außerdem hatte zu diesem Zeitpunkt der Angriff längst stattgefunden

Es gibt durchaus Methoden, die deinen Browser dann so ummodeln, dass der selbst nach deiner manuellen Eingabe der richtigen Adresse automatisch auf die falsche Domain weiterleitet, ohne dass du das mitbekommst.

Alleine das Öffnen einer solchen Mail kann bereits Trojaner und anderes Getier auf deinen Rechner lassen; so auch die oben genannten Keylogger.

Nimm so etwas also bitte nicht auf die leichte Schulter!

Schalte die Vorschau deines Mailprogramms aus und öffne wirklich nur Mails, denen du vertraust.

Alle anderen mails fliegen bei web.de ohnehin raus und kommen gar nicht bei uns an... - wie gesagt, ich halte die überhaupt nicht für schlechter als irgendeinen anderen Anbieter, im Gegenteil. Und da wir mit einem mac unterwegs sind, ist es auch eher unwahrscheinlich, dass wir uns Viecher eingefangen haben...

Hast du eigentlich mal direkt bei Web.de angefragt, ob die da etwas wissen. (Und jetzt bitte nicht sagen "Die würden das eh nicht zugeben aus Imagegründen!"; eine Anfrage wäre es doch in so einem Fall wert, oder?)

Nein, habe ich tatsächlich noch nicht...

Eigentlich wollte ich das auch gar nicht sooo auswalzen, nur andere vor vermeidbaren Schäden warnen.

 

Aber Du hast recht, Fee, dass man mit solchen Aussagen vorsichtig sein soll, ich werde demnächst zurückhaltender formulieren

 

Liebe Grüße

Almut