Skip to content

Das HPI überprüft ob E-Mail Adressen geleakt wurden

Eine etwas sperrige Überschrift, aber mir ist nichts besseres eingefallen :O

Man kann ja immer öfter hören, dass E-Mail Adressen oder mehr aus Kundendaten -geklaut kopiert wurden. Anfang des Jahres hatte das BSI eine Prüfmöglichkeit eingerichtet, die aber ständig überlastet war und sich auch nur dann meldete wenn die abgefragte Adresse gefunden wurde. Bei der geringen Kapazität die das BSI bereit gestellt hatte kamen die Mails oft Tage später an. Und sagte dann auch nur aus “ja, die Adresse wurde kopiert.” keine Details und da man keine Information bekam wenn die Adresse nicht betroffen war, war man durch die Überlastung im Prinzip nur dann sicher, wenn man die Nachricht bekam, dass die abgefragte Adresse betroffen ist.

Sehr viel besser macht es das Hasso-Plattner Institut der Uni Potsdam. Deren Identity Leak Checker antwortet auf jeden Fall, also auch wenn man nicht betroffen ist. Und wenn man betroffen ist, wird konkret angegeben, was betroffen ist mit entsprechenden Hinweisen.
Für meine Adresse die ich (nur) bei Adobe hinterlegt habe und die bei Adobe kopiert wurde sieht das so aus:

Achtung: Ihre E-Mail-Adresse (hier steht die Adresse) taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf. Folgende sensible Informationen wurden im Zusammenhang mit Ihrer E-Mail-Adresse frei im Internet gefunden:



PasswortVor- und ZunameKreditkarteBankkontodatenTelefonnummerAnschriftGeburtsdatumSozialversicherungsnummer
Nov. 2013

Gefolgt von dem Hinweis das Kennwort zu ändern, mehr wurde bei Adobe ja nicht kopiert. Bei anderen Leaks kann es anders aussehen, davon bin ich aber glücklicherweise nicht betroffen.
Leider habe ich keine Informationen darüber gefunden aus welchen Leaks das HPI die Daten vorliegen hat, also wie vollständig sie sind. Auf einer eigenen Statistikseite kann man aber sehen, dass aber 170 Millionen Identitäten vorliegen und auch aus welchen Zeiträumen sie stammen. Das häufigste Kennwort in der Datenbank lautet übrigens “123456”. Wer das verwendet gehört aber sowieso gesteinigt cool

Millionen E-Mail Konten gehackt, beim BSI prüfen ob man betroffen ist

Bei der Analyse von Botnetzen sind 16 Millionen E-Mail Adressen mit Kennworten entdeckt worden.
Es sind wahrscheinlich nicht die Kennwörter für die E-Mail Konten selbst sondern für Onlinedienste oder -Shops bei denen man sich mit E-Mail und Kennwort anmeldet.

Die Adressen wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übergeben und dieses hat eine Seite online gestellt auf der man seine E-Mail Adresse prüfen kann.
Ist die eigene Adresse betroffen soll man eine E-Mail mit weiteren Informationen und Tipps für das weitere vorgehen bekommen. Ich habe verschiedene Adressen geprüft und noch keinen Treffer gehabt, von daher kann ich nicht genau sagen was weiter drin steht. Mit Sicherheit, dass man das Kennwort ändern sollte.
Lässt man eine Adresse überprüfen wird ein Sicherheitscode ausgegeben der auch im Betreff der evtl. ankommenden Hinweismail steht. Du solltest die Mail nur öffnen wenn der Code stimmt! Also gut merken. Es ist zu erwarten, dass es Trittbrettfahrer geben wird die gefälschte Hinweismails verschicken mit falschen Tipps.

Also prüfe Sicherheitshalber deine E-Mail Adresse(n). Die Seite ist aber schon den ganzen Tag sehr überlastet, probier es dann später noch einmal.

via Heise Newsticker und diversen anderen Medien im Internetz

Vorbildliches Newsletter Management von Sony Mobile

Sony Mobile hat mir heute eine E-Mail geschickt:

Betreff: Sven, deine letzte E-Mail von Sony Mobile, es sei denn, wir hören von dir

Sony Mobile E-MailHallo Sven
Wir bei Sony Mobile respektieren die Privatsphäre unserer Kunden und möchten sicherstellen, dass wir nur an diejenigen E-Mails senden, die gerne von uns hören.
Wenn du also weiterhin Produktneuigkeiten und Sonderangebote von Sony Mobile erhalten möchtest, klicke bitte auf das Feld unten, um uns dies mitzuteilen. Du kannst natürlich jederzeit deine Meinung ändern und die E-Mails abbestellen, indem du uns eine E-Mail sendest oder in den E-Mails auf den Link zum Abbestellen klickst.
Wenn du nicht auf das Feld unten klickst, erhältst du keine weiteren E-Mails.
Das ist ungewohnt und klingt nach den Briefen die man im letzten Jahrtausend bekam ob man weiterhin den Versandkatalog bekommen möchte oder ob man anderthalb Bäume weniger schreddern muss.

Das kann ich bisher nicht bei E-Mail Newslettern, die Materialkosten sind da überschaubar cool

Aber es hat Sinn.

Die Newsletter haben die Angewohnheit sich zu häufen, meist weiss man nach ein paar Ausgaben gar nicht mehr dass/ob/warum man ihn bestellt hat. 90% werden wahrscheinlich ungesehen gelöscht (wenn’s gut läuft) oder als Spam deklariert und evtl. gemeldet (wenn’s weniger gut läuft).
Durch diese Nachfrage wird Sony mit Sicherheit viele Abonnenten verlieren. Aber die, die bleiben sind ungleich wertvoller. Der Newsletter erreicht anschliessen die Leute die auch wirklich interessiert sind. So gute Kontakte kann man gar nicht einkaufen. Qualität ist letztlich doch wichtiger als Quantität.

Liebe Firmen im Internetz: Bitte nachmachen!

Neuer PGP/GPG Key

Vorhin habe ich einen neuen GPG/PGP Key erstellt.
GnuPG

Den vorigen hatte ich nur bei Bedarf rausgegeben, im nachhinein finde ich das falsch und somit ist der neue hier im Impressum hinterlegt wie es sich gehört:

Public Key: rowi.asc
MD5 Checksum: f3320fd445cfac97887b9c3443ea0eed
SHA1 Checksum: 361496eb01bb355f7cbd1cd457392ce7e07fe715

Mit PGP bzw. der freien Variante GnuPG kann man E-Mails so verschlüsseln dass nur bestimmte Empfänger sie lesen können oder man kann sie signieren, also unterschreiben, und damit sicherstellen dass die E-Mail wirklich von dem richtigen Empfänger kommt und nicht verändert wurde.

Eine sehr gute Einführung inklusive Anleitung gibt es beim unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD, www.datenschutzzentrum.de).
Zur Verdeutlichung worum es geht kopiere ich hier einfach mal aus der Einführung:

Verschlüsselung? Ich habe doch gar nichts zu verbergen! Oder?

Es geht gar nicht so sehr darum, ob man etwas “zu verbergen” hat. Aber manche Dinge möchte man lieber vertraulich behandeln. Wenn Sie persönliche oder geschäftliche Nachrichten lieber im verschlossenen Umschlag statt als Postkarte verschicken, dann sollte es für Sie selbstverständlich sein, auch Ihre elektronische Post zu verschließen, zum Beispiel mit PGP.

Ist unverschlüsselte E-Mail denn so unsicher?

Leider ja. E-Mail geht auf dem Weg durchs Internet oft ganz eigene Wege, läuft über viele verschiedene Rechner, bevor sie beim Computer des Empfängers ankommt. Auf jedem dieser Rechner kann die Nachricht gelesen und auch verändert werden, ohne dass dies für den Empfänger erkennbar ist. Experten gehen davon aus, dass heute ein Großteil des Datenverkehrs automatisiert überwacht und nach Schlüsselbegriffen ausgewertet wird.

E-Mail ist schon schwer...

E-Mail ist mit der älteste Dienst im Internet.
Wohl definiert in RFC (2)822 und 2045ff.
Es gibt hunderte, wenn nicht tausende tools um E-Mails zu versenden. Und mit den Jahren sollten die das auch hinbekommen.

Sollte man meinen. Aber jeder Woche warnt mich mein Mailprogramm beim betrachten des Newsletters der UCI Kinowelt:
UCI Kinowelt Newsletter - MIME Warnung

Das kann sogar Outlook besser eek

Weiss jemand welches Tool sich hinter “X-Bulkmail: 3.12” verbirgt? X-Mailer Header o.ä. gibt es nicht.