Die Quellen, aus denen die Zugangs-Daten stammen, wurden laut Hold Security von rd. 420.000 bekannten und weniger bekannten Websites gestohlen. Weiter heisst es, die Daten wurden bisher lediglich zum Versand von Spam-eMails, die Links zu Schadprogrammen enthalten, verwendet. Die Hacker seien aber nicht abgeneigt, die erbeuteten Information zu verkaufen.
Ein Angriff in diesem Ausmass ist nur über ein Botnetz möglich, d.h. viele Rechner sind involviert. Wie ein Rechner Mitglied eines Botnetz werden kann, sehen Sie auf unserer Seite Der Weg und Werdegang eines Computer-Schädlings
Die abgegriffenen Zugangs-Daten der bestohlenen Websites lagen offensichtlich im Klartext (unverschlüsselt) vor, sonst wären sie wertlos. Dies zum Thema "Fahrlässiger Umgang mit Kundendaten durch Firmen"...
Fazit: Es ist immer die gleiche Leier. Das sichere Passwort sollte regelmässig geändert und es dürfen niemals gleiche Passwörter für unterschiedliche Portale verwendet werden. Hinterfragen Sie zudem bei Dienstleistern, wie Zugangsdaten/Passwörter dort gespeichert werden (im Klartext oder mit einem SALT verschlüsselt), BEVOR Sie ihnen das Vertrauen aussprechen! Und speichern Sie keine sensiblen Daten in der undurchsichtigen, nebulösen Wolke (auch Cloud genannt) - there is no place like localhost!
Auch ist es überhaupt keine gute Idee, bei Dienstleistern, die eine "Passwort-Vergessen-Funktion" über die Beantwortung von simplen Fragen - wie z.B. "Wie heisst mein Haustier" - anbieten, eine reale Antwort zu hinterlegen (ein sicheres Passwort wäre so Makulatur). Vielmehr sollte hier eine harte Kombination aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen zum Einsatz kommen. Z.B. Wie heisst mein Haustier? Antwort: M6R2Lg_J#4jl3)@{#+*0E3rb6297~qHKFOP (natürlich verwenden Sie diese Kombination nicht, sondern generieren eine eigene!). Siehe unseren Passwort-Checker und Passwort-Generator.
UPDATE: Hold Security will aus dem Identitätsdiebstahl Kapital schlagen, indem sie über einen sog. Breach Notification Service ihre Kunden warnen möchte, falls ihre Daten in einem von der Sicherheitsfirma aufgedeckten Datenklau auftauchen sollten, auch zum aktuellen Fall. Dafür muss eine Jahresgebühr von 120 US-Dollar bezahlt werden (siehe Artikel bei Forbes).
Man muss sich fragen, wer da schlimmer ist, die Hacker oder Hold Security? Oder wird hier evtl. sogar zusammengearbeitet? Hold Security hat laut eigenen Angaben zumindest mit der Hacker-Gruppe in Russland kommuniziert. Geld wollen jedenfalls beide "Fraktionen" machen...
Auch muss sich - vor diesem Hintergrund - Hold Security zurecht fragen lassen, ob hier die Zahlen nicht zu sehr aufgebauscht wurden (an Dramatik und Panikmache fehlt es nicht), um möglichst grosse Unsicherheit zu schaffen. Jedenfalls scheint es uns nicht integer und fragwürdig zu sein, ein Bedrohungsszenario in die Welt hinauszuposaunen, um hernach mit der Herausgabe von weiteren Informationen hierzu Kasse zu machen.
|