Wer hat schon sein Ibääähh-Passwort geändert?

Elias schrieb:
:D :p :P :D
Zum Vergrößern anklicken....

Das man jetzt schon im altehrwürdigen Duden solche Druckfehler lesen muß, ist der Hammer. &:
Die scheinen auch nicht mehr auf dem neuesten Stand zu sein. :B
Berichtigung der Abkürzung et cetera: etc, ist in Richtung Duden-Redaktion unterwegs. :) :-):d
 
:roflmao: :g

erst heute, um 14.42 Uhr hat sich eBay via E-Mail dazu herabgelassen, mich als Mitglied/Käufer/Verkäufer ausführlich darüber zu informieren, dass ich mein Passwort ändern sollte. :g :g :g :g "Wir haben vor Kurzem festgestellt...." Dabei war die Attacke schon im Februar und März :j
Der Shitstorm im I-Net hat wohl Früchte getragen :j

Edit:
Ach ja, hier der Text:

WICHTIG: PASSWORTÄNDERUNG

Liebes eBay-Mitglied,

Um sicherzustellen, dass unsere Kunden bei eBay auch weiterhin sicher und mit vollem Vertrauen kaufen und verkaufen können, bitte ich alle eBay-Nutzer, ihr Passwort zu ändern.

Der Grund ist folgender: Wir haben vor Kurzem festgestellt, dass unser Firmennetzwerk Ziel einer Cyber-Attacke geworden ist. Dabei wurde auf eine Datenbank mit Passwörtern von eBay-Nutzern zugegriffen.

Was Sie wissen sollten: Es gibt keine Anzeichen dafür, dass auf Ihre Zahlungsinformationen zugegriffen wurde oder die Sicherheit dieser durch die Attacke in irgendeiner Weise beeinträchtigt wurde. Und Ihr Passwort war verschlüsselt.

Bitte tun Sie Folgendes:
Gehen Sie zu eBay und ändern Sie Ihr Passwort. Mir ist bewusst, dass es für Sie zusätzlichen Aufwand bedeutet, Ihr Passwort zu ändern. Wir tun alles in unserer Macht stehende, um Ihre Daten zu schützen, und das Ändern Ihres Passworts ist eine weitere Vorsichtsmaßnahme - zusätzlich zu den anderen Sicherheitsvorkehrungen, die wir implementiert haben.

Wenn Sie eBay bisher nur als Gast genutzt haben, wurde kein Passwort hinterlegt.

Sollten Sie das Passwort, das Sie bei eBay verwenden, auch für andere Websites nutzen, so ändern Sie es unbedingt auch dort. Und für PayPal-Nutzer gilt: Es gibt keine Anzeichen dafür, dass Ihr PayPal-Konto oder Ihre PayPal-Zahlungsinformationen betroffen sind, da diese bei PayPal sicher in einem separaten System verschlüsselt gespeichert werden.

Darüber hinaus machen wir Folgendes:
  • Für den Fall einer nicht autorisierten Aktivität in Zusammenhang mit Ihrem eBay-Konto greifen nach wie vor unsere starken Schutzmaßnahmen für Käufer und Verkäufer.
  • Wir implementieren zusätzliche Sicherheitsmaßnahmen für den Schutz unserer Kunden.
  • Wir arbeiten mit den zuständigen Strafverfolgungsbehörden und mit führenden Sicherheitsexperten zusammen, um diesen Vorfall aufzuklären.


Was wir wissen: Die Attacke ereignete sich zwischen Ende Februar und Anfang März und hatte zur Folge, dass unrechtmäßig auf eine Datenbank mit eBay-Nutzerinformationen zugegriffen wurde – einschließlich Kundennamen, verschlüsselter Passwörter, E-Mail-Adressen, Postadressen, Telefonnummern und Geburtsdaten.

Die Datei enthielt aber keine Zahlungsinformationen, und nach intensiver Untersuchung und Analyse unserer Datenbanken haben wir keinen Nachweis dafür gefunden, dass Bank- oder Kreditkartendaten unserer Nutzer betroffen sind. Wir konnten auf unserer Website auch keinerlei Anzeichen für eine Zunahme von Betrugsfällen oder die Entschlüsselung von Passwörtern feststellen.

Uns ist bewusst, dass diese Situation für Sie irritierend sein kann und einen zusätzlichen Aufwand bedeutet. Dies bedauern wir sehr. Für eBay als weltweiten Marktplatz ist nichts wichtiger als die Sicherheit und das Vertrauen unserer Kunden. Unsere Kunden haben hohe Erwartungen an uns. Dieser Verantwortung stellen wir uns, indem wir Ihnen eine sichere Handelsplattform bieten, egal über welches Gerät Sie eBay nutzen.
 
Zuletzt bearbeitet:
Richtig erfolgreich wären die Hacker ja, wenn sie
die Umstellungen auf neue Passwörter kacken würden..... :d:d:d
 
rapidozzzz schrieb:
Das wäre in der Tat eine sehr außergewöhnliche Leistung.:d
Zum Vergrößern anklicken....

Weshalb? Wenn sie schon vorher es schafften "Mitarbeiter-Konten" zu knacken, dann ganz sicher auch zukünftig :X
Die wollten wohl ganz bewusst eBay "vorführen"... und eBay hat sich genau so gegeben, wie es wohl die Hacker erwarteten.... überheblich und angeblich "unangreifbar" :whistle:
 
Häufig nutzen die Täter eine Sicherheitslücke aus - die dann vom Diensteanbieter gestopft wird. Daher lässt sich so etwas in aller Regel nicht einfach auf gleiche Art und Weise wiederholen.
 
fantomasio schrieb:
Weshalb? Wenn sie schon vorher es schafften "Mitarbeiter-Konten" zu knacken, dann ganz sicher auch zukünftig :X
Die wollten wohl ganz bewusst eBay "vorführen"... und eBay hat sich genau so gegeben, wie es wohl die Hacker erwarteten.... überheblich und angeblich "unangreifbar" :whistle:
Zum Vergrößern anklicken....

....er meinte eher meinen Tippfehler..... ;):d:d:d
 
Brummm schrieb:
Häufig nutzen die Täter eine Sicherheitslücke aus - die dann vom Diensteanbieter gestopft wird. Daher lässt sich so etwas in aller Regel nicht einfach auf gleiche Art und Weise wiederholen.
Zum Vergrößern anklicken....

Dem Irrglauben sitzen und saßen wohl in der Vergangenheit schon Viele auf.

Ich hoffe, dass sich das in der späteren Zukunft wirklich ändern wird. Aber in der jüngeren Vergangenheit haben alle immer nur "gestopft", aber nicht wirklich "gesichert". Ist ja richtig teuer und umständlich ein Sicherheitssystem aufzubauen, gerade bei einem bestehendem System.
 
fantomasio schrieb:
Dem Irrglauben sitzen und saßen wohl in der Vergangenheit schon Viele auf. ...
Zum Vergrößern anklicken....

Genau, und wenn ich dir nun sage, dass wir zahlreiche der großen und größten Diensteanbieter u. a. auch zu solchen Themen beraten und ich daher ziemlich gut weiß, welcher Aufwand in solchen Fällen betrieben wird, ist das natürlich wieder oberlehrerhaft. Also lassen wir es ruhig bei deiner Meinung. ;)

Konsensfähig dürfte immerhin der Umstand sein, dass sich vollständige Sicherheit in den Systemen kaum erreichen lässt.
 
Dafür sitzen ja bekanntlich ebenso die "Profis" auf der anderen Seite ;) Daher können "Anwender" wie Deine Klientel auch immer nur reagieren und nicht agieren. Selbst wenn sie agieren, werden sie immer nur zu den Reagieren gemacht. Weil, bekanntlich, die "Profis" mit auf der Gegenseite sitzen.
Wer anderes glaubt, glaubt auch zukünftig an...... (Freiplatz dient für so ziemlich Vieles)

Wie schon einmal an andere Stelle oder auch anderen Foren vor Jahrzehnten erwähnt. Schon damals wurde meine "These" als abenteuerlich und "verrückt" abgekanzelt. Vor Jahrzehnten behauptete ich, dass die Amis das Internet als solches "scannen" und abhören. Danke Snowden, meine Paranoia war nicht unbegründet

So auch die vorab stehende "Behauptung". Ich bleibe dabei. wer den Bock zum Gärtner macht.... Anders funktioniert das doch fast gar nicht.
 
fantomasio schrieb:
Dafür sitzen ja bekanntlich ebenso die "Profis" auf der anderen Seite ;) Daher können "Anwender" wie Deine Klientel auch immer nur reagieren und nicht agieren. Selbst wenn sie agieren, werden sie immer nur zu den Reagieren gemacht. Weil, bekanntlich, die "Profis" mit auf der Gegenseite sitzen. ...
Zum Vergrößern anklicken....

Das stimmt in vielen Fällen nicht, weil sehr viele Diensteanbieter und Rechenzentrumsbetreiber eigene Profis beschäftigen, die den lieben langen Tag nichts anderes tun, als nach Sicherheitslücken in den eigenen Systemen zu suchen. Nur reicht das offensichtlich nicht immer aus, um alle Risiken zu finden und zu minimieren, bevor andere darauf kommen.

Es gibt aber in der Tat auch Fälle, wo erkannte Sicherheitslücken lange offen bleiben. Grund dafür sind häufig die Ressourcenplanung oder auch, man glaubt es kaum, verängstigte Entwickler, die ihren Fehler nicht eskalieren möchten.
 
oder anders herum, die mal Hacker waren und..... aber..... och herrje, wie konnte ich nur... wie war das noch? Anders rum? Oder doch richtig.... man kommt schon mit der realen Welt nimmer klar &: :) :-)

Edit:
Vor vielen Jahren kannte ich eine Person persönlich - zu PS1-Zeiten - der verpasste meiner PS1 ein Chip, wir witzelten und hielten alle für..... weil er ein Hacker - nicht nur Software - war (in Hamburg). 2 Jahre später war er zur GEMA abgeworben und 2 Jahre später war er Abteilungsleiter.

Glaubst Du wirklich, heute ist das so viel anders? Und der umgekehrte Weg zu unlukrativ? Die Politiker leben doch es vor.... ihre Bestechlichkeit.... ihre Lobbyismus-Hörigkeit. Der Kleine soll davor gefeit sein? ;)
 
Zuletzt bearbeitet:
fantomasio schrieb:
... weil er ein Hacker - nicht nur Software - war (in Hamburg). 2 Jahre später war er zur GEMA abgeworben und 2 Jahre später war er Abteilungsleiter.

Glaubst Du wirklich, heute ist das so viel anders? ...
Zum Vergrößern anklicken....

Woher diese Sicherheitsspezialisten ihre Fachkenntnis haben spielt für unser Thema hier und insbesondere für meine Aussage doch gar keine Rolle. :eek: :o

Aber gleich mal wieder mit einem Rundschlag über Politik und Lobbyismus hinweggefegt. :confused:
 
hans-dampf schrieb:
was ich nicht verstehe.....
was bringt mir den das sicherste Passwort, wenn dann der Server des Anbieter gehackt wird?&:
Zum Vergrößern anklicken....
Wenn ich es richtig gesehen habe, hast du da noch keine Antwort erhalten.

Im Normalfall wird das Passwort nie im Klartext gespeichert (obwohl es doch tatsächlich noch Anbieter gibt, die eine solche Unsitte betreiben).
In der Praxis wird ein Hash aus dem Passwort generiert und gespeichert. Wichtig ist dabei, ein Verfahren zu nutzen, bei dem man kein
Verfahren kennt, um aus dem Hash wieder das ursprüngliche Passwort zu berechnen.

Nehmen wir mal an, ich habe das Passwort "password" gewählt. Nun kann ich daraus einen Hash berechnen: 5f4dcc3b5aa765d61d8327deb882cf99
(Ich nutze für das Beispiel MD5-Hashes, die kommen inzwischen aus Sicherheitsgründen aus der Mode, spielt hier aber keine Rolle).
Man kann zwar immer noch nicht, aus dem Hash-Wert den ursprünglichen Text berechnen, aber man kann natürlich probieren. Das haben
diverse Leute auch bereits getan. Im Ergebnis gibt es Datenbanken, wo man so etwas nachschlagen kann. Google einfach mal nach dem Hash von
oben.

In der nächst besseren Version kommt daher noch etwas Salz (Salt) dazu. Der Zerver erzeugt noch einen zufälligen Text, z.B. 37qA# und stellt das
vor das Passwort. In der Datenbank wird jetzt der Salt 37qA# und der neue Hash c8998f5f6ba33bf33431c0b8c0c1ddb3 (der Hash von 37qA#password)
gespeichert. Mit dieser Technik kannst du jetzt Wörterbuchangriffe verhindern. Aber nicht das ausprobieren.

Wenn ich als Angreifer nun die daten 37qA# und c8998f5f6ba33bf33431c0b8c0c1ddb3 in die Hände bekomme, dann fange ich an zu raten. Als erstes
mit nem Wörterbuch und password steht da ziemlich weit vorne. Den Hash habe ich damit in Sekunden raus und kenne damit auch das Passwort.
Es gilt also dafür zu sorgen, das ich sehr lange raten muss. Das ist übrigens gar nicht so einfach, aber ein anderes Thema (gab mal einen schönen
Artikel in der ct dazu, aber den finde ich nicht auf anhieb).

Bleibt natürlich immer noch die Frage: Wozu das alles, wenn ich mich ins System hacke?
Die Antwort ist relativ simpel: In fast allen bekannt gewordenen Fällen, sind Angreifer "nur" an die Passwort-Datenbank gekommen. Wenn ich
jetzt die Passwörter rausfinde, komme ich an die entsprechenden Accounts. Wenn nicht, dann nicht - denn meistens braucht man für direkte
Angriffe auf Nutzerkonten nochmal andere Sicherheitslücken, die dann auch schwieriger auszunutzen sind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten