Sellerforum.de - Seit 2007 das Portal für eCommerce und Handel

So, was ich eigentlich sagen wollte: In der Aktuellen Stunde gestern hieß es 800 Mio gestohlene Mailadressen und 20 Millionen Passwörter. Das bedeutet aber doch, dass nicht zu jeder Mailadresse das zugehörige Passwort vorhanden ist?

Die 20 Millionen Passwörter sind NICHT die Passwörter für das E-Mail Konto.

Sondern es sind E-Mail - Passwort Kombinationen irgendeiner gehackten Website.

Also eine meiner E-Mail Adressen war z.B. vom Adobe Hack vor ein paar Jahren betroffen, d.h. die Hacker haben die E-mail Adresse und mein Adobe Passwort.

D.h. das sind dann zwei mögliche Probleme:
1. Wer die E-Mail Passwort Kombi kennt, hat dann Zugang zum Adobe Konto, wenn man das Passwort dort nicht ändert oder Adobe den Zugang sperrt.
2. Wer die E-Mail Passwort Kombi kennt, kann diese dann bei anderen Diensten ausprobieren, in der Hoffnung das man dort die gleiche Kombination genutzt hat.

Also wenn z.B. einer deiner E-Mail Adressen betroffen ist, dann solltest du sicherstellen, dass du nirgends Kundenkonten hast, wo du identische Passwörter genutzt hast.

Edit 2 (ich hab Koshops Beitrag übersehen und muss erstmal lesen kurz)

Nachdem ich koshops Beitrag gelesen habe, raff ich´s glaube ich doch: Ich kaufe mit der web.de-Mailadresse in einem Shop z.B. Gewürze und die Kombi besteht aus dem Passwort für den Gewürzshop und der web.de-Adresse. Wenn ich mit dieser Kombi auch noch in anderen Shops Seife, Schuhe und Medikamente gekauft hätte, dann könnte ein Hacker in allen anderen Shops an mein Kundenkonto.
Solange diese Kombi weder für PayPal, noch für Bank-Logins oder ähnlich brisantes genutzt wurde, ist es aber nicht der worst case ever ever ever.
Hab ich es jetzt?

Das würde in meinem Fall dann bedeuten, dass web.de gehackt wurde? Hab ich das richtig verstanden? Weil nirgendwo sonst habe ich diese Kombi jemals verwendet. Sorry falls ich nerve, aber ich raffs nicht.

Nein.

Nochmal:

Du meldest dich z.B. im selleforum an mit der E-mail Adresse vio@ web.de und dem Passwort 123456

Das Sellerforum wird gehackt und der Hacker erbeutet Nutzernamen und Passwörter. Das Passwort ist ggf. zwar verschlüsselt kann aber entschlüsselt werden. Entweder weil ein veralteter Algorithmus verwendet wurde, oder weil das Passwort zu einfach war und deshalb durch "ausprobieren" entschlüsselt werden konnte. Ausprobieren heißt, der Hacker hat ein Programm das einfach verschiedene Kombinationen durchprobiert, bis er das Passwort entschlüsselt hat.

Dann hast du wie gesagt zwei Probleme:
1. Wer Passwort und E-mail Adresse kennt kann sich im Sellerforum einloggen.
2. Wer Passwort und E-mail Adresse kennt kann diese bei anderen Diensten ausprobieren.

D.h. ich guck jetzt einfach mal ob du bei Paypal auch vio@ web.de und 123456 als Zugangsdaten hast, oder bei Amazon oder Ebay oder sonstwo.

Hab ich es jetzt?

Ja.

*verbeug* Danke für Deine Geduld.
Jahaa, manchmal brauch ich etwas länger. #Neuland! NichtmeinThema

Hier noch was:
http://www.spiegel.de/netzwelt/web/coll ... =nl-dertag

ReginaSF hat geschrieben: ↑18. Jan 2019 07:01Ist ja eigentlich die Königsklasse des Social Engineering: Bringe massenhaft verunsicherte User dazu, nicht nur die gehackte E-Mail-Adresse zu prüfen, sondern alle, die sie als Login verwenden und ordne das dann anhand IP-Adresse und Abfragezeitpunkt einander zu. Gibt doch gleich eine noch viel schönere Datensammlung.

Der Sicherheitsforscher, der die Prüf-Seiten betreibt, hat wohl einen ganz guten Ruf. Aber deine Idee kann man noch viel weiter treiben, denn ...

https://www.heise.de/security/meldung/P ... 92707.html

Er betreibt auch einen Webservice, mit dem man feststellen kann, ob das Passwort was man für Seite XY benutzt auch schon bekannt ist.

Jetzt suche ich zuerst nach Mail-Adressen und dann checke ich alle meine Passwörter - er bräuchte nur die Daten von beiden Diensten zu kombinieren und schwupps ...