"Passwort-Sammlung..." /I

VON Dr. Wolf SiegertZUM Freitag Letzte Bearbeitung: 26. Januar 2019 um 16 Uhr 17 Minutenzum Post-Scriptum

 

Sind Ihre Passwörter Unbekannten bekannt?

Gestern, am 17. Januar 2019, erschien dazu ab 9:59 ein wirklich hilfreicher Text von Fabian A. Scherschel: Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Der Hinweis auf diesen Artikel kam von LeserInnen, die sich in den letzten Monaten die dazu hier veröffentlichten Texte angesehen hatten, insbesondere diese hier:
- Hello! I’m a programmer who cracked...
- Porn pays off

Wir haben daraufhin alles Stehen und Liegen gelassen und eine komplette Prüfung durchgeführt. Aufgerufen wurden dafür die Seite:
- https://haveibeenpwned.com/Passwords

Mit dem Ergebnis, dass alle bislang eingesetzten Passwörter - und das sind eine Menge - als "save" angezeigt wurden.

Von den Finanzierungsvorschlägen für eine freiwillige Einzahlung wird dieser favorisiert:

Der Umstand, dass dazu alle Daten und Einträge auch offline verzeichnet waren - und sind - ist vielleicht nicht der effizienteste Weg, aber es war gut zu wissen, ’was Sache ist’.

P.S.

Es fand sich zu guter Letzt dann doch ein Passwort, das in der Suchliste wieder aufgefunden wurde. Um herauszufinden, wie dieses hat "entwendet" werden können, wurden nochmals alle möglichen dahingehend "verdächtigen" Adressen und Einträge überprüft. Und die Schwachstelle schliesslich gefunden. Das gekaperter Passwort war jenes, das für das spg.Account Anwendung gefunden hatte, auf dem "Starwood Preferred Guest"-Konto. Mehr dazu findet sich auf dem Marriott International Starwood Guest Reservation Database Security Incident. In einem Eintrag vom 4. Januar 2019 heisst es u.a.:

After further data analysis we have identified approximately 383 million records as the upper boundary for the total number of guest records that were involved in the incident. This does not, however, mean that information about 383 million unique guests was involved, as in many instances, there appear to be multiple records for the same guest. We concluded with a fair degree of certainty that information for fewer than 383 million unique guests was involved, although the company is not able to quantify that lower number because of the nature of the data in the database.

Allowing for the fact that even the most exhaustive investigation cannot necessarily provide complete certainty, Marriott now believes the following about the data involved in the incident:

— There were approximately 8.6 million unique payment card numbers, all of which were encrypted;
— There were approximately 5.25 million unique unencrypted passport numbers and approximately 20.3 million encrypted passport numbers.