Identity Leak Checker - Wurdest du bereits ausspioniert?

[mole0815]

Durch den aktuellen SuperGau bei Ledger bin ich wieder auf ein Thema gekommen dass ich schon längst hier posten wollte.

Kennt ihr den HPI Identity Leak Checker?

Hier findet ihr div. Berichte und Infos dazu:
https://www.it-sicherheitscluster.de/identity-leak-checker/
https://www.konsument.at/computer-telekom/link-tipp-gestohlene-daten

Der Check kann auf dieser Webseite durchgeführt werden: https://sec.hpi.de/ilc/search?lang=de
-> Mailadresse eingeben und abwarten.

Das Mail beinhaltet dann eine Tabelle mit detaillierter Auflistung der betroffenen Leaks.
Beispielbild:


Ich selbst bin von etwas mehr als einer Hand voll solcher Probleme betroffen... und Ledger kam jetzt auch noch dazu.
2 davon hatten sich aber bereits vor mehr als einem Jahr gemeldet und darum gebeten die Kennwörter zu ändern.

Zusätzlich bietet die oben verlinkte Webseite noch folgendes Feature an:

Mit einem weiteren Analyse-Tool des Hasso Plattner Institutes können Nutzer auch ihren Browser und die darin installierten Plugins auf Sicherheitslücken überprüfen lassen. Der Online-Dienst greift dabei auf die Schwachstellendatenbank für IT-Angriffsanalysen des HPI zu. Die Informationen über Sicherheitslücken werden tagesaktuell aus diversen Quellen in einer sehr effizienten HANA In-Memory-Datenbank (SAP) aggregiert, wie z.B. Microsoft Security Bulletins, SAP Security Notes, Google Security Notes, OSVDB, Secunia, NVD, CPE, SecurityFocus. Die Ergebnisse werden auch im XML-Format bereitgestellt und sind über ein API abrufbar.

Das hier erwähnte Angebot überschneidet sich teilweise mit dem Angebot von https://haveibeenpwned.com/
Dort gibt es zusätzlich auch die Möglichkeit verwendete Kennwörter zu überprüfen... das aber auf keinen Fall online durchführen sondern per Download (hier) und lokaler Suche!

Bitte vorsichtig bleiben - bei Mails, SMS und Anrufen immer skeptisch sein und im Zweifelsfall lieber 2x nachfragen/nachdenken als 1x einen Fehler zu begehen.

[bullrun2024bro]

Durch den aktuellen SuperGau bei Ledger bin ich wieder auf ein Thema gekommen dass ich schon längst hier posten wollte.

Kennt ihr den HPI Identity Leak Checker?

Schöner Thread @mole0815.

Die Daten des Ledger-Hacks scheinen aber noch nicht (vollständig) hinzugefügt worden zu sein. Meine E-Mail wurde mir nämlich als sicher angezeigt und das obwohl ich definitiv betroffen bin und seit Monaten Spam-Emails und SMS erhalte.

Weißt du hier mehr?

[mole0815]

Die Daten des Ledger-Hacks scheinen aber noch nicht (vollständig) hinzugefügt worden zu sein. Meine E-Mail wurde mir nämlich als sicher angezeigt und das obwohl ich definitiv betroffen bin und seit Monaten Spam-Emails und SMS erhalte.

Weißt du hier mehr?

Nein ich weiß nicht mehr. Da es sich bei https://hpi.de/ um die Seite einer Uni handelt sind die vermutlich auch von Corona betroffen bzw. benötigen noch etwas Zeit um die aktuellen Daten einzupflegen.

Es gäbe Kontaktdaten unter https://sec.hpi.de/ilc/contact aber ich habe noch nicht nachgefragt bis wann der Ledger Leak berücksichtigt wird. Auch in den FAQ konnte ich keine Infos bzgl. ihrem Vorgehen finden. Werde die Tage (zwischen Weihnachten und Neujahr ist es immer etwas ruhiger) aber nachfragen und euch Bescheid geben wenn ich eine Antwort erhalten habe

https://haveibeenpwned.com/ berücksichtigt das aktuelle Problem bereits.

//edit: Mail ist abgesendet

[Lakai01]

Schade, dass hier nicht auch angezeigt wird welche konkreten Daten betroffen sind. Bei mir wurden bspw Passwortdaten geleaked, da wüsste ich jetzt schon gern welches PW das konkret ist ... durch meine Passworterstellregel lässt sich dann auch ganz einfach rausfinden, welche Seite da gehacked wurde

Nichts desto trotz ein tolles Tool, sollte doch von jedem, dem seine Onlineidentität etwas wert ist, genutzt werden!

[Serpens66]

editiert: weiter hier https://bitcointalk.org/index.php?topic=5303525

Wäre noch jemand interessiert an einer Sammlung von möglichen Tipps, was man gegen sowas tun kann? Bin nciht sicher ob ich dafür nen eigenen Thread öffnen soll... (diesen super thread ( https://bitcointalk.org/index.php?topic=5220920.0 )kenne ich schon, aber da gehts eher um KYC Vermeidung, aber das ist einfach zu unpraktikabel)

Welche legalen (oder zumindest keine Straftaten) gibt es, trotz KYC/AML und trotz Hack nicht Opfer einer Entführung/Mord usw zu werden?

[bct_ail]

durch meine Passworterstellregel lässt sich dann auch ganz einfach rausfinden, welche Seite da gehacked wurde

Erzählst du uns mehr von deiner Regel?

Wäre noch jemand interessiert an einer Sammlung von möglichen Tipps, was man gegen sowas tun kann? Bin nciht sicher ob ich dafür nen eigenen Thread öffnen soll...

Gute Idee. Eröffne mal einen Thread und las darüber diskutieren. Ist ja durch den Ledgerhack mehr als aktuell gerade.

[Lakai01]

durch meine Passworterstellregel lässt sich dann auch ganz einfach rausfinden, welche Seite da gehacked wurde

Erzählst du uns mehr von deiner Regel?

Davon habe ich mittlerweile vor einer halben Ewigkeit - damals noch als Forums-"Member" - mal in einem Thread genauer erzählt, hier der relevante Ausschnitt:

Um Passwörter nicht recyclen zu müssen verwende ich wie gesagt einen Passwortsafe. Es gibt aber auch die Möglichkeit, sich selber auf relativ einfache Art und Weise pro Account eindeutige Passwörter zu generieren – und diese auch zu merken.

Nehmen wir an unser Passwort ist wieder „MDCwmi10Jrm“ … ich will mir nun einen Account bei bitcoin.de erstellen. Was sicher ewig gleich bleiben wird ist hier die URL, eignet sich also ideal, um mein Passwort damit die verbessern. Ich könnte also einen Teil der URL verwenden um mir das Passwort geringfügig abzuändern, bspw. mit dem ersten und den letzten Buchstaben der URL: bitcoin.de -> so wird aus meinem Passwort MDCwmi10Jrm.be … für GMX.com wärs MDCwmi10Jrm.gm usw. usf. Die Regel kann man nach Belieben abändern, man muss sie sich nur merken können ;-)

Ich hab so eine Passwortregel im Einsatz bei Accounts, die "wichtig" sind. Mit meiner geleaked-ten Mailadresse melde ich mich auch nur bei Seiten bei solchen Seiten an, für alle anderen Seiten verwende ich entweder Wegwerf-Mailadressen oder bestimme Spamadressen. Dadurch könnte ich ganz genau sagen, von welcher Seite der Leak stammt.

Meine konkrete Regel ist etwas genauer als die hier beschriebene und gleichzeitig auch etwas weniger offensichtlich, da werden an bestimmten Stellen im Passwort verschiedene Zahlen je nach URL gesetzt.

[bct_ail]

Davon habe ich mittlerweile vor einer halben Ewigkeit - damals noch als Forums-"Member" - mal in einem Thread genauer erzählt, hier der relevante Ausschnitt:

Danke. Aber da du einen Passwortsafe besitzt, ist eine Regel für die Passwörter doch eigentlich nicht notwendig, denn der erstellt doch sowieso einzigartige Passwörter, oder? Also Keepass macht das zum Beispiel.

[bob123]

Danke. Aber da du einen Passwortsafe besitzt, ist eine Regel für die Passwörter doch eigentlich nicht notwendig, denn der erstellt doch sowieso einzigartige Passwörter, oder? Also Keepass macht das zum Beispiel.

Ist zwar empfehlenswert, muss aber nicht gemacht werden.
Keepass erlaubt es dir auch eigene Passwörter festzulegen.

Das wichtigste ist ja im Endeffekt einfach, dass sie möglichst zufällig sind (hier gewinnt definitiv der Rechner gegen den Menschen), lang genug und dass für jede Seite / Service ein anderes verwendet wird.

[Lakai01]

Davon habe ich mittlerweile vor einer halben Ewigkeit - damals noch als Forums-"Member" - mal in einem Thread genauer erzählt, hier der relevante Ausschnitt:

Danke. Aber da du einen Passwortsafe besitzt, ist eine Regel für die Passwörter doch eigentlich nicht notwendig, denn der erstellt doch sowieso einzigartige Passwörter, oder? Also Keepass macht das zum Beispiel.

Hat ein bisschen was mit Paranoid zu tun bei mir Den Passwordsafe verwende ich auch am Smartphone, auch die 2-Faktor-Authentifizierung läuft über eine App am Smartphone (wenn auch nochmal extra biometrisch und Pin-Zugriffsgeschützt). Wird mir also mein Smartphone gestohlen wären relativ viele wichtige Daten an einem Ort - wenn auch die Chance äußerst gering wird, dass die geknackt werden.

Wichtige Accounts (Exchanges, Mail, ...) verwalte ich daher im Kopf und nicht über ein Tool.

[Unknown01]

Habe das jetzt auch ausprobiert mit einer meiner Mailadressen und siehe da, einige male wurden irgendwelche Seiten gehackt aber die Seiten konnten nicht genannt werden. Lustig wäre es, wenn die Prüfseite gehackt werden würde 

[Lakai01]

Habe das jetzt auch ausprobiert mit einer meiner Mailadressen und siehe da, einige male wurden irgendwelche Seiten gehackt aber die Seiten konnten nicht genannt werden.

Es tauchen in einschlägigen Foren immer wieder Sammlungen mit Millionen von Adressen auf wo die Herkunft nicht klar ist, den Käufern ist das normalerweise aber auch egal  In dem Fall ist deine Mailadresse dann vermutlich in so einer Sammlung drinnen!

Lustig wäre es, wenn die Prüfseite gehackt werden würde 

Legitime Prüfsiegel speichern die Daten nicht 

[mole0815]

Habe das jetzt auch ausprobiert mit einer meiner Mailadressen und siehe da, einige male wurden irgendwelche Seiten gehackt aber die Seiten konnten nicht genannt werden. Lustig wäre es, wenn die Prüfseite gehackt werden würde 

Bei mir sind es insgesamt 7 Einträge und nur bei 3 davon stand der Anbieter dabei.
Und 2 von den 3 (beides schon lange her) hatten sich bereits gemeldet und den Leak öffentlich gemacht.
Die Sache mit den Daten ist in Summe wirklich Wahnsinn aber so lange es potentielle Interessenten gibt werden die Attacken und hacks nicht weniger werden. Und da die Angreifer auch top ausgebildet sind bzw. auch mal der Zufall mitspielt wird es sowas leider immer mal wieder geben

[Unknown01]

Habe das jetzt auch ausprobiert mit einer meiner Mailadressen und siehe da, einige male wurden irgendwelche Seiten gehackt aber die Seiten konnten nicht genannt werden. Lustig wäre es, wenn die Prüfseite gehackt werden würde 

Bei mir sind es insgesamt 7 Einträge und nur bei 3 davon stand der Anbieter dabei.
Und 2 von den 3 (beides schon lange her) hatten sich bereits gemeldet und den Leak öffentlich gemacht.
Die Sache mit den Daten ist in Summe wirklich Wahnsinn aber so lange es potentielle Interessenten gibt werden die Attacken und hacks nicht weniger werden. Und da die Angreifer auch top ausgebildet sind bzw. auch mal der Zufall mitspielt wird es sowas leider immer mal wieder geben

Ja klar, da kann man auch als betroffene Person kaum Vorkehrungen treffen... wenn man jetzt auch noch darauf aufpassen würde, die Mailadressen oder sonstigen Daten zu schützen kann man ja gleich sich einweisen lassen 

[bct_ail]

Durch so eine Seite stellt man manchmal erstaunt fest, wo man überall mal angemeldet war

[bct_ail]

mir wurden nur Seiten angezeigt, von denen ich noch nie gehört habe bzw weiß, was es dort geben sollte ...

Wer weiß, vielleicht wurdest du ja von jemand anderem dort angemeldet? 

[NullPlan]

Auf dieser Webseite werden einem teilweise gleich noch die geleakten Daten angezeigt.
https://intelx.io/

[bob123]

Und wenn ich dann noch sowas lese:
[LINK REMOVED]
Da würde ich dann doch die Finger von lassen.

Schrecklich.. solch eine unprofessionelle Antwort zu senden.

Stimme dir völlig zu. Das dient vermutlich auch ausschließlich zum Verteilen der Daten.
Gibt ja hier im Forum auch genügend Nutzer, die wann immer es geht gegen Ledger schießen. Denen passt es natürlich, dass so viel Schaden wie möglich angestellt wird. Ob es im Endeffekt den einzelnen Nutzer triffst.. ist denen egal.

Eine einfache Suche via Mail reicht definitiv aus.. Dazu muss nicht der gesamte Leak weiterverbreitet werden.

Dieser Satz zeigt ja auch, dass sie entweder 1) mit Absicht so handeln oder 2) absolut bescheuert sind:

We strongly reject that we are putting anyone at risk.

[bob123]

Also ich habe mir die Seite nochmal angeguckt und ehrlich gesagt würde ich die Links sicherheitshalber rausnehmen (habe ich in meinen Posts mal gemacht)

Bin deinem guten Beispiel mal gefolgt 

Von den Private-Leaks sind dann auch die ersten 30 Einträge offen einsehbar (E-Mail-Adressen und zugehörige Passwörter) und der Rest steckt hinter einem Premium-Abonnement. Und moment mal... Das habe ich vorhin gar nicht realisiert... "Private-Leaks"?! Soll das heißen, dass diese Leaks bisher noch nirgends kostenlos veröffentlicht wurden, die Website-Betreiber diese dann aber kaufen und gegen Bezahlung auch anderen Zugriff darauf geben? Das ist doch nichts anderes, als das Verkaufen geleakter Daten. An diese kommt man dann auch normalerweise nicht so einfach.

Das ist.. richtig asozial.
Die Daten sind ja sowieso schon kostenfrei im Netz erhältlich.

Dann sogar noch versuchen Geld damit zu machen und gleichzeitig zu behaupten man "hilft" den betroffenen Nutzern sodass diese überprüfen können ob deren Daten enthalten ist.. Schlimm was es für geldgierige Gestalten gibt..

[mole0815]

Werde die Tage (zwischen Weihnachten und Neujahr ist es immer etwas ruhiger) aber nachfragen und euch Bescheid geben wenn ich eine Antwort erhalten habe

Wie versprochen hatte ich das Mail an das Institut abgesendet.
Heute kam die Antwort bzw. Bestätigung: https://sec.hpi.de/ilc/search?lang=de berücksichtigt den Ledger Leak ab sofort!
Habe es auch direkt getestet und "Betroffener Dienst" listet jetzt 2x "ledger.com" inkl. aller Daten wenn man in den Files zu finden ist.