vondragonlair 27.01.2019

dragonlair

Technologie ohne Weichzeichner und Softlayer wie grafische Oberflächen.

Mehr über diesen Blog

Am 17ten Januar 2019 wurde die Aufmerksamkeit der taz-Redaktion unfreiwillig auf eine Datenpanne mit dem Namen „Collection #1“ gelenkt. Panik! Millionen von Accounts gehackt! Sind meine Daten noch sicher? Bin ich betroffen? Diese und diverse ähnliche Fragen mit unterschiedlichster emotionaler Einfärbung haben sich ergeben. Die Webseite haveibeenpwned bietet die Möglichkeit für eine Mail-Domain wie @taz.de alle Betroffenen Accounts anzufragen. Der taz wurde dann eine Liste mit etwa 250 Mail-Accounts zugestellt. Schock! 250 Accounts! Etwa 250 Mitarbeiter! Aber eins nach dem anderem. Kaffee organisieren, Finger knacken lassen und dann mal etwas genauer hinschauen.

Was macht haveibeenpwnd eigentlich? Was ist der Ursprung dieser Liste? HIBP sammelt Datenpannen. Die Motivation dabei ist es überprüfen zu können, ob eine Mail-Addresse bei der Datenpanne eines Webdienstleisters betroffen war. Dabei hat HIBP mittlerweile eine beeindruckende Menge von 340 Datenpannen angesammelt. In dieser Liste von Webseiten mit eklatanten Sicherheitsproblemen sind 6474028664 Accounts enthalten… Wait what? 6,5 Milliarden? Die Weltbevölkerung liegt gerade bei etwa 7,6 Milliarden und irgendwas zwischen 3,5 und 4 Milliarden Menschen sind im Internet angekommen. Also etwa 1,6 bis 1,8 Accounts pro Mensch im Internet. Das sind ja rosige Aussichten. Das alles hilft aber genau gar nicht. Kaffee fertig und Framework gestartet…

Realitycheck

Die Liste der taz-Accounts hat exakt 244 „betroffene“ Mail-Accounts. Davon sind 100 nicht mehr aktiv. Diese 100 Accounts sind von ehemaligen Mitarbeiterinnen und mittlerweile abgelaufen. Es ist durchaus möglich, dass sie noch als Login in diversen Webseiten verwendet werden, aber es ist nicht mehr möglich sich damit in einen taz-Account einzuloggen, selbst wenn beim Account des Webdienstleister der Kardinalfehler gemacht wurde das gleiche Passwort wie für den taz-Account zu verwenden. Außerdem sind es „Loginname“ oder Kontaktadressen bei anderen Webdienstleistern und nicht die Benutzername:Passwort-Kombinationen der taz.

Seitennotiz: Wenn zu einer Mail zwei Accounts mit Passwörter existieren die sich in drei Zeichen unterscheiden und eines der Passwörter bekannt wird, hat das zweite Passwort noch eine Sicherheit von drei Zeichen.

Ferner sind die den Datenpannen auch funktionale Accounts wie tor@taz.de enthalten, die zu Kontaktaufnahme gedacht sind, wenn es Probleme mit den Hiddenservice der taz im Onion Netzwerk ( aka. Darknet ) gibt. Die taz ist dort unter ibpj4qv7mufde33w.onion zu finden.

Die 244 Mail-Accounts sind in 42 unterschiedliche Datenpannen involviert. Wobei jede taz-Mailadresse durchschnittlich in 1,9 Datenpannen auftaucht.

Verteilung der Häufigkeit

Aber kommen wir zurück zu „Collection #1“. Wenn die Datenpanne schon „Collection“ heißt, bringt das die Annahme, dass mehrere Datenpannen zusammengefasst wurden. Eine Sammlung von mehreren Pannen also. Lässt sich das vielleicht etwas aufdröseln? Ja und nein. Was sich bestimmen lässt ist wie sehr zwei Datenpannen in Korrelation stehen. Dafür pflegt man die Daten in eine account/breach Tabellenform und macht an den entsprechenden Stellen „x“ resp. trägt eine Eins ein, statt einer Null. Die Korrelation wird dann gemessen in Werten zwischen -1 und 1. Wobei 1 heißt, dass die Kreuze für zwei Datenpannen immer bei den gleichen Accounts sind. Ein Wert von -1 bedeutet, das genau Gegenteil. Immer wenn bei einer Datenpanne-Mailadresse ein X ist, ist bei der anderen Datenpanne der gleichen Mail-Adresse genau kein X und umgekehrt. Die resultierende Heatmap ist also zur Diagonalen achsensymmetrisch.

Die Korrelation zeigt was wie zusammen hängen könnte. Einen Indiz dafür, was man sich mal genauer ansehen könnte. Eine andere Darstellungsform die sich anbietet ist ein Netzwerkgraph. Dabei wird eine Verbindung zwischen zwei Datenpannen gezogen, wenn ein taz-Mailaccount in beiden auftaucht. Dabei ist es von Vorteil einen „Wasserstandfilter“ auf das Netzwerk anzuwenden um Verbindungen die zu selten auftreten einfach auszublenden. Der Übersicht wegen. Basierend auf den taz-Mailadressen lässt sich dann sagen, dass die „Collection #1“ sich aus den Datenpannen Anti Public Combo list ( Dez. 2016) Exploit.In ( Okt. 2016) und Online Spambot ( May 2017) zusammen setzt. Diese drei Datenpannen sind selbst nur Sammlungen von Datenpannen von Linkedin (2012), Myspace (2008), Dropbox (2012), Adobe (2013) und anderen.

Und jetzt kommt, was kommen muss: Benutze zufällige, generierte Passwörter bei Webdienstleistern. Benutze für jeden Webdienst ein eigenes Passwort. Benutze einen Passwortmanager wie keepass oder bitwarden . Speichere Passwörter nicht „in der Cloud“. Lasse Mailprovider A nicht die Mails bei Provider B abholen. „Mit twitter/facebook/googlemail… authentifizieren“ funktioniert zwar technisch weil verteilte Authentifikationsverfahren wie OAuth verwendet werden, persönlich würde ich es trotzdem nicht machen, weil ich nur Passwörter bei dem Webdienst eingebe für die sie gedacht sind. Am Ende ist es die Onlineidentität des einzeln die betroffen ist. Dann wäre da noch der API-Key. Einige der größeren Webdienstleister bieten es an eine programmatische Ansicht ihres Dienstes zu verwenden. Damit ist es für Programmierer einfach mit dem Service zu interaggieren. Einige Apps aktivieren das im Hintergrund nachdem man sich mit einem Passwort eingeloggt hat. Ist ein Account beim Webdienstleister übernommen worden, muss neben dem Passwort auch der API-Key geändert werden. Ein API-Key ist für eine Programmiererin das, was Benutzername und Passwort für die Anwenderin ist. Worst-case scenario? Bei Amazon und Dropbox seit 2012 das gleiche Passwort und weils einfacher ist eine „One Click Bezahlfunktion“ bei Amazon aktiviert, was dann schnell dazu führen kann sich eine neue Bank suchen zu müssen.

Fazit: Wenn etwas „Collection #1“ heisst, ist es eine Ansammlung von Dingen die schon da waren. Ferner ist es der erste Teil dieser Sammlung mit 2,2Mrd Accounts. Immerhin schon mal 30% von dem was bei HIBP angesammelt rum liegt. Niemand löscht veraltete Accounts aus diesen Listen. Hacks, Datenpannen und Accounts die 5, 10, 15 oder mehr Jahre alt sind befinden sich in diesen Sammlungen.

Anzeige

Wenn dir der Artikel gefallen hat, dann teile ihn über Facebook oder Twitter. Falls du was zu sagen hast, freuen wir uns über Kommentare

https://blogs.taz.de/dragonlair/hibp/

aktuell auf taz.de

kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.