04. März 2015

Wie sicher sind deine Daten wirklich?

Gestern Abend dachte ich, es wäre ein schlechter Scherz gewesen. Doch leider war es die Realität. Nachdem ich mich bei einem Dienst, angemeldet habe, bekam ich die folgende Email:

Hallo,Vielen Dank für Ihre Registrierung bei [Dienst]. Folgende Informationen haben wir für Ihren Login gespeichert:

username: Sergej
passwort: [hier entfernt]

Viele Grüße,
[Dienst] Team

Dier Inhalt innerhalb den eckigen Klammern wurde von mir ich geändert, doch der Rest der Email entspricht jedoch dem Original.

Diese Email wurde weder verschlüsselt übertragen noch wurde sie signiert. Das Wort "gespeichert" ist ein weiterer Dorn im Auge. Klar, Passwörter müssen für die Authentifizierung gespeichert werden. Aber so wie es für mich hier aussieht, wurden die Passwörter im Klartext gespeichert. Das heißt ohne jegliche Verschlüsselung.

Die Gefahr steckt im Detail

Ich bin mir fast sicher, dass

  • ... mein Passwort in der Datenbank im Klartext gespeichert wurde.
  • ... jeder Mitarbeiter Zugriff auf alle Passwörter hat.

Ich könnte mir auch vorstellen, dass

  • ... der Anbieter auf einer MySQL Datenbank arbeite
  • ... ein phpMyAdmin installiert hat ist
  • ... eine Subdomain http://phpmyadmin.anbieter-des-dienstes.de/
  • ... unterordner http://www.anbieter-des-dienstes.de/phpmyadmin vorhanden sind.
  • ... der Benutzername lautet root und das Passwort ist entweder 1234, root oder admin.

Jeder Mitarbeiter kann auf diese Passwörter zugreifen und sich ohne weiteres auf diese Konten der Kunden einloggen. Ein Angreifer kann dies aber auch tun und hat anschließend vollen Zugriff auf persönliche Daten.

Selbst wenn meine Vermutung falsch sein sollte, wurde die Email immer noch im Klartext übertragen. Diese Email kann ohne weiteres durch ein Angreifer abgefangen werden. Der Angreifer hätte dann ebenfalls Zugriff auf meine Daten.

Kein Einzelfall

Leider ist dienst kein Einzelfall. Bereits in der Vergangenheit habe ich ähnliche Emails erhalten. Beliebt sind auch generierte Passwörter, die per Email zugesendet werden. Hierbei hinterlegt man bei der Anmeldung seine Email Adresse inkl. Name Geburtstag etc. Anschließend werden die Login Daten (Benutzername und Passwort) direkt per Email zugesendet.

Bei einem anderen Dienst habe ich die "Passwort vergessen" Funktion benutzt (hatte es wirklich vergessen 😃 ). Einige Minuten später landete eine Email mit meinem aktuelles Passwort im Postfach.

Ein seriöser Anbieter speichert die Passwörter stets verschlüsselt. Es werden außerdem mehrere Sicherheitsverfahren verwendet bevor überhaupt die Passwortängerung eingeleitet wird.

Was tun bei solchen Diensten?

Boykottieren und direkt das Passwort ändern.

Bei den Diensten, die die dein Passwort versenden, nachdem du auf "Passwort vergessen" geklickt hast, würde ich direkt mein Konto löschen.

Ereignisse in der Vergangenheit

Vor einiger Zeit, mussten selbst große Konzerne wie Sony oder Ebay bekannt geben, dass Ihre Passwortdatenbanken gehackt wurden.

Einige Artikel zum Hack vom Sony Netzwerk
PSN/Qriocity Service Update @ PlayStation.Blog
Warum der Sony-Hack zum GAU wurde @ Zeit Online

Artikel über den Ebay Angriff von 2014
eBay Inc. To Ask eBay Users To Change Passwords @ ebayinc.com
Hackerangriff: Ebay-Nutzer sollen dringend Passwörter ändern @ spiegel.de
145 Millionen Kunden von eBay-Hack betroffen @ heise
Nutzer sollen Passwort ändern: Hacker knacken Ebay-Datenbank @ n-tv

Auch Privatpersonen bzw. Blogger berichten von Ereignissen, in denen Sie in einer Email aufgefordert werden das Passwort zu ändern, weil die Passwörter im Klartext gespeichert wurden und anschließend gehackt wurden
Wie man Paßwörter in Webanwendungen richtig speichert @ Datenschutzberatung.org

Egal ob Passwörter oder Kreditkartendaten. Es passiert immer wieder, dass Hacker an personenbezogene Daten kommen. Je größer das Unternehmen, desto höher der "Kick", das Erfolgserlebnis der Hacker. Ich wäre auch stolz, wenn ich z.B. facebook erfolgreich hacken würde.

Doch leider wird heutzutage die Sicherheit nicht bei jedem Unternehmen großgeschrieben, sodass es in Zukunft immer wieder zu solchen Skandalen kommen wird.

Fazit

Der Umgang diverser Betreiber mit Passwörtern und personenbezogenen Daten ist einfach nur fahrlässig.

Leider ist kein Datenschutz bei solchen Betreibern gegeben. Es kann auch keiner garantieren, dass die Daten auch "nur" in der Datenbank bleiben oder nicht doch irgendwann mal auf einer CD landen und dann Verkauft werden.

Zumindest würde das auch erklären, warum ich von einigen Firmen Spam per Email, Telefon, oder SMS erhalte. In solchen Fällen wurden meine Daten verkauft. Falls es um ein Telefonanruf handelt, frage ich meist nach, woher meine die den meine Nummer haben. Als Antwort kommt meist: "steht im System".

Ich habe auch überlegt, ob ich den Betreiber nicht einfach verklage. Vielleicht würde er dann seine Lektion lernen. Der Betreiber verstößt gleich gegen mehrere Artikel des Bundesdatenschutzgesetzes. Einige Beispiele hierfür wären:

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen ...§5 BDSG

... so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren ...§3a BDSG

... Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten...§3 Abs. 4 BDSG

Die Strafen für solche Unterfangen belaufen sich auf bis zu 300.000 Euro.

Allerdingt ist mir das ganze nicht Wert. Eine "freundliche Email" und der Klick auf den Link "Account löschen" reichen mir in diesem Fall auch.

Wenn dir das gefallen hat, wirst du diese Artikel lieben!

Die neuesten Artikel, die du gelesen haben musst!

teilen

Noch mehr privux?

Verpasse keine spannende Beiträge & Tutorials mehr!

Jetzt kostenlosen Newsletter abonieren!

Jetzt newsletter abonieren