https://stadt-bremerhaven.de/gearbest-hack-angeblich-15-millionen-eintraege-in-unverschluesselten-datenbanken/

Per E-Mail haben mich die Autoren eines Reports informiert. Der Inhalt? Sie haben angeblich in ungeschützte Datenbanken mit vielen Informationen des Online-Händlers Gearbest einsehen können.

Das PW das ich da benutzt hab, habe ich bestimmt auf dutzenden anderen Seiten auch. Ist quasi mein Standard fuckit-Passwort, wenn ich keine Zahlungsdaten hinterlegt habe. Mal schauen in wieviele Accounts ich in nächster Zeit nicht mehr rein komme ;D

Passwörter im Klartext? Ist natürlich wieder Mal :facepalm:

danke für die Info, zum Glück reine Unsinns-PW da gehabt

Naja, ich nehme ne PW safe oder ein generisch angepasstes. So kann ich mir quasi jede Webseite merken.

gearbestistdasBe$te!
3dcenteristdasBe$te!
amazonistdasBe$te!
das sind natürlich NUR Beispiele ;)
321gearbestistdasBe$te!
3213dcenteristdasBe$te!
321amazonistdasBe$te!

Naja, ich nehme ne PW safe oder ein generisch angepasstes. So kann ich mir quasi jede Webseite merken.

gearbestistdasBe$te!
3dcenteristdasBe$te!
amazonistdasBe$te!
das sind natürlich NUR Beispiele ;)
321gearbestistdasBe$te!
3213dcenteristdasBe$te!
321amazonistdasBe$te!
Das heisst wenn dein PW auf einer Webseite weg ist kann der Hacker auch Rückschlüsse auf dein passwort auf allen anderen Webseiten ziehen?

Nur wenn er schnallt das dies für jede Webseite anders ist. Kombiniert mit Milliarden Webseiten und wiederum als Kombi aus 4 generischen Inhalten ist die Wahrscheinlichkeit durchaus gering. Die richtige Mailadresse fehlt nämlich auch noch ;). Dank eigener Domain kann ich wohl beliebig viele Mailadressen catchen lassen.

Ist dieses Gearbest nicht so ein typischer chinesischer Plagiate-Shop? Wer da ernsthaft die Sicherheit seiner Daten erwartet, ist IMHO von vornherein nicht ganz bei Sinnen.

Ist dieses Gearbest nicht so ein typischer chinesischer Plagiate-Shop? Wer da ernsthaft die Sicherheit seiner Daten erwartet, ist IMHO von vornherein nicht ganz bei Sinnen.

Nein ist es nicht

Nur wenn er schnallt das dies für jede Webseite anders ist. Kombiniert mit Milliarden Webseiten und wiederum als Kombi aus 4 generischen Inhalten ist die Wahrscheinlichkeit durchaus gering. Die richtige Mailadresse fehlt nämlich auch noch ;). Dank eigener Domain kann ich wohl beliebig viele Mailadressen catchen lassen.
Prinzipiell ist Software, die Passwörter "testet" darauf angepasst, dass ein Einheitspasswort genutzt wird, das durch einen Bestandteil der betroffenen Domain ergänzt wird.

Ja, kann ja alles sein. Ergänzen ist toll, du kannst das aber auch mittig irgendwo einsetzen und dann muss das Ziel noch so clever sein 1000000 anfragen zuzulassen ohne den Sender zu blocken. Das Muster dahinter zu erkennen dürfte schwieriger werden wenn Du nur 2 Datenbanken hast oder so.

Wie auch immer. Die hier und woanders laufenden Pentests haben meine PWs bisher immer überstanden.

u.U.sollte es aber weniger um mich gehen als um den Hack ;)

Auch mittig eingesetzt ist ergänzt.
Und wenn sie die Hashes haben müssen sie nicht am Server anfragen - und davon muss man heute wahrscheinlich so ziemlich überall ausgehen. Haben sie ein Passwort mal geknackt erkennt der Algorithmus, wo der Bezug zur Seite kommt und kann entsprechend dann andere Webseiten abgrasen.

Die eigene Domain ist, denke ich, aber tatsächlich ein ganz guter Schutz.