Nach der Nachricht von einem massiven Verstoß gegen die Server von Google, der angeblich 5 Millionen E-Mail-Adressen zum Hacken brachte, schlugen verschiedene Websites vor, dass Leser überprüfen sollten, ob es sich um Opfer handelte, indem sie ihre E-Mail-Adressen in "Prüfwerkzeuge" eingaben ob eine E-Mail-Adresse in einer Liste gehackter Anmeldeinformationen enthalten ist.
Das Problem ist, dass einige dieser Überprüfungswerkzeuge nicht so legitim waren, wie die Websites, die sich mit ihnen verbanden, gehofft haben könnten ...
5 Millionen E-Mail-Adressen: Die Wahrheit
Berichten zufolge gab es zu dieser Zeit einen massiven Verlust von 5 Millionen Nutzernamen und Passwörtern für das Google Mail-Konto. Bald stellte sich heraus, dass die Geschichte, na ja, genau das war: eine Geschichte.
Etwas später erklärte Google, dass weniger als 2% der Benutzernamen / Passwort-Kombinationen korrekt waren und dass ihre eigenen Login-Sicherheitstools die Mehrheit davon erfasst hätten.
Sie stellten auch klar, dass die Anmeldeinformationen nicht von ihren eigenen Servern, sondern von anderen Websites gehackt wurden:
Es ist wichtig zu beachten, dass in diesem Fall und in anderen die durchgesickerten Benutzernamen und Passwörter nicht das Ergebnis eines Verstoßes gegen Google-Systeme waren. Häufig werden diese Anmeldeinformationen durch eine Kombination anderer Quellen erhalten.
Wenn Sie zum Beispiel den gleichen Benutzernamen und das gleiche Kennwort auf verschiedenen Websites verwenden und eine dieser Websites gehackt wird, können Ihre Anmeldeinformationen dazu verwendet werden, sich bei den anderen anzumelden.
Ein Gmail-Konto, das bei einer früheren Verletzung aufgegriffen wurde - hohes Profil oder sonstwie - könnte einer von denen im Daten-Dump von Anmeldeinformationen in den Händen der "Hacker" gewesen sein. Im Wesentlichen Informationen, die möglicherweise bereits in der einen oder anderen Form online waren, werden von verschiedenen Quellen in Google Mail-Konten bereitgestellt.
Aber wie ist diese Geschichte so schnell zum Mainstream geworden? Vermutlich mit Hilfe einer großen, runden Zahl wie 5 Millionen und dem geschickten Ziehen der Hacker, die die Account-Passwörter in einem russischen Bitcoin-Forum gepostet haben. Werfen Sie ein Online-Überprüfungstool ein, das bestätigt, ob sich Ihr eigener E-Mail-Account im Dump befindet, und Sie haben eine große Nachrichtengeschichte.
Natürlich ist es wahrscheinlich, dass isleaked.com nicht die Website ist, die die Leute dachten.
Wie funktioniert eine gefälschte Hacked Email Account Checker
Überprüfen einer E-Mail-Adresse gegen eine Datenbank (was SQL, Access oder sogar eine Textdatei sein kann. Also, was ist eine Datenbank? [MakeUseOf Explains] Also, was ist eine Datenbank? [MakeUseOf Explains] Für einen Programmierer oder Technologie-Enthusiasten, das Konzept einer Datenbank ist etwas, das wirklich als selbstverständlich angesehen werden kann, aber für viele Menschen ist das Konzept einer Datenbank selbst ein bisschen fremd .... von gehackten E-Mail-Konten ist relativ einfach. In Kombination mit einem leicht herunterladbaren Skript könnte eine solche Website in etwa 30 Minuten eingerichtet werden.
Troy Hunt hat in der Zwischenzeit eine viel bessere Herangehensweise, weshalb Sie seine Website immer dann verwenden sollten, wenn Sie einen Account-Hack gelesen oder gehört haben.
Wie in seinem Blog erklärt, hat Hunt eine legitime Website erstellt (Hunt ist ein Microsoft MVP für Entwicklersicherheit), die für durchschnittliche Benutzer entwickelt wurde, um ihre E-Mail-Adresse einzugeben und herauszufinden, ob sie gehackt wurden oder nicht. Anhand von Daten, die an Websites wie Pastebin.com gesendet werden, erfahren Sie sogar, welche Verletzung für die Präsenz Ihres E-Mail-Kontos in seiner Datenbank verantwortlich ist.
Auf der Suche nach einem legitimen Hacked Email Account Check?
Wenn die Ergebnisse angezeigt werden, zeigt die Website den Namen der Website an, von der Ihre Kontodaten übermittelt wurden. Hoffentlich hat diese Seite Sie privat gemailt oder eine Ankündigung gemacht.
(Natürlich, sollten Sie besorgt sein, dass Ihr E-Mail-Account gehackt wurde, sollten Sie Ihr Passwort trotzdem ändern. Denken Sie daran, es sicher und unvergesslich zu machen. 6 Tipps zum Erstellen eines unzerbrechlichen Passworts, das Sie sich merken können 6 Tipps zum Erstellen eines unzerbrechlichen Passworts Kann sich erinnern Wenn Ihre Passwörter nicht einzigartig und unzerbrechlich sind, können Sie auch die Eingangstür öffnen und die Räuber zum Mittagessen einladen.
Wie Sie aus dem obigen Bild sehen können, war mein E-Mail-Konto einer der vielen, die in der massiven Adobe-Verletzung von 2013 aufgefunden wurden. Sie sollten die Informationen von Hunts Website verwenden, um sofort zu handeln, auch wenn Sie Ihr Passwort geändert haben. Ihre E-Mail-Adresse bleibt auf der Website erhalten.
Wenn es praktisch ist, könnte es auch eine Überlegung wert sein, die E-Mail-Adresse zu ändern, die Sie für Ihre Online-Konten verwenden.
Due Diligence sollte keine Sache der Vergangenheit sein
Ein wichtiges Element des Journalismus ist die Due Diligence; die Überprüfung von Fakten. Presseerklärungen einfach aufzuwiegeln ist nicht genug. Jeder Autor, egal ob er Inhalte für $ 1 pro 1000 Wörter produziert oder an einen Top-Namen im Publishing-Geschäft zahlt, kann das tun.
Leider geschieht das im World Wide Web nicht genug.
Ein paar Minuten Faktenüberprüfung hätten gezeigt, dass die 5 Millionen Adressen eine Fabrikation waren. Wie wir zu der Zeit berichteten, wurden die Adressen aus einer Sammlung von früheren Lecks Gmail Passwörter Leak Online, Microsoft Drops Windows Phone, und mehr ... [Tech News Digest] Gmail Passwörter Leak Online, Microsoft Drops Windows Phone und mehr ... [Tech News Digest] Auch negative Bewertungen, Deezer in den USA, Google Pyramids, der NES 3DS und eine leuchtende Rube Goldberg-Maschine. Weiterlesen . Die russischen Hacker konnten eine Liste zusammenstellen, anstatt die Sicherheit von Google zu verletzen.
Besonders verdächtig war unterdessen die von vielen Webseiten empfohlene Seite, E-Mails zu checken, isleaked.com . Seltsamerweise nur zwei Tage vor dem Leck registriert, in Russland war seine plötzliche Existenz entweder sehr zufällig oder geplant.
Wie ich immer sage, gibt es keine Zufälle in der Online-Sicherheit.
Gibt es eine bessere Möglichkeit, die Liste der Adressen, die Sie angeblich gehackt haben, zu bestätigen, als die Kontoinhaber zu überprüfen, ob sie sie weiterhin verwenden oder nicht? Es ist der Modus Operandi von Spammern - tote Adressen sind wertlos, weshalb viele Spam-E-Mails Sie auffordern, zu antworten. Ihre Antwort wird protokolliert und die Adresse beibehalten.
Die Leck-E-Mail-Checker isleaked.com könnte leicht ein anspruchsvoller Ansatz sein. Während sie behaupten:
Wir sammeln Ihre E-Mails, URLs / IP-Adressen, Zugriffsprotokolle und Prüfergebnisse nicht. Entweder machen wir während des Tests nichts schädlich mit Ihrem Gerät!
... gibt es wenig Grund, der Seite zu vertrauen. Troy Hunt, der einen guten Ruf hat, erklärt, wie seine Website funktioniert, daher ist es sinnvoll, sie zu verwenden.
Das Urteil: Reagiere nicht ohne die Fakten
Was wir daraus lernen können, ist, dass niemand auf Behauptungen von Datenverstößen und Hacks reagieren sollte, ohne die vollständigen Fakten zu besitzen. Es gibt einfach zu viele Variablen, die berücksichtigt werden müssen.
Mit den Gmail-Hack-Behauptungen scheint es eine sichere Annahme zu sein, dass die angeblichen Hacker lediglich ihre Adressensammlung verifiziert haben, die vermutlich in verschiedenen Spam-Kampagnen verwendet wurden.
Manche waren echt, andere längst abgelaufen.
Die beste Website, um zu überprüfen, ob Ihre E-Mail gehackt wurde und auf einer Website wie Pastebin.com gefunden wurde, ist haibeeenpwned.com.
Was die 5 Millionen Google Mail-Adressen anbelangt, die angeblich von Google gehackt wurden, war die Technologiepresse tatsächlich wirklich panisch.
Rob Hyrons über Shutterstock