Auf der Seite haveibeenpwned.com werden (für jedermann einsehbar) Adressen gelistet, die in Hacks aufgetaucht sind, außerdem auch alle aufgetauchten Kennwörter, allerdings aus Sicherheitsgründen nicht gemeinsam.
Auch im akademischen Umfeld gibt es ähnliche Services:
Hasso-Platter-Institut/Uni
Potsdam
identity leak checker/Uni Bonn.
Wenn eine Adresse dort eingetragen ist, bedeutet das nicht, dass man
irgendetwas falsch gemacht hat, sondern nur, dass ein Anbieter,
bei dem man seine E-Mail-Adresse (z. B. als Usernamen oder als
Kontaktadresse) hinterlegt hat, „gehackt“ wurde - das kann
teilweise auch schon länger zurück liegen. Es kann sogar sein,
dass eine andere Person Ihre Adresse z. B. als Usernamen angegeben
hat.
Pwned entstand durch einen Tippfehler aus owned und steht
hier für „erwischt“.
Wenn wir von neuen Einträgen in dieser Datenbank erfahren (wir erhalten
Infos zu den Domains @sbox.tugraz.at, @student.tugraz.at und
@tugraz.at), informieren wir (halbautomatisch) die betroffenen
Benutzer.
Was ist zu tun?
|
Wenn kein Kennwort vom Hack betroffen war oder Sie das TU Graz-Kennwort bei anderen Diensten nicht verwenden oder das TU Graz-Kennwort sowieso schon geändert haben, dann sollte zumindest der Account an der TU Graz nicht gefährdet sein, aber es kann andere Folgen haben.
Beispiel: Hier sehen Sie, dass eine ZID-Mitarbeiter-Adresse (1) betroffen ist (2) und zwar bei einem Dropbox-Hack 2012 (3) und einem LinkedIn-Hack 2016 (4) und dass leider Kennwörter betroffen waren (5):
Das bedeutet nun, dass der betroffene Mitarbeiter in Dropbox und LinkedIn
das jeweilige Kennwort – falls er das nach 2012 bzw. 2016 noch nicht
getan hat – nun dringend ändern sollte. Falls Ihre Adresse unter „Anti Public Combo List“ (Dezember 2016) oder „Onliner Spambot“ (August 2017) bzw. „Exploit.In“ (Ende 2016) auftaucht, dann ist leider unbekannt, welcher Dienst genau betroffen ist. Vergessen Sie nicht auch die nichtöffentlichen Breaches zu durchsuchen:
|
Generell gilt, dass Sie auch für Dienste, wo das nicht erzwungen
wird, Ihr Kennwort regelmäßig ändern sollten und
dass Sie für verschiedene Dienste keinesfalls dasselbe Kennwort
verwenden sollten!
Bei Diensten, von denen man nicht möchte, dass bekannt wird,
dass man Kunde ist, empfiehlt es sich auch eine E-Mail-Adresse zu
verwenden, die keinen Rückschluss auf Ihren Namen oder Ihren
Arbeitgeber zulässt.