HIBP

Auf der Seite haveibeenpwned.com werden (für jedermann einsehbar) Adressen gelistet, die in Hacks aufgetaucht sind. Wenn eine Adresse dort eingetragen ist, bedeutet das nicht, daß man irgendetwas falsch gemacht hat, sondern nur, daß ein Anbieter, bei dem man seine E-Mail-Adresse (z. B. als Usernamen oder als Kontaktadresse) hinterlegt hat, „gehackt“ wurde - das kann teilweise auch schon länger zurück liegen. Es kann sogar sein, daß eine andere Person Ihre Adresse z. B. als Usernamen angegeben hat.
Pwned entstand durch einen Tippfehler aus owned und steht hier für „erwischt“.
Wenn wir von neuen Einträgen in dieser Datenbank erfahren (wir erhalten Infos zu den Domains @sbox.tugraz.at, @student.tugraz.at und @tugraz.at), informieren wir (halbautomatisch) die betroffenen Benutzer.

Was ist zu tun?
  1. Überprüfen Sie auf der Seite haveibeenpwned.com all Ihre E-Mail-Adressen und Usernamen.
  2. Sollte unter Compromised data auch Passwords stehen, dann gilt:
    • Sollten Sie Ihr Kennwort für den betroffenen Dienst schon länger nicht geändert haben, dann wäre das ein Anlass, es nun zu ändern.
    • Das Kennwort in TUGRAZonline ist nur dann zu ändern, wenn Sie in TUGRAZonline dasselbe Kennwort gesetzt haben wie beim betroffenen Dienst (was eigentlich untersagt ist) und das Kennwort in der Zwischenzeit in TUGRAZonline noch nicht geändert haben.
    • Sollten Sie dasselbe Kennwort auch in anderen Systemen verwendet haben, dann sollten Sie es auch dort ändern, diesmal (und in Zukunft) aber nicht gleich setzen.
    Wir versenden Warn-E-Mails nur dann an die betroffenen User, wenn im Hack Kennwörter explizit erwähnt werden.

Wenn kein Kennwort vom Hack betroffen war oder Sie das TUGRAZonline-Kennwort bei anderen Diensten nicht verwenden oder das TUGRAZonline-Kennwort sowieso schon geändert haben, dann sollte zumindest der Account an der TU Graz nicht gefährdet sein.

Beispiel:
Hier sehen Sie, daß eine ZID-Mitarbeiter-Adresse (1) betroffen ist (2) und zwar bei einem Dropbox-Hack 2012 (3) und einem LinkedIn-Hack 2016 (4) und daß leider Kennwörter betroffen waren (5):

Das bedeutet nun, daß der betroffene Mitarbeiter in Dropbox und LinkedIn das jeweilige Kennwort – falls er das nach 2012 bzw. 2016 noch nicht getan hat – nun dringend ändern sollte.
Da das TUGRAZonline-Kennwort alle 450 Tage geändert werden muß, besteht für TUGRAZonline in diesem Fall (letzter Hack mit Kennwort-Beteiligung im Mai 2016) kein Handlungsbedarf, da das Kennwort inzwischen ja schon geändert werden mußte.

Falls Ihre Adresse unter „Anti Public Combo List“ (Dezember 2016) oder „Onliner Spambot“ (August 2017) bzw. „Exploit.In“ (Ende 2016) auftaucht, dann ist leider unbekannt, welcher Dienst genau betroffen ist.

Generell gilt, daß Sie auch für Dienste, wo das nicht erzwungen wird, Ihr Kennwort regelmäßig ändern sollten und daß Sie für verschiedene Dienste keinesfalls dasselbe Kennwort verwenden sollten!
Bei Diensten, von denen man nicht möchte, daß bekannt wird, daß man Kunde ist, empfiehlt es sich auch eine E-Mail-Adresse zu verwenden, die keinen Rückschluß auf Ihren Namen oder Ihren Arbeitgeber zuläßt.

Firefox bietet ein ähnliches Service an, bei dem man sich auch registrieren kann, um vom Auftauchen der E-Mail-Adresse informiert zu werden: Firefox Monitor.