Auf der Seite haveibeenpwned.com werden (für jedermann
einsehbar) Adressen gelistet, die in Hacks aufgetaucht sind, außerdem
auch alle aufgetauchten Kennwörter, allerdings aus Sicherheitsgründen
nicht gemeinsam.
Wenn eine Adresse dort eingetragen ist, bedeutet das nicht, daß man
irgendetwas falsch gemacht hat, sondern nur, daß ein Anbieter,
bei dem man seine E-Mail-Adresse (z. B. als Usernamen oder als
Kontaktadresse) hinterlegt hat, „gehackt“ wurde - das kann
teilweise auch schon länger zurück liegen. Es kann sogar sein,
daß eine andere Person Ihre Adresse z. B. als Usernamen angegeben
hat.
Pwned entstand durch einen Tippfehler aus owned und steht hier
für „erwischt“.
Wenn wir von neuen Einträgen in dieser Datenbank erfahren (wir erhalten
Infos zu den Domains @sbox.tugraz.at, @student.tugraz.at und
@tugraz.at), informieren wir (halbautomatisch) die betroffenen
Benutzer.
Was ist zu tun?
|
Wenn kein Kennwort vom Hack betroffen war oder Sie das TUGRAZonline-Kennwort bei anderen Diensten nicht verwenden oder das TUGRAZonline-Kennwort sowieso schon geändert haben, dann sollte zumindest der Account an der TU Graz nicht gefährdet sein.
Beispiel: Hier sehen Sie, daß eine ZID-Mitarbeiter-Adresse (1) betroffen ist (2) und zwar bei einem Dropbox-Hack 2012 (3) und einem LinkedIn-Hack 2016 (4) und daß leider Kennwörter betroffen waren (5): ![]() Das bedeutet nun, daß der betroffene Mitarbeiter in Dropbox und LinkedIn das jeweilige Kennwort – falls er das nach 2012 bzw. 2016 noch nicht getan hat – nun dringend ändern sollte. Da das TUGRAZonline-Kennwort alle 450 Tage geändert werden muß, besteht für TUGRAZonline in diesem Fall (letzter Hack mit Kennwort-Beteiligung im Mai 2016) kein Handlungsbedarf, da das Kennwort inzwischen ja schon geändert werden mußte. Falls Ihre Adresse unter „Anti Public Combo List“ (Dezember 2016) oder „Onliner Spambot“ (August 2017) bzw. „Exploit.In“ (Ende 2016) auftaucht, dann ist leider unbekannt, welcher Dienst genau betroffen ist. |
Generell gilt, daß Sie auch für Dienste, wo das nicht erzwungen
wird, Ihr Kennwort regelmäßig ändern sollten und
daß Sie für verschiedene Dienste keinesfalls dasselbe Kennwort
verwenden sollten!
Bei Diensten, von denen man nicht möchte, daß bekannt wird,
daß man Kunde ist, empfiehlt es sich auch eine E-Mail-Adresse zu
verwenden, die keinen Rückschluß auf Ihren Namen oder Ihren
Arbeitgeber zuläßt.