Skip to content

Das HPI überprüft ob E-Mail Adressen geleakt wurden

Eine etwas sperrige Überschrift, aber mir ist nichts besseres eingefallen eek

Man kann ja immer öfter hören, dass E-Mail Adressen oder mehr aus Kundendaten geklaut kopiert wurden. Anfang des Jahres hatte das BSI eine Prüfmöglichkeit eingerichtet, die aber ständig überlastet war und sich auch nur dann meldete wenn die abgefragte Adresse gefunden wurde. Bei der geringen Kapazität die das BSI bereit gestellt hatte kamen die Mails oft Tage später an. Und sagte dann auch nur aus “ja, die Adresse wurde kopiert.” keine Details und da man keine Information bekam wenn die Adresse nicht betroffen war, war man durch die Überlastung im Prinzip nur dann sicher, wenn man die Nachricht bekam, dass die abgefragte Adresse betroffen ist.

Sehr viel besser macht es das Hasso-Plattner Institut der Uni Potsdam. Deren Identity Leak Checker antwortet auf jeden Fall, also auch wenn man nicht betroffen ist. Und wenn man betroffen ist, wird konkret angegeben, was betroffen ist mit entsprechenden Hinweisen.
Für meine Adresse die ich (nur) bei Adobe hinterlegt habe und die bei Adobe kopiert wurde sieht das so aus:

Achtung: Ihre E-Mail-Adresse (hier steht die Adresse) taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf. Folgende sensible Informationen wurden im Zusammenhang mit Ihrer E-Mail-Adresse frei im Internet gefunden:



PasswortVor- und ZunameKreditkarteBankkontodatenTelefonnummerAnschriftGeburtsdatumSozialversicherungsnummer
Nov. 2013

Gefolgt von dem Hinweis das Kennwort zu ändern, mehr wurde bei Adobe ja nicht kopiert. Bei anderen Leaks kann es anders aussehen, davon bin ich aber glücklicherweise nicht betroffen.
Leider habe ich keine Informationen darüber gefunden aus welchen Leaks das HPI die Daten vorliegen hat, also wie vollständig sie sind. Auf einer eigenen Statistikseite kann man aber sehen, dass aber 170 Millionen Identitäten vorliegen und auch aus welchen Zeiträumen sie stammen. Das häufigste Kennwort in der Datenbank lautet übrigens “123456”. Wer das verwendet gehört aber sowieso gesteinigt cool

Piwik 2.4

Nur kurz notiert weil es mir gerade aufgefallen ist: die Webseitenstatistik Piwik ist wohl irgendwann in den letzten Stunden auf Version 2.4 aktualisiert worden.
Einen begleitenden Beitrag gibt es auf der Piwik Seite noch nicht, laut Changelog ist es aber ein Major Update und auch kritisch, also sollte man wohl updaten tongue. 60 Tickets wurden geschlossen, darin sehe ich eine Menge Geschwindigkeitsverbesserungen und Fehlerkorrekturen.

Wie Piwik aussieht kannst Du Dir für meine Seiten hier ansehen.

Die Simpsons in CSS

CSS, das ist der Kompagnon von HTML, beides zusammen beschreibt die Webseiten die Du dir immer so aufmerksam ansiehst. Grob gesagt definiert das HTMLwas auf der Seite ist (Überschrift, normaler Text, Link usw.) und das CSS dessen Aussehen.

Praktisch ist es etwas komplizierter und gerade CSS sind viel mehr. Man kann zum Beispiel mit ihnen zeichnen:

Die Simpsons in CSS

Dies ist nur ein Screenshot, in Chris Pattles git gibt es noch mehr Figuren und man kann sich auch den CSS Code ansehen und sein git forken.
Das ist ziemlich irre und abgefahren. CSS Magier Stufe drölf würde ich sagen tongue

Lässt mich GMX in einer Woche mit De-Mail in Ruhe?

Ich habe von Früher noch ein kostenloses Konto bei GMX, wie viele andere wohl auch. Und irgendwann letztes Jahr fing GMX an mir De-Mail anzudienen. Im Sommer 2010(!) nur als zaghafter Vorschlag, im Sommer 2013 sollte ich dann aber gleich meine nie getätigte Reservierung bestätigen. Ich will diesen Schwachsinn nicht, keinesfalls, aus gutem Grund.GMX Mail Schliessung Kulanzfall 20130709 De-Mail
Man hatte mir wie jedem anderen auch den Benutzernamen der normalen GMX Adresse reserviert, das habe ich verstreichen lassen weil ich den gefährlichen Scheiß nicht will. Wenig später bekam ich dann die Benachrichtigung, dass ein Kulanzfall eröffnet wurde. WTF?! Ich habe da nichts eröffnet, das ganze war eine Masche von GMX um die Leute doch noch von diesem gefährlichen Dienst zu überzeugen. Nichmal die Fallnummer haben diese, äh, uninspirierten Menschen durch einen Zufallswert ersetzt, man findet sie überall im Netz.

Heute nun per Mail die Ankündigung, dass der Kulanzfall in 7 Tagen geschlossen wird. Ob ich dann endlich Ruhe habe? normal

Preisalarm für Amazon

Manchmal muss man nur mal nachsehen. Amazon zeigt ja für Artikel auf der Merkliste an wenn sich deren Preis seit dem hinzufügen geändert hat. Was mir aber in dem Zusammenhang immer gefehlt hat ist ein Preisalarm der mir Bescheid gibt wenn ein Artikel unter einen bestimmten Preis fällt.

Wie gesagt, manchmal muss man nur mal gucken und findet die Lösung im Neuland Internetz. In diesem Falle bin ich direkt auf mein-wunschpreis.com gestossen, dort kann man einfach das Produkt eingeben und einen Wunschpreis und wird per E-Mail benachrichtigt wenn der Preis erreicht oder unterschritten wird.
Netterweise muss man wirklich nur Produkt, Preis und E-Mail Adresse eingeben, sich also nicht extra einen Account anlegen (kann man aber auch tun). Das Produkt das man eingibt wird direkt bei Amazon gesucht und angezeigt damit man auch wirklich den Alarm für das konkrete Produkt einrichtet und nicht nur für etwas das ähnlich klingt. Das funktioniert grundsätzlich, Wolf of Wallstreet wurde sofort gefunden, Roger Rabbit aber nicht. Nachtrag: überwacht werden können nur Produkte die direkt von Amazon verkauft werden, das ist eine Gemeinsamkeit von mein-wunschpreis und der Alternativen aus den Kommentaren.
Ich bin gespannt wie die Benachrichtigung dann praktisch funktioniert, Wolf of Wallstreet (grossartiger Film!) erscheint am 30.05., danach sollte der Preis auch irgendwann fallen.

So funktioniert der Heartbleed Bug

Von dem Heartbleed Bug in OpenSSL hast du vielleicht gehört, einfach gesagt ist es ein Fehler in der zentralen Verschlüsselungsbibliothek die in so gut wie allem was mit “Online” zu tun hat benutzt wird.
Der Fehler steckt in der recht neuen “Heartbeat” (Herzschlag) Funktion mit der man überprüfen kann ob die andere Seite noch da ist. Dabei schickt die eine Seite an die Andere eine Nachricht wie “Wenn Du noch da bist, dann antworte mit “JA”, das sind 2 Zeichen”. Und die andere Seite antwortet mit “JA”. Das Problem ist jetzt, dass sie nicht nachguckt wie lang der Text wirklich ist der geantwortet werden soll sondern die Angabe der anderen Seite glaubt. Und die kann nun auch sagen “[…]dann antworte mit “JA”, das sind 500 Zeichen” und die Gegenstelle antwortet mit “JA” und den nächsten 498 Zeichen die sie gerade im Speicher hat. Und das sind bei der Verschlüsselungsbibliothek halt Dinge die eigentlich geheim sind.

Randall Munroe von XKCD hat das in einem Comic veranschaulicht:XKCD Heartbleed Erklärung

Eigentlich müsste man (ich) das mal übersetzen, mal sehen ob das schon jemand gemacht hat oder ob ich am Wochenende dazu komme…

Tweet des Moments 1395832216

Dem ist nichts mehr hinzuzufügen:

Neelie Kroes ist EU-Kommissarin für die Digitale Agenda. Ihr haben wir u.a. zu verdanken, dass die Handynutzung im EU-Ausland nicht mehr ins Armenhaus führen.

tweetbackcheck