Druckbare Version
Nutzer-Daten von Millionen Windows Live Accounts gestohlen hätte es auch heißen können. Glück gehabt, denn diesmal traf es nur die Sony Playstation Kunden. Ich glaube aber, dass es nur eine Frage der Zeit ist bis man sich andere veritable Ziele wie Apple oder Microsoft aussucht.
http://www.tagesschau.de/wirtschaft/...tation100.html
Könnte man den sinnfreien Thread bitte schließen ?
Schließen? Ja bitte, gern. Aber warum sinnfrei? Die Nachrichten sollte eigentlich von allgemeinem Interessse sein. Auch meine unverbindliche Anregung mal weiterzudenken, sollte zulässig sein. Der Marketplace, die Xbox oder die Cloud sind für Hacker schließlich gleichwertige Ziele.
Thread bitte ruhig schließen, dann hat der Eine oder Andere hier auch wieder mehr Zeit zum Nachdenken.
Die Playstation-Geschichte ist rein prinzipiell interessant gehört aber nicht wirklich ins WP7-Forum. Die Cloud-Sicherheit lässt sich auch diskutieren - genauso wie die Sicherheit jedes Device, dass irgendwie Internetzugriff hat (das trifft die Smartphones selbst genauso).
Den Threadtitel habe ich jetzt insofern entschärft als dass er tatsächlich schon zu provokativ war.
Generell schätze ich die Sicherheit der Microsoft (und auch der Google)-Dienste recht hoch ein, ausschließen kann man es natürlich nicht. Wobei sich Anschrift + Kreditkartennummer relativ "schnell" herunterladen lassen, im Gegensatz zu Exabytes an Skydrive-Daten und Mails. Interessanter sind da eher der Marketplace und die dort hinterlegten Daten (das trifft aber eher den Online-Einkauf - egal bei wem: Amazon, eBay oder auch der kleine Software-Schreiber bei dem ich meine Software direkt beziehe).
Wie Du weißt, bin ich ja, was dies betrifft, außen vor. Welche Daten werden eigentlich bei der Inbetriebnahme eines neuen Phone 7 beispielsweise für die Anlage eines Live-Accounts oder den Marketplace - mehr oder weniger zwingend - abgefragt? Sind dies nicht genau die Daten, die hier bei Sony ausgespäht wurden?
OT Schade, dass Du meinen Titel abgeändert hat. Das war doch allerfeinste Boulevard-Presse. :-) Deinen Einfall mit dem Windows Love Account finde ich dagegen wieder Super. Was bekommt man da? Hat das etwas mit dem Vibrationsalarm zu tun? :-) Dr. Freud lässt grüßen.
...mit einer entsprechend hoher kriminellen Energie lässt sich jedes Datensystem knacken. Will man diesem Risiko entgehen, darf man keinerlei Daten auch nur irgendwo speichern. Selbst der eigene PC ohne Internetanschluss ist theoretisch nicht 100% sicher...
FTC
Ist Windows Love ein neues Dating-Portal für Computer-Nerds? ;) :D
Im Ernst: Klar ist sowas ärgerlich, aber das Risiko besteht immer. Daher liegt auf den Live-Accounts auch nichts, was mir ernsthaft schaden könnte, wenn es in die falschen Hände gerät oder von dem ich nicht will, dass es irgendwie in die Öffentlichkeit gelangt.
Ich sehe das aber ähnlich wie StevieBallz: Kriminelle werden wohl nicht Exabytes an SkyDrive-Dateien herunterladen, denn das würde viel zu lange dauern und der Gegenwert wäre zu schlecht einzuschätzen. Die interessantesten Daten im Falle eines Angriffs wären wohl Kreditkartendaten, Persönliche Daten, Kontaktdaten, E-Mails - in dieser Reihenfolge.
Gegen Kreditkartenbetrug ist man über die Kartenfirma versichert, Persönliche Daten wie Adresse, E-Mail und Telefonnummer sind in der heutigen Zeit kein Gut mehr, das sich schützen lässt, auch ohne Einbruch von Cyber-Kriminellen. Das muss man einsehen. Schon das Registrieren einer Domain führt dazu, dass diese Dinge öffentlich verfügbar werden. Weitergedacht gilt das dann auch für die Kontaktdaten. Und E-Mails, die einem irgendwie zum Verhängnis werden könnten, sollte man nicht auf Servern lassen.
Von daher komme ich zu meiner anfänglichen Meinung zurück: Ärgerlich wäre so etwas, aber kein ernsthaftes "Lebensproblem".
Daten gar nicht zu speichern, halte selbst ich für zu radikal. Wichtiger finde ich, dass man dafür sorgt, dass Daten nicht verknüpfbar oder zuordenbar werden. Die Industrie betreibt leider gerade den radikalen Gegentrend, nämlich jede einzelne Facette meines Lebens zu einem Gesamtbild zusammenzufügen. Diese Daten sind auf Dauer unsicherer als Atomkraftwerke.
Apple ist aktuell wegen der Bewegungsprofile in der Kritik. Android steht wegen seiner Nähe zu Google per se unter Generalverdacht. Microsoft waren bislang die "Good Guys". Leider arbeitet man bei MS gerade intensiv daran, dieses Saubermann-Image abzulegen.
Nun zu der von Stevie neu formulierten Eingangsfrage: Nutzer-Daten von Mio Accounts gestohlen... könnte das auch Windows Live passieren? Ich denke ja.
Meine Anschlussfrage: Welche Daten gibt man für eine Live ID und den Marketplace an?
In der Vergangenheit wurden die Hotmail-Daten schon mal gestohlen. Die Nutzer wurden dann angeschrieben und gebeten ihre Kennwörter zu wechseln.
http://www.netzwelt.de/news/80876-mi...eisberges.html
Hab jetzt einfach mal wieder auf den Registrierungs-Link geclickt, dabei wird folgendes abgefragt:
Live-ID
Kennwort
Alternative E-Mail
Vorname
Nachname
Land
Postleitzahl
Geschlecht
Geburtsjahr
Was man bei der Live-ID und ähnlich auch beim Google-Account berücksichtigen muss: die ID ist ein Single-SignOn-System, es liegen aber nicht alle Daten dazu in derselben Datenbank. Schaffe ich es wirklich den Live-Account zu knacken, kann ich auf alle Dienste die Live für den Login verwenden zugreifen: Hotmail, Skydrive, diverse Microsoftforen + MSDN, usw. Die Kreditkartennummer an sich steht jedoch nur in der Marketplace-Datenbank (über das normale Userinterface wird nicht die ganze Nummer angezeigt).
Die Zahlungsdaten müssen also zumindest auf einem anderen Wege abgerufen werden und sind nicht "gratis" beim Live-Account dabei. E-Mails und SkyDrive-Daten sind so aber natürlich im Zugriff inkludiert wenn man das Live-Kennwort hat. Wobei die mit ziemlicher Sicherheit wie bei Windows auch gehasht abgelegt werden, also erst noch entschlüsselt werden müssen.
Zur Verwendung der Kreditkarte um im Marketplace einzukaufen sind zusätzlich noch die Kreditkartennummer, Name und vollständige Adresse des Kreditkarteninhabers notwendig.
Wer den jetzt verlinkten Artikel genauer durchliest sieht aber auch, dass die Daten nicht von Microsoft gestohlen sondern vielmehr bei einer Phishing-Attacke direkt von den Benutzern eingesammelt wurden - d.h. die Leute haben die Daten selbst auf einer gefälschten Seite eingegeben.
Exakt, das ist die häufigere Methode. Wirklich ins Netz eingebrochen ist weder bei Google noch bei MS afaik niemand. Das war jetzt aber bei Sony der Fall.
Ich denke mal, dass Sony gerade einfach das Lieblings-Opfer von Hackern ist. Mit der Geohot-Geschichte haben die sich aber auch selbst ein Ei gelegt.
Bei Sony muss man anmerken, dass Anonymous (die das Playstation Network zuvor mittels DDoS lahmgelegt hatten) sich von dem jetzt distanziert haben. Es ist ja ein Unterschied ob man etwas macht um Sony zu schädigen/nerven/was auch immer oder ob man Benutzerdaten stiehlt (das trifft nämlich höchstwahrscheinlich die stärker als Sony).
Ich habe mir erlaubt, den Post mal auf meine Weise zu verschieben:
Zitat:
Zitat von Sina
...mit dem notwendigen Know How und der entsprechenden kriminellen Energie lässt sich jedes technische System aushebeln. Das ist einfach der Preis für den Fortschritt und die damit verbundene Bequemlichkeit. Wie ich schon im anderen Thread geschrieben habe, ist auf dieser schönen Welt nichts wirklich sicher. Wenn ich mich dem nicht aussetzen will, darf ich es nicht nutzen....
Was man hier liset, ist das Ergebnis einer Maximierungsstrategie. Kein Hacker möchte sich einen Tag hinsetzen, um Lieschen Müllers persönliche Festplatte auszuspäten, um dann dort letztlich einen Haufen Datenmüll zu finden.
Aus diesem Grund sucht man sich Ziele, bei denen Daten vieler Nutzer zentral und sauber geordnet abgelegt wurden. Als Hacker erhält man in diesen gefplegten Umgebungen die gewünschten Informationen auf einen Schlag, das ist rationeller aber auch prestigeträchtiger, als Lieschen Müllers Festplatte - wenn man es mal sportlich betrachtet.
Deshalb bin ich gegen die praktisch erzwungene Zentralisierung meiner Daten - nicht nur bei Phone 7.
Cloud Computing ist schön, passt aber nicht für jeden Zweck. Das sagen selbst Cloud-Befürworter.
"Cloud computing does not suit all companies or applications, but it should be a key part of any organisation's outsourcing strategy, says Forrester Research." Quelle: http://www.computerweekly.com/Articl...-Forrester.htm
Deshalb bin ich der Meinung, dass Phone 7 es dem User ermöglichen sollte, seine Daten autonom und mit der eigenen infrastruktur zu managen und dezentral, also verstreut abzulegen. Dies muss auch den Normalusern, also der erklärten Zielgruppe Microsofts möglich sein und nicht nur den IT Spezialisten mit eigenem Server.
Eingebrochen wird da, wo es sich lohnt. Wenn alle Welt die eigenen Kontaktdaten über live Synchronisiert, dann lohnt es sich irgendwann auch die Live Accounts anzuzpfen.
...ich würde sagen, dass die Latte bei Live Accounts wesentlich höher liegt als bei Lieschen Müller, deren PC für Phising- und Malwareattacken meistens offen ist, wie ein Scheunentor und bei dieser Gelegenheit auch gleich noch die Kontaktdaten mit abgeräumt werden....Zitat:
Zitat von Mobilant
... aber die Aufwand-Nutzen-Relation ist auch höher. Lies! Ich sage nicht, dass Lieschen sicherer ist. Sie ist nur weniger attraktiv! Lieschen wird nur zum Opfer wenn sie etwas falsch macht. Im Account wirst Du zum Opfer, nur weil Du Teil des Ganzen bist. Deine Anwesenheit genügt.
Sony hat einfach geschlampt. :P
Mit der kostenlosen PocketPC.ch App von meinem LG-E900 aus geschrieben.
Wer schuld ist, ist doch egal. Tss, was heist schon Datenklau. Die Daten sind doch nicht weg, sie sind nun nur bei anderen Leuten. :-)
....ich fände es zwar nicht besonders cool, wenn andere nun wüssten, dass ich Lieschen Müller und Karl Otto Huber kenne. Aber wesentlich mehr würde es mich schmerzen, wenn mein Bankkonto "leergephished" würde.... Das Hacken einer Datenbank von "live" oder Konsorten bringt einem höchstens einen Ehrenplatz bei der nächsten Hacker-Convention. Das Hacken von Lieschen Müllers PC dagegen einiges an Kohle.... :-)Zitat:
Zitat von Mobilant
hmm vielleicht haben ja dann manche Glück und aus Barmherzigkeit wird das Konto, das bereits bis zum Anschlagpunkt überzogen ist, ausgeglichen:)
Sony hatte eine veraltete Firmware auf den Geräten, inpunkto Sicherheit...
Noch dazu war das ein Hackangriff welcher nicht spontan kam, er wird manchmal auch als Racheakt geahndet.. Sony klagte einen Hacker der Szene an, genaue Infos hab ich natürlich nicht :D
Aber wirklich die Daten der Nutzer genutzt haben die Hacker ja nicht, sie wollten eher zeigen wie "schlecht" sie ihre Systeme sichern und dass sie damit Sony ganz schön einheitzen können.
Denke MS ist da in Sicherheit schon etwas höher gespickt :D
Aber machbar ist alles in so sachen wie hacken...
Da bist du eiglt NIE sicher, seh ich zumindest so denke auch dass man das nicht gerade bestreiten kann, man kann es hackern nur "schwerer" aber nie unmöglich machen.
Die Sache mit dem Aufwand ist so einfach nicht. Wenn ich heute irgendeinen größeren Webserver kapere kann ich dort mittels Sicherheitslücken in Flash, Adobe Reader oder dem Browser selbst durchaus Malware verbreiten ohne, dass der User selbst einen Fehler begehen muss. Das passiert auch im großen Stil.
Genau auf diesem Wege haben ja auch schon iPhone-Jailbreaks funktioniert: Website aufrufen => Handy hat daraufhin Jailbreak.
Ob es jetzt also einfacher ist einmal bei Microsoft einzubrechen oder bei 10 Mio Lieschen Müllers den PC abzugrasen (es ist einem ja in beiden Fällen egal wen man genau trifft dabei). Daneben ist natürlich noch anzumerken, dass Sony scheinbar soweit ich das jetzt in den Infos zu den Hack gelesen habe keine Intrusion Detection Systeme im Einsatz hatte und eben Softwareupdates nicht eingespielt wurden - also bekannte und zu patchende Sicherheitslücken offen waren.
Strukturiert kann ich die Mails auch von Outlook abzapfen - suche *.pst Datei und gut ist.
Vor allem sind Mails das denkbar schlechteste Beispiel, schließlich empfängt fast jeder heute schon seine Mails nicht auf einem eigenen Mailserver sondern bei einem Provider, sei das jetzt Microsoft, Google oder irgendein lokaler Provider (wobei ich bei letzterem bezweifle, dass es da sicherer zugeht als bei Microsoft). Die Horden an WebMail-Nutzern, die ihre Kontakte sowieso auch auf Servern gespeichert haben machen heute nebenbei wohl den Großteil der privaten Nutzer aus.
Es vergeht mittlerweile fast keine Woche mehr, ohne neue Meldungen über den Klau von Kundendaten. Nun kommt noch eine neue Dimension hinzu. Auch die Polizei interessiert sich bereits für "das Leben der Anderen".
http://www.tagesschau.de/multimedia/...deo934840.html
Was hier ausgespäht wurde war in meinen Augen noch relativ harmlos. Mit dem was moderne Smartphones alles preisgeben können, wäre man bei den Behörden sicherlich noch glücklicher gewesen.
Ich verstehe daher nicht, wie man Daten online ablegen und so bereitwillig zum Aufbau zusätzlicher personenbezogener Datensätze beitragen kann.
http://www.spiegel.de/netzwelt/netzp...767822,00.htmlZitat:
Zitat von Mobilant
Ich verstehe nicht, wie man heute noch mit seinem Computer ins Internet gehen kann, wenn man solche Meldungen ließt. Es ist sogar sehr fahrlässig, persönliche Daten überhaupt digital zu Speichern!
;)
Man kann aich Panik machen, was veröffentlicht man schon was für andere interessant sein könnte, wer das macht ist selbst schuld.
Mal eine frage, wer hat eine Krankenkassen-Karte und/oder den neuen Personalausweis? ;)
Mit der kostenlosen PocketPC.ch App von meinem 7 Trophy aus geschrieben.
Ich habe Rechner, die kein Internet kennen. Darüber hinaus bemühe ich mich den Input zu minimieren.
Der einzelne ist dabei möglicherweise gar nicht so interessant. Interessant wird das Ganze erst durch die massenhafte zentrale Vernetzung unterschiedlicher Lebensbereiche und die hohe Aktualität der Daten mit denen man dann elektronisches Profiling betreiben kann. Heute jagt man damit nach Kunden oder Kriminellen. Morgen jagt man damit Andersdenkennde. Versicherungen, Arbeitgeber, Banken, Händler, staatliche Organe durchleuchten Datensätze auf der Suche nach wertvollen und weniger wertvollen Individuen, so wie es heute die Schufa macht.
Das verrückte dabei ist, dass nichts geklaut werden muss, weil der User schon heute an der Pflege und der uneingeschränkten Freigabe der eigenen Akte mitwirkt. Das ist keine Verschwörungstheorie sondern das Geschäftmodell der Global-Player im Internetgeschäft. Es geht darum, Datensätze aufzubauen die man dann nach belieben Sortieren kann. Einkommen, Famileienstand, Kinder, Wohnsituation. Fertig ist der Datensatz für die zielgruppenorientierte Marktoffensive der Bausparkasse. Grillanzünder bei Obi gekauft und auf einer Demo gewesen. Fertig ist der Datensatz für die Terrorfahndung. Raucher, Tiefschnee-Snowboarder, Motoradfahrer. Fertig ist die Schwarze Liste für den Versicherer. Die nächste Stufe ist dann die von Terrorregimen beauftragte Erstellung von Liquidationslisten mit Regimegegnern anhand von deren Bewegungs- und Nutzerprofil. Wer ausländische Zeitungen liest und die falschen Freunde hat, ist tot.
...wer eine, überspitzt ausgedrückt, "Phobie gegen die (Aus-)Wirkungen des Internets" hat, sollte sich selbstverständliche auch der eventuellen mißbräuchlichen Verwendungen seiner Forenbeiträge bewußt sein....
;-)Zitat:
...Wer ausländische Zeitungen liest und die falschen Freunde hat, ist tot.
Ohne Frage bestehen die beschriebenen Gefahren, und jeder solte die für ihn geeigneten Konsequenzen ziehen.
Unbedingte Priorität hat dabei sicherlich die Sensibilisierung für alles, was mit "der großen Wolke Internet" zu tun hat.