Nutzer-Daten von Mio Accounts gestohlen... könnte das auch Windows Live passieren?

**Mobilant** · 27.04.2011, 07:17 #1

Nutzer-Daten von Millionen Windows Live Accounts gestohlen hätte es auch heißen können. Glück gehabt, denn diesmal traf es nur die Sony Playstation Kunden. Ich glaube aber, dass es nur eine Frage der Zeit ist bis man sich andere veritable Ziele wie Apple oder Microsoft aussucht.

http://www.tagesschau.de/wirtschaft/...tation100.html

**chrizmo** · 27.04.2011, 07:40 #2

Könnte man den sinnfreien Thread bitte schließen ?

**Mobilant** · 27.04.2011, 08:12 #3

Schließen? Ja bitte, gern. Aber warum sinnfrei? Die Nachrichten sollte eigentlich von allgemeinem Interessse sein. Auch meine unverbindliche Anregung mal weiterzudenken, sollte zulässig sein. Der Marketplace, die Xbox oder die Cloud sind für Hacker schließlich gleichwertige Ziele.

Thread bitte ruhig schließen, dann hat der Eine oder Andere hier auch wieder mehr Zeit zum Nachdenken.

**StevieBallz** · 27.04.2011, 08:27 #4

Die Playstation-Geschichte ist rein prinzipiell interessant gehört aber nicht wirklich ins WP7-Forum. Die Cloud-Sicherheit lässt sich auch diskutieren - genauso wie die Sicherheit jedes Device, dass irgendwie Internetzugriff hat (das trifft die Smartphones selbst genauso).

Den Threadtitel habe ich jetzt insofern entschärft als dass er tatsächlich schon zu provokativ war.

Generell schätze ich die Sicherheit der Microsoft (und auch der Google)-Dienste recht hoch ein, ausschließen kann man es natürlich nicht. Wobei sich Anschrift + Kreditkartennummer relativ "schnell" herunterladen lassen, im Gegensatz zu Exabytes an Skydrive-Daten und Mails. Interessanter sind da eher der Marketplace und die dort hinterlegten Daten (das trifft aber eher den Online-Einkauf - egal bei wem: Amazon, eBay oder auch der kleine Software-Schreiber bei dem ich meine Software direkt beziehe).

**Mobilant** · 27.04.2011, 08:51 #5

Wie Du weißt, bin ich ja, was dies betrifft, außen vor. Welche Daten werden eigentlich bei der Inbetriebnahme eines neuen Phone 7 beispielsweise für die Anlage eines Live-Accounts oder den Marketplace - mehr oder weniger zwingend - abgefragt? Sind dies nicht genau die Daten, die hier bei Sony ausgespäht wurden?

OT Schade, dass Du meinen Titel abgeändert hat. Das war doch allerfeinste Boulevard-Presse.

Deinen Einfall mit dem Windows Love Account finde ich dagegen wieder Super. Was bekommt man da? Hat das etwas mit dem Vibrationsalarm zu tun?

Dr. Freud lässt grüßen.

**FTC** · 27.04.2011, 08:52 #6

...mit einer entsprechend hoher kriminellen Energie lässt sich jedes Datensystem knacken. Will man diesem Risiko entgehen, darf man keinerlei Daten auch nur irgendwo speichern. Selbst der eigene PC ohne Internetanschluss ist theoretisch nicht 100% sicher...

FTC

**Kengel** · 27.04.2011, 09:06 #7

Ist Windows Love ein neues Dating-Portal für Computer-Nerds?

Im Ernst: Klar ist sowas ärgerlich, aber das Risiko besteht immer. Daher liegt auf den Live-Accounts auch nichts, was mir ernsthaft schaden könnte, wenn es in die falschen Hände gerät oder von dem ich nicht will, dass es irgendwie in die Öffentlichkeit gelangt.

Ich sehe das aber ähnlich wie StevieBallz: Kriminelle werden wohl nicht Exabytes an SkyDrive-Dateien herunterladen, denn das würde viel zu lange dauern und der Gegenwert wäre zu schlecht einzuschätzen. Die interessantesten Daten im Falle eines Angriffs wären wohl Kreditkartendaten, Persönliche Daten, Kontaktdaten, E-Mails - in dieser Reihenfolge.

Gegen Kreditkartenbetrug ist man über die Kartenfirma versichert, Persönliche Daten wie Adresse, E-Mail und Telefonnummer sind in der heutigen Zeit kein Gut mehr, das sich schützen lässt, auch ohne Einbruch von Cyber-Kriminellen. Das muss man einsehen. Schon das Registrieren einer Domain führt dazu, dass diese Dinge öffentlich verfügbar werden. Weitergedacht gilt das dann auch für die Kontaktdaten. Und E-Mails, die einem irgendwie zum Verhängnis werden könnten, sollte man nicht auf Servern lassen.

Von daher komme ich zu meiner anfänglichen Meinung zurück: Ärgerlich wäre so etwas, aber kein ernsthaftes "Lebensproblem".

**Mobilant** · 27.04.2011, 09:21 #8

Daten gar nicht zu speichern, halte selbst ich für zu radikal. Wichtiger finde ich, dass man dafür sorgt, dass Daten nicht verknüpfbar oder zuordenbar werden. Die Industrie betreibt leider gerade den radikalen Gegentrend, nämlich jede einzelne Facette meines Lebens zu einem Gesamtbild zusammenzufügen. Diese Daten sind auf Dauer unsicherer als Atomkraftwerke.

Apple ist aktuell wegen der Bewegungsprofile in der Kritik. Android steht wegen seiner Nähe zu Google per se unter Generalverdacht. Microsoft waren bislang die "Good Guys". Leider arbeitet man bei MS gerade intensiv daran, dieses Saubermann-Image abzulegen.

Nun zu der von Stevie neu formulierten Eingangsfrage: Nutzer-Daten von Mio Accounts gestohlen... könnte das auch Windows Live passieren? Ich denke ja.

Meine Anschlussfrage: Welche Daten gibt man für eine Live ID und den Marketplace an?

**WarmRed** · 27.04.2011, 10:41 #9

In der Vergangenheit wurden die Hotmail-Daten schon mal gestohlen. Die Nutzer wurden dann angeschrieben und gebeten ihre Kennwörter zu wechseln.

http://www.netzwelt.de/news/80876-mi...eisberges.html

**StevieBallz** · 27.04.2011, 11:12 #10

Hab jetzt einfach mal wieder auf den Registrierungs-Link geclickt, dabei wird folgendes abgefragt:

Live-ID
Kennwort
Alternative E-Mail
Vorname
Nachname
Land
Postleitzahl
Geschlecht
Geburtsjahr

Was man bei der Live-ID und ähnlich auch beim Google-Account berücksichtigen muss: die ID ist ein Single-SignOn-System, es liegen aber nicht alle Daten dazu in derselben Datenbank. Schaffe ich es wirklich den Live-Account zu knacken, kann ich auf alle Dienste die Live für den Login verwenden zugreifen: Hotmail, Skydrive, diverse Microsoftforen + MSDN, usw. Die Kreditkartennummer an sich steht jedoch nur in der Marketplace-Datenbank (über das normale Userinterface wird nicht die ganze Nummer angezeigt).

Die Zahlungsdaten müssen also zumindest auf einem anderen Wege abgerufen werden und sind nicht "gratis" beim Live-Account dabei. E-Mails und SkyDrive-Daten sind so aber natürlich im Zugriff inkludiert wenn man das Live-Kennwort hat. Wobei die mit ziemlicher Sicherheit wie bei Windows auch gehasht abgelegt werden, also erst noch entschlüsselt werden müssen.

Zur Verwendung der Kreditkarte um im Marketplace einzukaufen sind zusätzlich noch die Kreditkartennummer, Name und vollständige Adresse des Kreditkarteninhabers notwendig.

Wer den jetzt verlinkten Artikel genauer durchliest sieht aber auch, dass die Daten nicht von Microsoft gestohlen sondern vielmehr bei einer Phishing-Attacke direkt von den Benutzern eingesammelt wurden - d.h. die Leute haben die Daten selbst auf einer gefälschten Seite eingegeben.

**br403** · 27.04.2011, 11:54 #11

Exakt, das ist die häufigere Methode. Wirklich ins Netz eingebrochen ist weder bei Google noch bei MS afaik niemand. Das war jetzt aber bei Sony der Fall.

**Blaugrana** · 27.04.2011, 11:55 #12

Ich denke mal, dass Sony gerade einfach das Lieblings-Opfer von Hackern ist. Mit der Geohot-Geschichte haben die sich aber auch selbst ein Ei gelegt.

**StevieBallz** · 27.04.2011, 12:00 #13

Bei Sony muss man anmerken, dass Anonymous (die das Playstation Network zuvor mittels DDoS lahmgelegt hatten) sich von dem jetzt distanziert haben. Es ist ja ein Unterschied ob man etwas macht um Sony zu schädigen/nerven/was auch immer oder ob man Benutzerdaten stiehlt (das trifft nämlich höchstwahrscheinlich die stärker als Sony).

**Mobilant** · 18.05.2011, 08:24 #14

Ich habe mir erlaubt, den Post mal auf meine Weise zu verschieben:

Zitat von Sina

Schöne neue Wolken-Welt!

Amazon spioniert Facebookprofile aus
Facebook-Apps gleichen ohne Wissen des Nutzers private Telefonbücher ab
Stalker Wurm bei Facebook
Hacker stehlen Sony Millionen Kundendaten
iPhone registriert alle Bewegungen
Ashampoo Server geknackt, Kundendaten gestohlen

Und nun auch noch dieses wunderschöne Android-Leck
http://www.spiegel.de/netzwelt/web/0...763176,00.html

**FTC** · 18.05.2011, 08:39 #15

...mit dem notwendigen Know How und der entsprechenden kriminellen Energie lässt sich jedes technische System aushebeln. Das ist einfach der Preis für den Fortschritt und die damit verbundene Bequemlichkeit. Wie ich schon im anderen Thread geschrieben habe, ist auf dieser schönen Welt nichts wirklich sicher. Wenn ich mich dem nicht aussetzen will, darf ich es nicht nutzen....

**Mobilant** · 18.05.2011, 08:54 #16

Was man hier liset, ist das Ergebnis einer Maximierungsstrategie. Kein Hacker möchte sich einen Tag hinsetzen, um Lieschen Müllers persönliche Festplatte auszuspäten, um dann dort letztlich einen Haufen Datenmüll zu finden.

Aus diesem Grund sucht man sich Ziele, bei denen Daten vieler Nutzer zentral und sauber geordnet abgelegt wurden. Als Hacker erhält man in diesen gefplegten Umgebungen die gewünschten Informationen auf einen Schlag, das ist rationeller aber auch prestigeträchtiger, als Lieschen Müllers Festplatte - wenn man es mal sportlich betrachtet.

Deshalb bin ich gegen die praktisch erzwungene Zentralisierung meiner Daten - nicht nur bei Phone 7.

Cloud Computing ist schön, passt aber nicht für jeden Zweck. Das sagen selbst Cloud-Befürworter.

"Cloud computing does not suit all companies or applications, but it should be a key part of any organisation's outsourcing strategy, says Forrester Research." Quelle: http://www.computerweekly.com/Articl...-Forrester.htm

Deshalb bin ich der Meinung, dass Phone 7 es dem User ermöglichen sollte, seine Daten autonom und mit der eigenen infrastruktur zu managen und dezentral, also verstreut abzulegen. Dies muss auch den Normalusern, also der erklärten Zielgruppe Microsofts möglich sein und nicht nur den IT Spezialisten mit eigenem Server.

Eingebrochen wird da, wo es sich lohnt. Wenn alle Welt die eigenen Kontaktdaten über live Synchronisiert, dann lohnt es sich irgendwann auch die Live Accounts anzuzpfen.

**FTC** · 18.05.2011, 09:11 #17

Zitat von Mobilant

Eingebrochen wird da, wo es sich lohnt. Wenn alle Welt die eigenen Kontaktdaten über live Synchronisiert, dann lohnt es sich irgendwann auch die Live Accounts anzuzpfen.

...ich würde sagen, dass die Latte bei Live Accounts wesentlich höher liegt als bei Lieschen Müller, deren PC für Phising- und Malwareattacken meistens offen ist, wie ein Scheunentor und bei dieser Gelegenheit auch gleich noch die Kontaktdaten mit abgeräumt werden....

**Mobilant** · 18.05.2011, 09:54 #18

... aber die Aufwand-Nutzen-Relation ist auch höher. Lies! Ich sage nicht, dass Lieschen sicherer ist. Sie ist nur weniger attraktiv! Lieschen wird nur zum Opfer wenn sie etwas falsch macht. Im Account wirst Du zum Opfer, nur weil Du Teil des Ganzen bist. Deine Anwesenheit genügt.