I have been pwned

Frei übersetzt lautet die Überschrift “ich wurde verpfändet“.

Seit aber Troy Hunt das Portal https://haveibeenpwned.com zugänglich gemacht hat, geht es hier um einen anderen Sachverhalt.

Das grundsätzliche Problem sind diverse “Leaks” bei verschiedenen Unternehmen in den vergangenen Jahren.

Dadurch wurden E-Mail Adressen und auch dazu gehörende Kennwörter bzw. Kennwort-Hashes kompromittiert.

Natürlich kenne ich mich da sehr gut aus, weil es auch zu meinem Tagesgeschäft gehört, mich um Informationssicherheit zu kümmern.

Doch – ich wurde am Sonntag 18.07.2021 um 15:21 Uhr “ge-pwned”.

Konkret wurde in eBay Kleinanzeigen eine Anzeige über mein Konto veröffentlicht und für 600 € ein “Garmin Tactix Delta Solar” angeboten.

210718-1721-betruegerische Anzeige bei eBay Kleinanzeigen

Blöd nur, dass ich so etwas gar nicht besitze.

Um 15:56 Uhr kamen dann zwei weitere Mails, die mich darüber informierten, dass sowohl mein Kennwort als auch meine E-Mail Adresse geändert wurden.

210718-1556-Information Änderung E-Mail Adresse

Zukünftig war ich dann wohl über ‘’ erreichbar.

Es dauerte natürlich nicht lange und mir ist eingefallen, dass ich 2014 tatsächlich einmal etwas über eBay Kleinanzeigen verkaufen wollte.

Damals war mir das Konto absolut unwichtig und so habe ich mein damaliges “Standardkennwort” verwendet.

Blöd nur, dass 2013 rund 153.000.000 Kontendaten bei Adobe abgegriffen wurden. Darunter eben auch meine Kombination aus E-Mail Adresse und Kennwort.

Das ist nun echt peinlich, dass ausgerechnet bei mir so etwas geschehen ist.

Und es ärgert mich besonders, weil ich immer wieder meine Kennwörter geändert und sicherer gemacht habe.

Nur eben nicht bei diesem, vergessenen Zugang.

Natürlich habe ich noch weitere E-Mail Adressen, die ich teilweise nur für bestimmte Zwecke verwendet habe.

Alle !!! diese Adressen wurden schon einmal “ge-pwned”. Hier gibt es noch vieles zu tun.

Wie bin ich nun vorgegangen?

Zunächst einmal habe ich mir die entsprechende Infoseite beim Anbieter angeschaut.

Dort gab es nur die Möglichkeit, den Vorgang zu melden.

Dann habe ich mir die Anzeige angeschaut um diese auch gleich zu melden.

Dafür musste ich mir ein temporäres Konto einrichten, weil das Melden nicht anonym möglich ist.

Und natürlich habe ich sofort eine Straf-Anzeige über https://www.polizei.rlp.de/de/onlinewache/ gemacht.

Das ist aus verschiedenen Gründen wichtig.

Auf der einen Seite dokumentiere ich damit den Vorfall und kann später zumindest beweisen, dass ich alles getan habe, was mir möglich war, um einen möglichen Betrug zu vermeiden.

Und die Polizei muss von solchen Vorgängen erfahren, auch wenn am Ende die Verfahren oft eingestellt werden müssen.

Um die Behörden etwas zu entlasten, habe ich auf den Einstellungsbescheid verzichtet:

Ihre Anzeige wird der zuständigen Staatsanwaltschaft zur Prüfung vorgelegt. Die Staatsanwaltschaft kann unter bestimmten Voraussetzungen ein Verfahren nach Abschluss der Ermittlungen einstellen, z. B. wenn die Ermittlungen ergeben haben, dass keine Straftat vorliegt oder kein Täter ermittelt werden konnte. Mit der Aktivierung dieses Ankreuzfeldes stimmen Sie dem Verzicht auf einen Einstellungsbescheid durch die Staatsanwaltschaft zu.

Gegen 17:00 Uhr hatte der Spuk dann ein Ende, weil der Anbieter wirklich sehr schnell reagiert hat. Das Angebot wurde natürlich auch gesperrt.

Mein Konto habe ich wieder und es hat nun auch ein besseres Kennwort.

Wieder bestätigten sich durch diesen Vorfall meine grundsätzlichen Thesen:

    • das ist nicht wichtig” – oft höre ich dieses Argument, wenn man online einfach zu bequem ist, um ein Konto richtig abzusichern. Bequemlichkeit und Nachlässigkeit rächen sich!
    • mir passiert das nicht” – was wohl wiederlegt ist. Solche Dinge geschehen in jeder Sekunde und das Risiko steigt ebenso schnell an.
    • und wenn schon” – was, wenn ich das nicht bemerkt hätte und über meinen Namen ein Betrug stattgefunden hätte? Im Konto waren immer noch meine persönlichen Daten hinterlegt.
    • brauch’ ich eh nicht mehr” – der wohl größte Fehler, weil ein kompromittierter Zugang immer auch ein Teil der Persönlichkeit ist. Dann sollte man das Konto sauber löschen.

Und – selbst vermeintliche Experten und Menschen, die jeden Tag mit Cybersicherheit zu tun haben sind nicht vor Angriffen geschützt.

Niemand ist das!

Was machen Sie jetzt?

    • Fertigen Sie eine Übersicht aller Ihrer Onlinekonten an.
    • Prüfen Sie, ob diese noch gebraucht werden und sichere, einmalige Kennwörter haben.
    • Ändern Sie unsichere Kennwörter – ich verwende die Vorschläge von Firefox.
    • Eventuell kann ein Kennwortmanager helfen, die Übersicht zu behalten. Ich verwende den in Firefox.
    • Mit Blick auf das “digitale Erbe” sollten die Zugangsdaten auch einer Person Ihres Vertrauens im Notfall zugänglich sein.
    • Ab und an kann man sich eine solche Liste auch vornehmen und schauen, was gelöscht oder geändert werden kann.

Ich habe rund 4 Stunden gebraucht, um alle Zugänge zu prüfen und zu aktualisieren und bin immer noch nicht ganz fertig.

Aber egal wie – es nicht zu tun wäre fatal.

Der nächste Hacker arbeitet schon an einem Angriff.