Vor kurzen u.g. Nachricht gelesen (Stand Juli 2017)
https://nachrichten.bridgeward.com/bundeskriminalamt-500-millionen-e-mail-adressen-und-passwoerter-im-netz-gefunden/
Um zu sehen ob man selber betroffen ist, kann man den Dienst HPI Identity Leak Checker
in Anspruch nehmen: https://sec.hpi.uni-potsdam.de/leak-checker/search?lang=de
Bei mir wurde interessanterweise nur mein Plex Zugang kompromittiert, obwohl ich bei Passwörter auf große Vorsicht und in ausreichender Stärke achte. Wo das Leck ist und wie so was passieren kann, muss jeder für sich selber entscheiden. Wichtig Passwort wechseln!
Mein Passwort war auch betroffen.
Meines war nicht betroffen…
Das ist nichts Neues, sondern immer noch und schon wieder mal der alte Zwischenfall von vor 2 Jahren wo der alte Plex Forumserver gehackt wurde und die Benutzerdaten kopiert wurden. Wenn du mal auf das Bildschirmfoto schaust, taucht dort das Datum “Dezember 2015” auf.
Das kommt ungefähr hin. Um die Zeit haben dann die Angreifer die abgezogenen Daten auf diversen Webseiten veröffentlicht.
Unmittelbar nach dem Hack wurden die Passwörter aller betroffenen Plex Benutzer zurück gesetzt und jeder aufgefordert ein Neues zu setzen:
https://www.plex.tv/blog/security-notice-forum-user-password-resets/
Eine Konsequenz daraus war übrigens der Wechsel zur “Vanilla Forum” Software und die technische Lösung, dass Plex Konto und Forenzugang jetzt wesentlich stärker entkoppelt sind.
Das mag stimmen, aber Anfang (Januar) diesen Jahres habe schon mal die Abfrage gestartet und
seiner Zeit wurde mein Zugang als nicht Kompromittiert angezeigt. Jetzt schon! Kann sein das diesmal ein Datensatz aus 2015 veröffentlicht wurde, das macht aber die Thematik nicht harmloser.
Ich möchte jetzt kein Thema aufmachen ob Plex sicher oder unsicher ist. Das können Experten besser beurteilen als ich. Mir geht es darum das jetzt ein Datensatz veröffentlicht wurde wo kompromittierte Passwörter gelistet sind u.a. von Plex. Wer auf “Sicher” gehen möchte sollte sein Passwort ändern. Schaden tut es nicht.
@rruhland said:
Das mag stimmen, aber Anfang (Januar) diesen Jahres habe schon mal die Abfrage gestartet und
seiner Zeit wurde mein Zugang als nicht Kompromittiert angezeigt. Jetzt schon!
Nö. Das bedeutet lediglich, dass diese Webseite (leakchecker) erst jetzt Zugang zu diesen Datensätzen erlangt hat, nichts weiter. Sie wurden bereits im Dezember 2015 veröffentlicht. Warum der Leakchecker erst jetzt davon erfahren hat, kann ich dir nicht sagen.
Mir geht es darum das jetzt ein Datensatz veröffentlicht wurde wo kompromittierte Passwörter gelistet sind u.a. von Plex.
Nein es ist nicht jetzt veröffentlicht worden, sondern im Dezember 2015.
Schon weit vor diesem Datum, nämlich ~ 4 Tage nach dem Hack wurden bereits sämtliche Plex Passwörter geändert.
Damit sind die veröffentlichten Daten (außer vielleicht den Email-Adressen) schon längst nutzlos geworden.
Die Gefahr eines ausgespähten Plex-Passwortes besteht darum nicht (es sei denn man war so leichtsinnig und hat das selbe Passwort damals auch noch für andere Webseiten verwendet).
