Nordpass Data Breach?
Hallo zusammen,
Nordpass hat mir einen Data Breach aufgezeigt, dass meine email im Darknet aufgetaucht ist und auf einer seite für einen Account genutzt wurde.
jetzt meine frage, wie kann der account erstellt werden wenn man dafür doch in den email Account muss um diesen zu bestätigen und es ist definitiv niemand in meinem account eingeloggt etc.
2 Antworten
Also es soll unter deiner Emailadresse einen Account geben, den du ganz sicher nicht erstellt hast?
Es soll wohl immer noch Webseiten geben, die keine Bestätigung der Emailadresse erfordern, wenn man sich dort registriert.
Es kann auch sein, dass der "geleakte" Datensatz einfach Müll ist, und die gar nichts außer deine Emailadresse haben.
Dort steht halt eine Webseite dazu und meine E-Mail und irgendein Benutzername + gehashtes Passwort steht da
Wenn es nicht dein Benutzername ist und niemand Zugriff auf deine Emailadresse hatte, würde ich mir keine Sorgen machen.
was ist ein gehashtes passwort
Das ist das Ergebnis, wenn man eine kryptografische Hashfunktion auf ein Passwort anwendet. Man kann anhand des Passworts den Hash berechnen, aber nicht umgekehrt. Webseiten speichern i.d.R. nicht das Passwort, sondern nur den Hash, und bei einem Loginversuch berechnen sie wieder einen Hash und vergleichen ihn mit dem gespeicherten Hash.
Ich hatte vor einem jahr oder so mal ein hack wo jemand mittels malware zugriff auf meinen PC hatte danach hab ich alles gecleant und backupcodes, neue PW, 2Faktorauthentifiizierung etc, konnte da jemand einen hash von meinem passwort machen und somit sich jetzt überall einloggen, obwohl ich es danach geändert habe?
Nein. Der Hash wird serverseitig berechnet. Um sich in deinen Account einzuloggen, braucht man dein Passwort.
Also sollte nichts passieren, wenn ich mein passwort geändert habe? Und der leak wo nur meine email gefunden wurde was ist damit?
Man kann oder konnte ganz prima ohne irgendeine Bestätigung oder irgendwas z.B. bei PayPal Accounts erstellen. Das hat irgendein Honk mit meiner Mailadresse gemacht, und ich bekomme seit mehreren Jahren immer wieder Infos zu Änderungen der PayPal AGB in Österreich. Die haben dem Honk sogar das SEPA-Lastschriftmandat genehmigt! Das musst du dir mal vorstellen - eine Multi-Billion-Dollar-Company kriegt es nicht hin, eine triviale Sicherheitsmaßnahme umzusetzen!
Ändere dein Passwort bei dem Account, bei dem Zugangsdaten gestohlen werden konnten und gut ist.
Die haben dem Honk sogar das SEPA-Lastschriftmandat genehmigt!
Das hat ja nichts mit der Emailadresse zu tun.
An deiner Stelle hätte ich schon längst Paypal aufgefordert, die falsche Emailadesse zu entfernen. Falls der Typ bei Paypal Scheiße baut, könntest du sonst Probleme bekommen.
Dort steht halt eine Webseite dazu und meine E-Mail und irgendein Benutzername + gehashtes Passwort steht da
was ist ein gehashtes passwort