Linkwertig:
Wie Sarah Palins Email-Account ‘gehackt’ wurde
Bekanntlich wurde der Yahoo-Mail-Account von Sarah Palin, der Vizepräsidentschaftskandidatin der Republikaner in der kommenden US-Wahl, gehackt.
Nun, gehackt ist wohl zu hoch gegriffen.
Wie das Wired-Blog Threatlevel berichtet, wurde das Passwort vom Angreifer einfach zurückgesetzt, indem er die Sicherheitsabfragen beantwortete. Und zwar:
- nach ihrem Geburtstag,
- ihrem ZIP Code (Postleitzahl in den USA)
- und dem Ort, wo sie ihren Ehemann kennenlernte
Selbst die letzte Frage war mit einer simplen Googlesuche in Erfahrung zu bringen.
Berichtet wird über diesen Vorgang von einem Nutzer im berüchtigten 4chan-Forum in einem Posting, das dort mittlerweile gelöscht wurde (Eine Kopie findet man auf dem Wired-Blog). Anschließend setzte ein anderer Nutzer des Forums das Passwort zurück und sendete eine warnende Mail an eine ihrer Mitarbeiterinnen. Allerdings postete er seine Mail mit dem neuen Passwort im Forum. Woraufhin sehr viele Mitglieder gleichzeitig versuchten, sich in den Account einzuloggen und das Passwort zu ändern, wodurch wiederrum ein Sicherheitsmechanismus getriggert wurde, der Palins Account einfror.
Ich habe mich schon des öfteren gefragt, wie sinnvoll es ist, als Webdienst komplizierte Passwörter zu verlangen und dann als Rückfrage, falls man das Passwort vergisst, leicht zu recherchierende Fragen beantworten zu lassen, wie etwa die Frage nach dem Wohnort oder nach dem Mädchennamen der Mutter.
Tatsächlich ist das besonders für eine in der Öffentlichkeit stehende Person eine knifflige Sache, der man als technisch Unbedarfter vielleicht gar nicht bewusst ist.
Dazu kommt noch, dass solche Informationen in Zeiten des Social Webs für viel mehr Menschen online recherchierbar werden. Ganz zu schweigen von Bekannten, die solche Informationen auch so wissen können. Jeder Ex-Mitarbeiter von Palin hätte sich wahrscheinlich Zugang zu ihrem Email-Account auf diese Weise verschaffen können, selbst wenn das alles nicht im Netz zu finden gewesen wäre. Wer weiß, wonach er forschen muss, kann solche simplen Dinge herausfinden. Dazu braucht es nicht das Web und Prominenz.
Vielleicht wird es Zeit über die Auswahl der Sicherheitsabfragen nochmal nachzudenken.
» Palin E-Mail Hacker Says It Was Easy | Threat Level from Wired.com
Hier erscheint jeden Morgen von Montag bis Freitag ein ausgewählter Link zu einem gelungenen Text. Viel Spaß bei der Lektüre!
Artikel per Feed
Artikel per E-Mail
Artikel bei Twitter
Facebook-Seite
Das ist genau der Grund, warum ich bei diesen dämlichen Sicherheitsfragen einfach wild auf der Tastatur herumhämmere, bis da genügend zufällige Zeichen als Antwort stehen.
Das ist wahrscheinlich das Beste, was man da machen kann, Dirk.
Bei mir genauso — Ich wähle irgendeine der teilweise absolut idiotischen Fragen aus und fülle das Antwortfeld mit einem zufälligen Zeichensalat.
Mein Password Manager erstellt mir gerne ein weiteres komplexes Passwort – als solches sollte man die Antwort auf die Sicherheitsfrage sowieso behandeln.
mds, stimmt.
Es geht noch viel banaler: bei Webseiten, die eine Registrierung anbietet stimmen bei ~ 45% der Mitglieder das Passwort vom Emailaccount mit dem Passwort beim Dienst überein! Der Zugrif auf das Emailpostfach ermöglicht dann – über die Paßwortreminder – den Zugriff auf alle gängigen Accounts (Auktionen, Bezahlsysteme, SN, …)
Über diese Fragen hab ich mir auch oft Gedanken gemacht. Manchmal stellen die Anbieter aber die Möglichkeit eine eigene Sicherheitsfrage einzugeben.
Aber, wenn diese Möglichkeit nicht besteht, erfinde ich andere Daten, um diese Sicherheitsfragen zu beantworten, die man nicht aus meinen Lebenslauf oder näheren Umfeld rausbekommen kann.
Welcher Depp gibt denn in die Sicherheitsabfrage auch eine wirklich passende Antwort rein?
Sarah Palins?
:)
Bart: Sarah Palin. Und sie dürfte nicht die einzige Person sein, die das so macht.
Ich war auch früher ein Depp, ich habe früher auch immer die richtige Antworten eingeben, aber das ist normal, wenn man sich mit Dingen nicht auskennt. Jetzt bin ich zum Glück etwas schlauer. :)
Was mir oft Sorgen macht, viele Leute klicken wirklich auf alles wo “hier klicken” draufsteht. Meine älteren Nachbarn haben vor kurzem Internet und für die ist alles neu und erkennen die ganzen Tricks und Gefahren nicht, weil eben alles neu ist. Zum Glück gibt es Internetkurse für Kinder und Erwachsene, die oft ziemlich gut sind, aber wer nimmt wirklich daran teil?