Gehackt !

[Cogito]

Nach Lektüre von
http://www.spiegel.de/netzwelt/web/date ... 62955.html
habe ich den im Text angegebenen Link zur Überprüfung genutzt.

Während ich sonst bei Lotterien nie gewinne, war es diesmal anders . Gleich mal in meinen Google Account 'rein. Dort kann man u.a. seine letzten Aktivitäten verfolgen. Und siehe da: am 21.3. habe ich mich angeblich von Münzenbach/berg (wo ich nie gewesen war) eingeloggt .

Tief seufzend habe ich meine virtuelle Maschine hochgefahren und von dort aus alle Passwörter bei den Online Banken, PayPal, Amazon, Ebay sowie eben auch der E-Mail ersetzt.

Jetzt habe ich folgendes Problem:
- über Google kann ich mich am PC mit meinem neuen Passwort korrekt anmelden
- dasselbe Passwort wird über Thunderbird (=> an den Google Server für mein gmail Acount) NICHT erkannt.
- ebenso kann sich mein Handy damit nicht mehr einloggen
Tippfehler ausgeschlossen.

Ich würde schon gerne bei Thunderbird bleiben, da die Google Mail Oberfläche unschön und unübersichtlich ist.

[Variatio]

- über Google kann ich mich am PC mit meinem neuen Passwort korrekt anmelden

Das ist schonmal gut.

Fuer gmail unbedingt empfehlenswert: 2-Faktor-Authentifizierung! Ist zwar mit ein bisschen mehr Aufwand verbunden, wenn man mal seinen Cache loescht, und man sich wieder 2fach authentifizieren muss. Aber das Mehr an Sicherheit ist diesen Aufwand wert!

https://www.google.com/landing/2step/

Warum Thunderbird/Handy nicht mehr geht, ist mir allerdings schleierhaft. Hast du ein neues Pwd zugeschickt bekommen, oder ein eigenes gewaehlt? Falls ersteres: Aendere es mal zu einem dir genehmen, und teste Thunderbird/Handy damit!

[Variatio]

Apropos PC-/ und Handysicherheit:
Antiviren-Software schadet meistens immer mehr, als dass sie nuetzt!!!

AV-Software gaukelt eine Sicherheit vor, die nicht gewaehrleistet werden kann. Im worst-case macht sie einfach gar nichts, so wie oben ...
Und die Anwender fuehlen sich sicher, was zu Fehlern fuehren kann. Stichwort Risikokompensation.

[HOLGI]

Stell bei Firebird auch auf SSL Verschlüsselung um. Viele Provider lassen nur noch SSL verschlüsselung zu. Da läuft gerade eine Umstellungswelle.
http://www.chip.de/news/SSL-Verschluess ... 63238.html
Wie Du Gmail auf Firebird umstellst, wirst Du bestimmt bei Google finden.

[Cogito]

oder ein eigenes gewaehlt?

Genau das.

[Variatio]

Stichwort PC-Sicherheit - hier eine schoene Erklaerung des openssl-Bugs!

https://xkcd.com/1354/

[Cogito]

Sorry,
kapiere ich nicht.

[Referre]

Sorry,
kapiere ich nicht.

Mie geht es genauso

[Phoenix]

Das Google Protokoll versucht übrigens anhand der IP den Standort herauszufinden. Da das sehr ungenau ist, kann es auch mal passieren, dass ein falscher Standort ausgegeben wird
Also wurdest du nicht zwangsweise gehackt

Aber Passwörter ändern schadet nie.

[Variatio]

Sorry,
kapiere ich nicht.

Mie geht es genauso

Ok, dann nochmal zu Fuss

openssl soll zu einer Anfrage genau das zurueck liefern, was angefragt wurde:
"Gib mir POTATO, was 6 Zeichen lang ist" - "POTATO"
"Gib mir BIRD, was 4 Zeichen lang ist" - "BIRD"

Es wurde aber in der Implementierung nicht abgefangen, wenn das Anfragewort mit seiner Zeichenlaenge nicht uebereinstimmt. So kann man mit folgendem Aufruf Speicher lesen, den man nicht lesen koennen sollte:

"Gib mir HAT, was 500 Zeichen lang ist" (--> eigentlich eine unzulaessige Eingabe, da HAT nur 3 Zeichen hat)

openssl gibt dann nicht nur "HAT" zurueck, sondern auch alle 497 weiteren Buchstaben, die im Speicher stehen. Und dort koennen alle Moeglichen Informationen drinstehen - vor allem Passwoerter und Zugangsdaten.