easyJet: Wie schützt man sich vor Datenlecks?

Screenshot from 2020-05-22 10-46-26

Jemand hat bei easyJet Daten von 9 Millionen Kunden entwendet. Ich bin einer dieser Kunden und bekam eine Email vom Fluganbieter, die mich gewarnt hat, dass Hacker diese Informationen gegen mich einsetzten könnten.

Ich bin easyJet für die Transparenz sehr dankbar. Und es führt uns mal wieder vor Augen, dass unsere Informationen, die wir Dienstleistern online anvertrauen, niemals 100% sicher sind. Das trifft auf E-Commerce- Anbieter, Soziale Netzwerke und im Grunde auf alle anderen Online-Dienste zu, vor allem auf die, bei denen man sich einloggen muss.

Als Kunde ist es auch nicht möglich zu beurteilen, welcher Anbieter tatsächlich in der Lage ist, die ihm anvertrauten Daten auch zu schützen. Daher muss man eigentlich immer davon ausgehen, dass so ein Datenleck entstehen kann. Um sich selbst zu schützen, muss man also versuchen, die Auswirkungen des Lecks zu minimieren. Und dabei helfen diese vier Tipps:

  1. Nutze bei jedem Dienst ein eigenes, einzigartiges Passwort, das auch nicht einfach eine Abwandlung eines anderen Passworts ist. Negativbeispiel: easyJetMyP@55w0rd, WordPressMyP@55w0rd, usw.
  2. Falls möglich, nutze bei jedem Dienst eine andere Email-Adresse. Damit kann man direkt nachvollziehen, woher missbrauchte Adressen stammen.
  3. Falls man mehrere Kreditkarten hat, sollte man jeder Karte eine bestimmte Funktion zuordnen: Reise, Einkäufe, Online Shopping, Online-Dienste (Netflix, iTunes, Amazon Prime, etc.). So fallen in den Monatsabrechungen Missbräuche viel schneller auf und eine Kartensperrung hat einen kleineren Effekt.
  4. Achte auf Phishing-Angriffe. Mit den aus den Leaks gewonnenen Daten lassen sich häufig zielgerichtete Spearphishing-Angriffe konstruieren. Diese Angriffe können per Email, SMS, Soziale Medien oder auch Anrufe und Briefe eingehen.

ARD/Phoenix: Israel vor den Wahlen

Screenshot from 2019-02-28 11-48-53

Als Susanne Glass von der ARD uns vor etwa einem Monat besucht hat, wussten wir noch nichts von der Allianz zwischen Benny Gantz und Yair Lapid, auch wenn Jenny sie im Interview vorausgeahnt hat.

Teile des Interviews gab es gestern im laufenden Programm von Phoenix und heute das ganze Interview im Netz bei der ARD:

https://www.phoenix.de/sendungen/ereignisse/phoenix-plus/israel-vor-der-wahl-a-912534.html

https://www.ard-telaviv.de/israel-vor-den-wahlen-3/

 

May the brute-force be with you, Botnet!

Das Internet ist voller böser Jungs und Mädchen. Ich arbeite für eine Firma, die mit ihren Produkten Firmen und Menschen hilft, sich gegen diese Bösewichte zu wehren. Doch auch privat betreibe ich eigene Server und Dienste. Da ich ein wenig zu paranoid bin, nutze ich meinen eigenen Mailserver und keine gmail oder andere „free“-mail adresse.

Nicht jeder kann einen eigenen Server betreiben. Denn wenn man nichts davon versteht, kann man es auch gleich einem Dritten überlassen, der weiß, was er tut. Falls nicht, ist man mit gmail doch besser aufgehoben.

Auf meinem Server befinden sich daher noch andere Benutzer, die gerne freemail-frei emailen wollen. Sie kennen mich alle persönlich und vertrauen mir, dass ich keinen Schindluder mit ihren Daten treibe.

Auf meinem Server läuft das IDS/IPSfail2ban„. Das ist ein System, das brute-force Angriffe auf Passworte erkennt und die Übeltäter automatisch blockiert. Das ist schön und dient als erste Verteidigungslinie. Aber so richtig Sicherheit bringt es nicht.

Ich sehe in den Logs, dass versucht wird, Passworte herauszufinden. Hier ein paar echte Logs aus dem Server, in der ich nur die Domain des potentiellen Opfers geändert habe:

2019-02-03 10:11:26 plain authenticator failed for (127.0.0.1) [191.102.28.34]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 10:11:28 login authenticator failed for (127.0.0.1) [191.102.28.34]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 10:31:16 plain authenticator failed for isp-31-222-13-236.saowifi.net (127.0.0.1) [31.222.13.236]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 10:31:16 login authenticator failed for isp-31-222-13-236.saowifi.net (127.0.0.1) [31.222.13.236]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 11:18:28 plain authenticator failed for (127.0.0.1) [88.81.93.221]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 11:18:29 login authenticator failed for (127.0.0.1) [88.81.93.221]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 11:55:13 plain authenticator failed for (127.0.0.1) [186.148.80.202]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 11:55:15 login authenticator failed for (127.0.0.1) [186.148.80.202]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 12:15:34 plain authenticator failed for (127.0.0.1) [178.219.123.243]: 535 Incorrect authentication data (set_id=info@victim.tld)
2019-02-03 12:15:35 login authenticator failed for (127.0.0.1) [178.219.123.243]: 535 Incorrect authentication data (set_id=info@victim.tld)

Wie man sieht, wird pro IP genau zwei Mal probiert und dann aufgegeben. Das liegt daran, dass man ab da Gefahr läuft, von einem IDS/IPS entdeckt zu werden. Wer aber genügend IPs zur Verfügung hat, wechselt eben von einer IP zur anderen.

Diese IPs bekommt man über Botnetze oder Anonymisierungsdienste. Gegen die kann man sich kaum zur Wehr setzen, ohne echte Benutzer auszusperren.

Es hilft also nur, gute Passworte zu nutzen und für jeden Dienst ein eigenes. Und wann immer es möglich ist, auf eine Zwei-Faktor-Authentifizierung zu setzen.