Account-Übernahme durch Credential Stuffing
ID: 1818126
Sicherheitsproblem Bequemlichkeit
Dieselben Zugangsdaten bei mehreren Diensten einzusetzen, geht nur so lange gut, wie keiner der Dienste einer Attacke zum Opfer fällt. Etliche bekannt gewordene Fälle scheinen darauf hinzudeuten, dass Credential Stuffing als Angriffsmaßnahme derzeit besonders beliebt ist. ?Dabei wird die technische Infrastruktur eines Dienstes nicht angegriffen?, erklärt c?t-Redakteur Jo Bager. ?Vielmehr setzen die Angreifer auf eine sehr menschliche Schwäche der Anwender und nutzen Zugangsdaten, die beim Hack auf andere Dienste erbeutet wurden.?
Ein Zufallsfund ermöglicht einen Blick darauf, wie die Angreifer vorgehen. Ein Leser hat das c?t-Magazin auf einen offen zugänglichen Webserver aufmerksam gemacht. Dort lagen Dateien mit Zugangsdaten von knapp einer Million deutscher und rund 38 Millionen französischer Kunden der Online-Handelsplattform Kleiderkreisel im Klartext. c?t hat die Dateien heruntergeladen und analysiert. ?Zwei Dateien mit insgesamt 193 Datensätzen enthielten ein Feld credit_cards, das offenbar den Ablaufmonat der Kreditkarte enthält?, erläutert Bager. In diesem Fall scheint der Angreifer also nicht nur Zugangsdaten gehortet zu haben, sondern in die Accounts eingedrungen zu sein.
Nachdem c?t die Mutterfirma von Kleiderkreisel, vinted.com, auf das Problem hingewiesen hatte, konnte die IP-Adresse des von unserem Leser aufgefundenen Servers einem Spammer und Dictionary Attacker zugeordnet werden. Kleiderkreisel/Vinted und deren Kunden waren nach eigenen Angaben ?in den letzten fünf Monaten des Jahres 2019? einem Credential-Stuffing-Angriff ausgesetzt.
?Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen?, betont Bager. Jeder hat es selbst in der Hand, die eigenen Accounts zu schützen: ?Man sollte für jeden Dienst ein anderes Passwort nutzen. Passwort Manager wie KeePass sind dabei hilfreich.? Auch die Zwei-Faktor-Authentifizierung ist ein wirksamer zusätzlicher Schutz gegen den Fremd-Zugriff auf den eigenen Account.
Für die Redaktionen: Die neue c?t 12/20 liefert neben spannenden Artikeln auch die aktualisierte Version des seit über 15 Jahren bewährten Sicherheitstools der c?t-Redaktion: Desinfec?t. Neben den vier Virenscannern ist neuerdings ein offener Threat-Scanner mit an Bord, der Emotet und andere Bedrohungen sehr effektiv aufspürt.
Die Computerzeitschrift c't steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als meistabonnierte Computerzeitschrift Europas greift c't im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.
Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software-und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.
Mehrmals im Jahr gibt c't Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c't Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c't Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Die Computerzeitschrift c't steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als meistabonnierte Computerzeitschrift Europas greift c't im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software-und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung&Beruf.Mehrmals im Jahr gibt c't Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c't Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c't Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Datum: 22.05.2020 - 08:01 Uhr
Sprache: Deutsch
News-ID 1818126
Anzahl Zeichen: 4242
Kontakt-Informationen:
Stadt:
Hannover
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 466 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Account-Übernahme durch Credential Stuffing"
steht unter der journalistisch-redaktionellen Verantwortung von
Heise Gruppe GmbH&Co KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Heise Media Service ist Premium Partner 2023 im Rahmen des Google Partners-Programms. Damit gehört die in Hannover und Hamburg ansässige Online-Marketing-Agentur zu den 3 Prozent der Google Partner in Deutschland, die den Premium Status erreicht haben. Unter der Dachmarke Heise RegioConcept bietet
Logo, Hausfarbe und Schrift im neuen Look ...
Mit einem moderneren Logo startet das hannoversche MedienhausHeise in das neue Jahr. Das stilisierte „h“ für Heise erscheint jetzt ohne Kasten, das Heise-Blau bekommt eine dunklere Nuance und die Hausschrift ist ab sofort Source Sans Pro. Der gesamte Änderungsprozess mit dem Ziel, den Absender
Online-Marketing-Ratgeber von Heise RegioConcept ...
Kleine und mittlere Unternehmen profitieren erheblich von sozialen Netzwerken. Sie können bestehende sowie neue Kunden ansprechen und Mitarbeiter gewinnen. Allerdings braucht der Erfolg ein planvolles Vorgehen. Das neue E-Book „Social Media für Einsteiger“ von Heise RegioConcept hilft Unterneh
Weitere Mitteilungen von Heise Gruppe GmbH&Co KG
SAS DACH-Chefin in den Verwaltungsrat der AmCham Germany berufen ...
Heidelberg, 20. Mai 2020 - SAS, einer der weltweit führenden Anbieter von Lösungen für Analytics und künstliche Intelligenz (KI), ist ab sofort im Verwaltungsrat der American Chamber of Commerce (AmCham) in Germany (https://www.amcham.de/) vertreten: Annette Green, VP DACH, ist in das Board of D
Praxisrunde Digitalisierung #workhacks ...
#workhacks sind agile minimalinvasive Methoden, um die Zusammenarbeit und Arbeitsergebnisse von Teams zu verbessern. Die Basis bilden Theorien und Methoden der neuen Arbeitswelt wie SCRUM, Design Thinking, Agiles Management, Selbstorganisation und Holocracy. Hierdurch verändert sich die Organisatio
TeamDrive warnt vor US-Anbietern in der Krise ...
Von Homeoffice bis Videokonferenzen beschleunigen derzeit viele Unternehmen ihre betriebliche Digitalisierung. Dabei sollte man allerdings tunlichst nicht auf US-Anbieter setzen, um nicht den Regeln der US-Konzerne zu unterliegen oder gar unbeabsichtigt ins Visier von US-Behörden zu geraten, warnt
Rakuten teilt Erfahrungen aus dem Homeoffice ...
Mit der Ausbreitung des Coronavirus haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt. So auch der Internetkonzern Rakuten, der dafür steht, gesellschaftlichen Veränderungen mit Optimismus und Kreativität zu begegnen. Eine neue Arbeitsweise durch Covid-19 Die Verbreitung des Coron
