Humble-Konto gehackt ...

  • Man muss immer bedenken. Hinter Datenbanken, Verschlüsselungen,Auth Verfahren etc. steckt immer ein riesiges Problem. Der Mensch.

    Wo der Mensch seine Hand mit dran hat, gibt es auch immer Fehlerquellen. Programme sind Dumm sie machen nur das was man ihnen sagt. Und wenn man etwas vergisst dem Programm mitzuteilen, dann macht es das Programm nicht PUNKT.

    Da kann man noch so Komplexe Sicherheitsmechanismen machen. Wenn der Menschliche Faktor mitspielt gibt es eine Tür da rein, man muss sie nur finden ;)

  • Die Aussage hier, mit der Erklärung danach sagt für mich aus: Du hast eine Passwort vergessen Email erhalten.

    Dann.... Ja, leider weiß man dann von welcher Postkarte sie den Link haben zum ändern des Passwortes, wer sich ein wenig damit beschäftigt wird auch ohne Zugriff auf dein Mailkonto die Email erhalten und nutzen. Es muss ja nur eine Stelle undicht sein und die Postkarte wird gefunden auf dem Weg von A nach B und macht dann eben einen Umweg über C.

    (Ich vermeide jetzt die Problematik hier groß auszubreiten, aber das ist eine mittlerweile gängige Methode, da viele Anbieter keine Transportverschlüssung verwenden und die von mir Postkarte genannten E-Mails im Klartext durch das Netz wandern)

    Bedeutet das, ich hätte da eh nichts machen können, als Normalsterblicher?
    Weil solche Mails unterwegs abgefangen werden können? Kann man da gar nichts dagegen machen?

    Einmal editiert, zuletzt von Badseb (6. September 2024 um 20:21)

  • Bedeutet das, ich hätte da eh nichts machen können, als Normalsterblicher?
    Weil solche Mails unterwegs abgefangen können? Kann man da gar nichts dagegen machen?

    Kein Internet / kein E-Mail benutzen - also NEIN,man kann absolut nichts machen,leider....:crying_face:

    ..es liegt ja nicht bei Dir,wie heutzutage mit Deinen Daten "umgegangen" wird....

  • Bedeutet das, ich hätte da eh nichts machen können, als Normalsterblicher?
    Weil solche Mails unterwegs abgefangen können? Kann man da gar nichts dagegen machen?

    Nein, da kann man gar nichts gegen machen.:pleading_face: Das Risiko selber betroffen zu sein, ist angesichts Milliarden von Nutzern nicht sehr hoch:relieved_face:, aber es ist "dank" vieler automatisierter, synchroner Hacks wahrscheinlicher geworden.=O

    Aber WENN du im Fadenkreuz eines fiesen Hackers bist, dann ist das echt blöd.:(

  • Programme sind Dumm sie machen nur das was man ihnen sagt. Und wenn man etwas vergisst dem Programm mitzuteilen, dann macht es das Programm nicht PUNKT.

    Nicht mehr lange, KI, dann können Programme sogar denken. :beaming_face_with_smiling_eyes:

    Na ja, ganz so sehe ich das nicht, im Gegenteil, wenn man etwas vergisst, dem Programm mitzuteilen, was es zu machen hat, dann reagiert das Programm nicht mehr oder nicht viel oder aber es macht sogar irgendwelchen Mist, was leider oft passiert. Und das ist ein Problem! ;)

    Einmal editiert, zuletzt von TheRaven1 (6. September 2024 um 20:19)

  • Zum Beispiel Node.exe.

    Diese Datei habe ich nicht im Task Manager.

    Für mich ist jetzt die Priorität, ob mein Rechner soweit sauber ist. Die Virenscans haben nichts ergeben. Das ist schon mal etwas beruhigender. Und wenn es jetzt auch noch andere Wege gibt, an meine Daten zu kommen, dann muss ich die Nutzung solcher unsicheren Seiten (wie wohl HB) überdenken, oder nach jedem Kauf alle Keys einlösen. Dann können die dann das Konto behalten, wird den Hackern eh nichts nützen. Und da ich diese oberdämlichen Paypal-Verknüpfungen immer lösche, ist die Wahrscheinlichkeit, dass Jemand auf diesem Wege mein Geld ausgibt, nur noch sehr gering.

    Einmal editiert, zuletzt von Badseb (6. September 2024 um 20:23)

  • Wie sieht es eigentlich mit data breaches aus? Ich hab viele Passwörter in Chrome drin, außer die richtig wichtigen wie Bank, PKV, Compiware usw. Der Vorteil ist, dass Google einem mitteilt, falls Login Daten von Webseite xyz bei einem Data Breach nach außen gedrungen sind und mit daher darauf hinweist die Logindaten zu aktualisieren.

  • Das, was am besten gegen Cookie-Stealer hilft, ist die Nutzung von möglichst viel bekannter Open-Source-Software und möglichst wenig Software aus unüberprüfbaren Quellen (z. B. proprietäre Software bzw. Closed-Source-Software). Letztere Software darf niemals mit Root-/Admin-Rechten ausgeführt werden und sollte darüber hinaus vom restlichen System abgeschottet ausgeführt werden (z. B. in einer Sandbox).

    Einmal editiert, zuletzt von Berny23 (6. September 2024 um 21:26)

  • Es gibt so "Spitzenzeiten" und wirklich immer nach dem Sommer Anfang September,da hat dieser Schwachsinn Hochsaison.

    Egal ob diese Spasten die mit Nummern aus der Ukraine anrufen und meinen,sie sind meine Kinder und bräuchten Kohle oder die Mail Vollpfosten,die meinen,es wurden Doppelüberweisungen gemacht und man soll den Betrag xxx wieder zurück überweisen auf ein Konto in Fitschigogerl oder die Wichser mit Ihren "Super Sonderangeboten die nur 15 Minuten gelten und am Besten sofort bezahlt werden müssen" im Namen von bekannten Firmen usw.

    Sobald du im Netz bist,isses vorbei und irgendwann erwischt es jeden,egal wie vorsichtig man ist.Irgendein Arsch verkauft Deine Daten und du bist schon mitten drin.Diese "Firma wurde gehackt und 1,5 Millionen Userdaten wurden offengelegt und WEITERGEGEBEN.." Sachen machen keinen "seriösen" Hacker - Da gibt es immer noch den "Codex".

    Was glaubst,wie lustig das ist,wennst einen Facebook Account anlegst,nur um mit Deinem Hunde Züchter in einer geschlossenen Gruppe in Kontakt zu bleiben und innerhalb von 2 Wochen wird Dein Account (und in Folge auch Dein E-Mail Postfach) mit "Freundschaftsanfragen/Werbung/Gruppen(vorschlägen),Reels/Quickies und wie der ganze Scheissdreck noch so heisst und so weiter regelrecht zugeschissen ! Ohne einem EINZIGEN Kontakt etc. Deine E-Mail Adresse zu geben !

    Pardauz - Wie dieses ? 8|

  • Bedeutet das, ich hätte da eh nichts machen können, als Normalsterblicher?
    Weil solche Mails unterwegs abgefangen werden können? Kann man da gar nichts dagegen machen?

    Ich weiß nicht wie weit HB eine Transportverschlüssung verwendet oder dein Mail Provider, verwendet es nur einer von beiden, erfolgt wie gesagt der Transport ähnlich wie bei Webseiten unverschlüsselt und dann kannst du da leider absolut nichts machen, die Masche mittels triggern solcher E-Mails diese abzufangen ist so alt wie das SMTP Protokoll.

    Bei Gmail zeigt es dir in der App und im Browser Recht deutlich ob die Mail mit Transportverschlüssung übermittelt wurde:


    Sollte dein Anbieter das ebenfalls anzeigen, und da steht das Transportverschlüssung verwendet wurde, ist natürlich meine Aussage das es darüber passierte nichtig und eventuell kamen andere Sachen zum Einsatz (XSS zB, gerade Opera und veraltete Chromium Browser haben da zuletzt vor einigen Wochen eine Lücke gestopft)

  • Bei Gmail zeigt es dir in der App und im Browser Recht deutlich ob die Mail mit Transportverschlüssung übermittelt wurde:


    Sollte dein Anbieter das ebenfalls anzeigen, und da steht das Transportverschlüssung verwendet wurde, ist natürlich meine Aussage das es darüber passierte nichtig und eventuell kamen andere Sachen zum Einsatz (XSS zB, gerade Opera und veraltete Chromium Browser haben da zuletzt vor einigen Wochen eine Lücke gestopft)

    Das kann ich bei mir nicht erkennen, da weder Thunderbird noch Apple Mail (auch bei Gmail Mails) diese Verschlüsselung anzuzeigen scheint, oder ich bin zu doof, es zu sehen.

  • Ich habe mein Konto bei Humble Bundle wieder. Wie befürchtet, ist es ein Trümmerhaufen. Alle Key, die ich noch übrig hatte, wurden eingelöst. ;(
    Zum Glück hole ich immer gewollte Titel sofort ab und mache das nicht wie andere, die es erst Monate später tun. Somit habe ich einen ganzen Haufen "ungewollter" Keys verloren, die vermutlich verschenkt oder getauscht würden. Aber das Leben geht weiter.

    Was mich aber noch interessieren würde, od die 2FA über Google Authentifikator oder über SMS und Whats App sicherer sind, als der Schlüssel, der an die Mailadresse kommt? Oder ist das Alles irrelevant, wie man sich absichert, Hauptsache wenigstens 2FA? Die Authentifizierung habe ich von einem Code an die E-Mail-Adresse zu einem Code vom Google-Authentificator geändert. Ob das mehr bringt? Wir werden sehen.


    Und eine Info an Alle: Humble verlangt die letzten drei Transaktionsnummern, um das Konto wieder Herzustellen. Das solltet ihr vielleicht für die Zukunft wissen. Vor allem die, die dort selten was kaufen, da kann sich die Suche danach etwas schwieriger gestalten.

    2 Mal editiert, zuletzt von Badseb (8. September 2024 um 11:19)

  • Was mich aber noch interessieren würde, od die 2FA über Google Authentifikator oder über SMS und Whats App sicherer sind, als der Schlüssel, der an die Mailadresse kommt?

    TOTP über die App ist sicherer als solche Methoden über Mail, auch nicht Bombe sind SMS und WhatsApp, da auch Klartext.

  • Ich habe mein Konto bei Humble Bundle wieder.

    Glückwunsch! :)

    Zum Glück hole ich immer gewollte Titel sofort ab und mache das nicht wie andere, die es erst Monate später tun.

    Aktuell hinke ich mit meinen gewollten Keys hinterher. Aber alle anderen Keys kann ich ja nicht einlösen, da sie in den Adventskalender von CompiWare wandern. Damit wären diese "Gewinne" dann natürlich kaputt. :/