Das schwedische Indie-Studio Mojang empfiehlt allen Spielern von Minecraft, das Passwort ihres Accounts zu ändern. Grund dafür sei eine Sicherheitslücke in OpenSSL, einer freien Software, die unter anderem dazu genutzt wird, eine sichere Datenübertragung zu gewährleisten. Der sogenannte Heartbleed-Bug ermöglicht es Angreifern, unbemerkt Passwörter und Benutzernamen auszulesen. System Developer Kristoffer Jelbring äußerte über Twitter, dass die eigenen Server nicht davon betroffen seien. Allerdings benutzen die Entwickler die Dienste von Amazon Web Services zur Abwicklung des Datenverkehrs, die unter anderem auf OpenSSL basieren.
Obwohl der Fehler inzwischen behoben sei und nicht geklärt ist, ob tatsächlich Daten gestohlen wurden, solltet ihr aus Sicherheitsgründen dennoch ein neues Passwort vergeben. Falls ihr euer Benutzerkonto bereits in einen Mojang-Account umgewandelt habt, könnt ihr eure Zugangsdaten über diesen Link ändern. Verfügt ihr stattdessen nur über einen klassischen Minecraft-Account, könnt ihr euer Passwort auf der offiziellen Minecraft-Seite zurücksetzen.
Es betrifft übrigens nicht nur Minecraft, sondern alle Server, die Openssh 1.1 genutzt haben. Wie sieht es eigentlich hier auf gg damit aus?
Korrektur: betroffen ist openssl 1.0.1, nicht openssh 1.1.
Von openssh hat es wohl nie eine 1.1 gegeben, nicht dass jemand sich freut weil sein openssh deutlich neuer ist ;-)
> Wie sieht es eigentlich hier auf gg damit aus?
Anscheinend nicht betroffen. Es gibt bei gg laut ssltest auch nur TLS 1.0, wodurch man vermuten koennte, dass openssl in der Version 0.9.8 eingesetzt wird und die ist nicht betroffen. TLS 1.1 kam naemlich erst spaeter...
Danke für die Info. Wird alsbald erledigt.
Dazu müsste es mir wieder einfallen...
Deshalb benutzt man ja überall dasselbe Passwort :P
Oder man geht ganz raffiniert vor: "Minecraft" für Minecraft, "GamersGlobal" für GG...
Lässt sich prima merken :-)
Ich nutze meistens "falsch". Wenn ich mich nicht mehr daran erinnern kann oder mich vertippe, sagen mir die meisten Seiten dann, dass mein Passwort falsch ist...
Wenn es lang genug ist, lässt sich dagegen auch ehrlich gesagt nichts sagen.
Ich nutze tatsächlich fast überall das selbe Passwort. Und das besteht, sofern die Möglichkeit dieser Länge besteht, aus einem leicht merkenden vollständigen Satz. Das ist eher schwierig rauszufinden. Ist leicht merkbar und der Aufwand es zu knacken geht in die Jahrzehnte.
Sorry, dass ich das ausgerechnet dir sagen muss, aber auf die Länge kommt es nicht an. Dein Passwort kann aus fantastilliarden Zeichen bestehen. Wenn du es überall verwendest, dann muss es nur einmal irgendwo geklaut werden und schon kann auf alle deine Dienste zugegriffen werden. Wenn also "Angreifer unbemerkt Passwörter und Benutzernamen auslesen", dann steht da ja nichts von "Passwort knacken".
Auf die Länge kommt es nicht an? ^^
Normalerweise schon, aber in diesem Fall wird eine Technik verwendet, die die Länge irrelevant macht.... °_^
(....da die Klardaten direkt im Speicher ausgelesen werden)
Nicht ganz richtig, es kommt darauf an, ob das Klartext-Passwort geklaut wurde. Das Problem dabei ist allerdings, dass Leute, die die Passwörter im Klartext gespeichert haben, extrem fahrlässig handeln und sich daher hüten werden, zuzugeben, dass sie es im Klartext gespeichert hatten.
Ein langer Passwortsatz ist allerdings auch nicht ganz das Wahre, wenn man ihn nicht noch etwas anpasst. Denn typische Hackertools probieren auch Wortkombinationen aus.
Naja recht praktisch ist es immer sich einen Satz zu bilden und dann wie folgt vorzugehen. Z.B. "Ich kaufe am Montag zwei Brote für 4 Euro." Daraus wird IkaM2Bf4€ kann man sich merken enthält Groß- und Kleinbuchstaben sowie Sonderzeichen und hat eine gute Länge. "In Amerika würde ich für die Brote nur 3 Dollar zahlen." IAwidB3$z
Dann hat man einen leicht zu merkenden Satz, den man einfach nach einem eigenen System in das eigentliche Passwort umwandelt.
im zweiten Passwort habe ich das kleine f für "für" vergessen
Ich glaub ich weiß dein PW^^...
"Passwort1234567890" lässt sich doch leicht merken!
1234 reicht für den ganzen Planeten...
Das wäre dann allerdings 12345. Dieselbe Kombination habe ich an meinem Koffer.
Wenn man noch nicht weiß ob der Fehler behoben wurde warum soll ich dann jetzt mein Passwort ändern? Hä? Wäre das neue dann nicht auch unsicher?
Der Fehler wurde behoben, es ist nur nicht sicher, ob damit Daten abgegriffen wurden.
Ups - verlesen, sorry :(
Es sind unglaublich viele Dienste betroffen und eigentlich sollte man seine Passwörter für so ziemlich alles im Netz ändern. Und am besten testet man vorm ändern auch, ob OpenSSL auf den Login-Servern geupdatet wurde ( filippo.io/Heartbleed/ ), damit das neue Passwort nicht direkt wieder aus dem Speicher des Servers im Klartext an jeden rausgegeben wird, der zum richtigen Zeitpunkt ne Anfrage schickt. Da der Bug auch schon seit 2 Jahren existiert (aber jetzt erst öffentlich gemacht und gepatcht wurde), ist es auch nicht unwahrscheinlich, dass irgendwer, der schon vorher davon wusste, sich in den letzten 2 Jahren bei diversen Diensten Login- und Kreditkarten-Daten besorgt und gesammelt hat.
Der Bug ist jetzt öffentlich und ist mit einfachsten Mitteln ausnutzbar. Eine solche Anfrage hinterlässt keine Spuren auf Servern und momentan sind ne Menge Leute unterwegs, die sich nen Spaß draus machen, so viel Daten wie möglich bei angreifbaren Servern abzuholen (ich hab gestern schon ne Menge Login-Daten für Banking-Websites gesehen...). Die großen Dienste werden wohl inzwischen gepacht haben, aber grade kleinere Webshops und -dienste usw. sind oft etwas nachlässig, wenn es um Sicherheitsupdates geht und werden das unter Umständen auch noch eine Zeit lang bleiben.
Man sollte im Moment ganz vorsichtig sein, wenns um die Eingabe von sensiblen Daten im Internet geht.
Dieser Bug dürfte wohl die erklärung seinen,woher auf einmal die Mio Daten von Email+Password kamen die Mitte Februar und Anfang April entdeckt wurden.
Das wäre auf jeden Fall eine mögliche Quelle. Wenn man davon wusste, ein paar Bots zur Verfügung hatte und das ganze schön automatisiert und dauerhaft am Laufen hatte, wäre es defintiv möglich gewesen, ungestört und unbemerkt unter anderem ein paar Mio Login-Daten zu sammeln. Das Timing könnte ein Indiz dafür sein, dass da ein Zusammenhang besteht. Würde auch erklären, wieso man nie erfahren hat, woher die Daten kamen, vor denen das BSI gewarnt hat.
Wäre schön, wenn die (oder jemand anderes, der weiß, wo die Daten herkommen) sich mal dazu äußern würden.
Nicht unbedingt. Es waere natuerlich eine weitere moegliche Erklaerung, aber in diesem Fall gab es auch schon vor dem bekanntwerden des openssl-bugs genug plausible Theorien wo diese Daten herkommen koennten.
Wovon man aber sicher ausgehen kann ist, dass gerade eifrig mit Hilfes des Bugs die naechsten Datensammlungen angelegt werden.
Naja, da hätte man doch eher Banken "abgegriffen". Da gab es ja auch einige Seiten die betroffen waren.
Und wer sagt, dass das nicht auch passiert ist? ;) Das Ausnutzen des Bugs hinterlässt keine Spuren und Logins für Banken werden vielleicht nicht ganz so öffentlich an einschlägigen Stellen im Internet (zum Verkauf) bereitgestellt. Könnte sein, dass die Behörden und Banken nichts davon wissen oder das Ganze einfach nicht öffentlich machen, weil das im Gegensatz zu "verlorenen" Mail + Passwörtern die Leute mal so richtig nervös machen würde und man da als Bank vielleicht auch Angst vor rechtlichen Konsequenzen haben muss. Die Banken sind ja momentan auch fleißig dabei, zu verkünden, dass "keinerlei Daten abhanden gekommen sind", obwohl es mindestens seit gestern völlig klar ist, dass das kompletter Unsinn ist und es auch genug Beweise dafür gibt.
Weil die Email + PW Sache viele ältere Daten enthält und wenn der Bug schon zu dieser Zeit ausgenutzt worden wäre, hätten wir von so manchen geplünderten Konten gelesen. Kann natürlich sein, dass das sehr Geduldige Angreifer sind, aber Geld jetzt sicher haben und Geld evtl. später haben..... Was würdest du nehmen?
Ich würde empfehlen, aus der ganzen Heartbleed-Geschichte ne allgemeinere News zu machen, da der Exploit nicht nur Minecraft, sondern einen großen Teil des Internets betrifft. Zwar ist das Thema inzwischen auch auf Seiten wie SPON aufgeschlagen, aber es kann sicherlich nicht schaden, hier auch noch einmal die "Allgemeinheit" über das Problem aufzuklären und nicht nur die Leute, die Angst um ihren Minecraft-Account haben.
Um mal eine Zahl in den Raum zu werfen: 500 Millionen Websites sind betroffen (dunkelziffer vermutlich höher)
Auswirkungen: Erst in zwei bis drei Jahren wenn die abgefriffenen Daten, verarbeitet, verkauft, benutzt und weitergegeben wurden.