Portal gehackt - was nun?

[ernohl]

Ich habe eben eine diese E-Mails erhalten, in denen man behauptet, Kontrolle über meinen Rechner erlangt zu haben und Bitcoins einfordert.

Dieses Mal wird allerdings sogar mein Passwort in der E-Mail genannt. Ich habe es geprüft und kann nachvollziehen, auf welchem Portal (es ist ein großes Immobilien-Portal) ich es benutzt habe. Ich mache mir jetzt keine große Sorgen um mich (ok, ich habe eine Studentenwohnung mit ein paar Infos zur Lage angeboten, ist auch Jahre her und benutze gleiche Passwörter nie auf mehreren Portalen), aber wie gehe ich jetzt mit dem Hack der dortigen Datenbank um? Im Netz habe ich keine Infos zum Hack dieses Portals gefunden.

Ich bitte um Rat. Danke.

Nachtrag: Zur Frage gehört auch (das Portal ist mir - jedenfalls derzeit - nicht wichtig):
- Account löschen?
- Anmelden und Passwort ändern?
- Finger still halten?

2. Nachtrag: Wegen des Alters meiner Accounts dort halte ich es auch für möglich, dass jemand einen unsachgemäß entsorgten alten Datenträger mit der damaligen Kundendatenbank in die Finger bekommen hat.

[heisenberg]

Ich habe eben eine diese E-Mails erhalten, in denen man behauptet, Kontrolle über meinen Rechner erlangt zu haben und Bitcoins einfordert.

So'n Müll bekomme ich regelmässig. (Ohne das Passwort allerdings). Ich drücke da üblicherweise nur auf löschen. Eine E-Mailadresse können die aus allen möglichen Datenbanken rausgetragen haben. Vielleicht sogar im Internet geerntet. Das Passwort: Da haben Sie vermutlich bei dem Portal die PW-DB geklaut und dann per Bruteforce die Passwörter ermittelt.

Bei Dir mit dem Passwort:

Ich würde jetzt erst mal mein Passwort ändern in etwas deutlich komplexeres. Dann würde ich vielleicht nochmal in das Portal schauen, ob da irgendwelche komischen Aktionen in Deinem Account sind. (Neue Anzeigen angelegt? Nachrichten, die Du nicht selbst geschrieben hast?) Anschließend würde ich auch nochmal den Betreiber des Portals über den Hack informieren. Das könnte Dich evtl. schützen, falls mit dem Account noch schindluder getrieben wird oder bereits wurde.

[ernohl]

Danke für deine Einschätzung. Ich bin den Empfehlungen gefolgt und bin gespannt, ob ich eine Antwort auf meine E-Mail bekomme.
In meinem Konto gab es keine Auffälligkeiten. Meine einzige Aktivität dort liegt schon fast 10 Jahre zurück. Daher und aus der Tatsache, dass (mir) keine Einbruchsinformationen in diesem Portal bekannt sind, tippe ich auf unsachgemäße Entsorgung alter Datenträger. Das macht es zwar nicht besser, aber verschleiert vielleicht die Verbindung zur Datenquelle.

[uname]

Vielleicht ein paar Gedanken dazu. Passwörter kann man bei der Anmeldung abgreifen. Hierbei darf das Passwort beliebig komplex sein, da es unverschlüsselt irgendwann durch irgendwelche Scripte wie z. B. PHP läuft, um dann schlussendlich in einer Datenbank gespeichert oder mit deren Inhalt geprüft zu werden.

Wenn du dich sehr lange nicht angemeldet hast und wir davon ausgehen können, dass zu einem anderen Zeitpunkt das Passwort entwendet wrude, dann muss es aus der Datenbank ausgelesen worden sein. Die Frage wie der Angreifer an die Datenbank gekommen ist mag für den Hoster interessant sein aber nicht für dich.

Meiner Meinung nach gibt es für dich zwei Fälle:

a.) die Verschlüsselung bzw. Hash-Verfahren war zu schwach
Bei einer alten Datenbank und alten Software kann das sein. Somit könnten alle Passwörter entschlüsselt worden sein.

b.) dein Passwort war zu schwach
Es wurde mit gewissen Aufwand irgendwo (z. B. in einer billigen Cloud) entschlüsselt. Auch hier können natürlich alle Passwörter entschlüsselt worden sein. Aber bei einer gewissen Passwortkomplexität wärst du in diesem Fall eher nicht betroffen.

War dein Passwort sehr komplex? Was denkst du nun? Was könnte zutreffen?

[niemand]

a.) die Verschlüsselung bzw. Hash-Verfahren war zu schwach

Verschlüsselung ergibt an dieser Stelle keinen Sinn, weil’s ja bei jedem Login entschlüsselt werden, und daher der Schlüssel direkt daneben liegen müsste, und keine Hashfunktion, auch nicht etwa MD5 ohne Salz, erlaubt das Zurückrechnen zum ursprünglichen Passwort, das aber in der Mail genannt worden ist.

Soll heißen: wenn der Betreiber des Portals nicht so richtig großen Mist gebaut, und das Passwort irgendwo im Klartext abgelegt hat, können weder seine Datenbank, noch seine alten Datenträger die Quelle für das vom Bösling genannte Passwort sein. Dabei gibt’s im Grunde auch Grenzfälle: a) das Passwort war wohlbekannt (also in einem Wörterbuch), und der Hash war ungesalzen – in dem Fall mag eine „Rainbow Table“ das Klartextpasswort zum Vorschein bringen und b) das Passwort war ausreichend subkomplex (zu kurz, zu kleine Zeichenauswahl), um es per Brute&Force zu erraten.

Wenn der Betreiber Mist gebaut hat, ist allerdings alles möglich – allerdings wird er das dann wohl kaum einräumen.

Wie wär’s, wenn man „Das Portal“ mal beim Namen nennt? Dann kann man selbst mal schauen, was für einen Eindruck der Laden vermittelt.

[ernohl]

Wie wär’s, wenn man „Das Portal“ mal beim Namen nennt? Dann kann man selbst mal schauen, was für einen Eindruck der Laden vermittelt.

Ohne belastbare Belege möchte ich ungern jemand öffentlich anprangern, aber ich schicke dir (und jedem, der auch interessiert ist) den Namen per PN (falls du per PN erreichbar bist, was ich noch nicht geprüft habe).

Das Passwort war komplex, aber nicht besonders lang. Dies (Passwortlänge) mache ich abhängig davon, ob ich sensible Daten hinterlege. Auf diesem Portal waren das praktisch nur E-Mail-Adresse und (nur dort verwendetes) Passwort.
Bemerkenswert für die Beurteilung finde ich, dass ich erst Jahre nach der aktiven Nutzung des Portals mit dem Passwort konfrontiert werde.