Laut Avast wurde schon vor einiger Zeit sich bei Flight1 bedient. Dabei wurden rund 150.000 Benutzerdaten abgegriffen und Privat verteilt. Es soll sich dabei um die Benutzernamen und Passwörter gehandelt haben.
Flight1.com Datenbank gehackt
-
Zeugt von größter Seriosität, seine Kunden Zeitnahe zu informieren...
-
Ich habe gerade folgende E-Mail erhalten:
ZitatAlles anzeigenImportant Information:
Yesterday, September 5, 2019, Flight1 was notified that some of our customer data was found on the internet. We are posting what we have discovered.
First, Flight1 is a data-minimum company. We do not store more data than what is required to provide our service and we do not use data for marketing purposes. We do not store credit card numbers with the exception of the last 4 digits so you can inquire about a sale. Credit card expiration dates and CCV verification numbers are NOT stored. Card processing data is passed directly to the processing gateway and is not retained in our database. All flight1.com
account passwords are stored as secure 1-way hash codes using an advanced algorithm. Please see our terms of service page for more details on our data policies.
What was discovered:
An audit was completed and does not show any active exploit on our server or database. We have examined our server logs going back a full year. Discovered during the audit was a script (for viewing information on a product) where logs showed there were attempts to retrieve data using an automated bot. We believe this is where some data may have been leaked. Not all current accounts were affected and yours may not have been affected. That version of the script is no longer in use and has not been in use for months. In auditing the current version of the script no vulnerabilities were found (also verified in current logs).
What you should do:
Due to the strong 1-way hashing used we do not believe it is necessary for you to change your passwords, but you are welcome to do so. Flight1 recommends you always be vigilant on the Internet. Be aware of email phishing attempts. Flight1 NEVER sends unsolicited emails asking you to log in to our site, or ask for any payment information via email..
In Summary:
Whether you have been a customer of ours for 20+ years or are a new customer, know that security is always at the top of our list and will remain so. Thank you for your support and please feel free to contact us.
Wenn das mit dem Hashing stimmt - wovon man ausgehen sollte - sehe ich das persönlich als halb so wild. Hashing ist in der Tat ein sehr zuverlässiges Verschlüsselungsverfahren. Klartext-Passwörter gibt es heute so gut wie gar nicht mehr.
-
Ich bin seit ein paar Monaten dazu übergegangen, die relevanten Logins (Google/Facebook/Paypal/Banken usw.) mit individuellen kryptischen Passwörtern zu versehen. Das ganze wird von einem Passwortmanager gemanaged. Halte ich für wesentlich sicherer und kann es nur jedem raten.
-
Ich bin seit ein paar Monaten dazu übergegangen, die relevanten Logins (Google/Facebook/Paypal/Banken usw.) mit individuellen kryptischen Passwörtern zu versehen. Das ganze wird von einem Passwortmanager gemanaged. Halte ich für wesentlich sicherer und kann es nur jedem raten.
welchen Passwortmanager benutzte du.
-
Ich bin seit ein paar Monaten dazu übergegangen, die relevanten Logins (Google/Facebook/Paypal/Banken usw.) mit individuellen kryptischen Passwörtern zu versehen. Das ganze wird von einem Passwortmanager gemanaged. Halte ich für wesentlich sicherer und kann es nur jedem raten.
Ich verwende auch seit ca. 1,5 Jahren einen Passwortmanager und zudem für verschiedene Anwendungsfälle - dank eigener Domain - unterschiedliche Email-Adresse. So gibt's eine für Reisezwecke, eine für Einkäufe im Internet, eine für Finanzdinge wie Paypal, ... . Die Empfehlung hatte mir ein Sicherheitsmitarbeiter von Paypal gegeben, nachdem jemand mehr als ein halbes Jahr versucht hatte, meinen Paypal-Account zu hacken und schließlich auch tatsächlich erfolgreich war. Dieses Individuum hatte zwar nur ca. 15 EUR erbeutet, die mir von Paypal auch noch erstattet wurden, aber das war mein Initital-Erlebnis, mich mit der Sicherheitsthematik ernsthaft auseinanderzusetzen. Zudem lasse ich meine wichtigsten Email-Adressen und Kreditkarten-Nummern durch ein Identitätsschutzangebot einer bekannten Firma überwachen, ob sie beispielsweise im Darknet auftauchen. Nächste Ausbaustufe wird sein, dass das Masterpassword für meinen Passwortmanager durch einen Token ersetzt oder ergänzt wird. Gern hätte ich noch sowas wie "Browser in the Box", aber leider habe ich bisher kein Produkt für macOS finden können.
Grüße,
Gerson
-
Ich bin seit ein paar Monaten dazu übergegangen, die relevanten Logins (Google/Facebook/Paypal/Banken usw.) mit individuellen kryptischen Passwörtern zu versehen. Das ganze wird von einem Passwortmanager gemanaged. Halte ich für wesentlich sicherer und kann es nur jedem raten.
welchen Passwortmanager benutzte du.
Ich benutze beispielsweise 1Password (v7). Das integriert sich hervorragend in iOS, macOS und Windows 10. Zudem benutzt Apple dieses Produkt sogar selbst firmenintern.
Grüße,
Gerson
-
Apple benutzt zum Glück auch Linuxserver.
Ich kann KeePass empfehlen. Läuft zum Beispiel auch gut über eine Nextcloud oä im Smartphone und ist einfach und komfortabel zu bedienen.
-
Hab mir den Manager premium von Avira gekauft. Etwas Eingewöhnung, dann geht´s gut. Er schlägt Passworte vor, die 3000 Jahre halten sollen. Ich denke mal, dass das für meine noch verbleibende Lebensspanne ausreicht...
-
Öhm, ihr habt das System nicht verstanden oder? Ihr könntet die Bibel als Passwort benutzen..... Die Daten wurden bei Flight1 abgegriffen und nicht während einer Driveby etc.. Da ist es egal wie stark Euer Passwort ist.
Flight1 muss man zugute halten, dass die Kunden jetzt informiert wurden. Ob es aufgrund der Presse war oder nicht, sei mal dahingestellt. Ich weiß nur dass ich weder von Skype noch von Dropbox informiert wurde, dass es ein Datenleck gab und da lagen wesentlich mehr Informationen drauf....
Egal, es sollte jedem klar sein, dass unsere Daten auf irgendwelchen Listen im Darknet rumkursieren. Identitätsklau kann schlimm sein (siehe Spiegelselbstversuch),also seid süparsam mit den Informationen über Euch im allgemeinen. -
- Offizieller Beitrag
Ich werde durch meine Firma "gezwungen" alle 3 Monate meine Passwoerter zu aendern und habe mir angewoehnt alle Passwoerter mit zu aendern.
-
Irgendwie kann ich mich ja nicht damit anfreunden, meine Passwörter irgendeinem Tool, welches diese dann irgendwo speichert, zu überlassen. Da habe ich dann 20 verschiedene super starke Passwörter die allesamt von einem Tool irgendwo irgendwie gespeichert werden.
Ich habe für die kritischen Log-Ins (Sparkasse, Paypal und co) ein starkes Passwort, welches in meinem Kopf gespeichert ist. Für die weniger kritischen Logins noch ein zweites, welches ich ebenfalls in meinem Kopf speicher. Und damit ist gut. Passiert ist bisher nichts.
-
Sehe ich genauso. Ich habe auch meine Passwörter im Kopf, allerdings sind sie alle unterschiedlich.
-
Irgendwie kann ich mich ja nicht damit anfreunden, meine Passwörter irgendeinem Tool, welches diese dann irgendwo speichert, zu überlassen. Da habe ich dann 20 verschiedene super starke Passwörter die allesamt von einem Tool irgendwo irgendwie gespeichert werden.
Ich habe für die kritischen Log-Ins (Sparkasse, Paypal und co) ein starkes Passwort, welches in meinem Kopf gespeichert ist. Für die weniger kritischen Logins noch ein zweites, welches ich ebenfalls in meinem Kopf speicher. Und damit ist gut. Passiert ist bisher nichts.
Seit September braucht man fürs Online Banking sowieso noch eine zusätzliche Verschlüsselung bzw. Bestätigung.
-
Naja, also KeePass speichert die Passwörter in eine Datei und zwar dort, wo man möchte. Im Zweifel dann auf einem USB Stick. Ich fand einen Passwortmanager am Anfang auch nervig, mittlerweile möchte ich ihn aber nicht mehr missen.
Nützlich sind bei diesem Thema übrigens
https://howsecureismypassword.net/
Erstere Seite ist in der Regel einigermaßen bekannt (sie wertet aus, ob eine E-Mail-Adresse von einem Datenbankklau betroffen ist), die zweite macht einen Vorschlag, wie sicher ein Passwort ist. Wer sich nicht traut, sein richtiges Passwort einzugeben, kann durchaus einfach mal was vergleichbares eingeben.
-
Cool, 204 Millionen Jahre braucht ein Computer für eines meiner Passwörter. Am Ende kommt eh 42 raus
-
- Offizieller Beitrag
life, the universe and everything
