Die University of Michigan macht Kennwortlecks für Datenverletzungen von Drittanbietern verantwortlich

University of Michigan Password Leak

Am Freitag wurden Studenten der University of Michigan (UM) über eine Liste von Anmeldeinformationen informiert, die im Umlauf waren. Die Datei wurde frei verteilt und enthielt tatsächlich Zehntausende Paare von @umich.edu-E-Mail-Adressen und Klartext-Passwörtern. Einige der Schüler sahen sich die Liste an und hatten Angst, dass ihre Anmeldedaten gültig waren. Vorhersehbar war, dass sie zunächst die Haustür des UM beschuldigten, aber später stellte sich heraus, dass die Einrichtung in keiner Weise für das Leck verantwortlich war. Tatsächlich stellte sich heraus, dass es die Studenten waren, die viel mehr hätten tun können, um sich selbst zu schützen.

Die Anmeldedaten sind bei nicht zusammenhängenden Verstößen durchgesickert

Kurz nachdem die Listen veröffentlicht wurden, gab die University of Michigan einen offiziellen Hinweis heraus, in dem erklärt wurde, dass die durchgesickerten E-Mail-Adressen und Passwörter auf Datenschutzverletzungen von Drittanbietern zurückzuführen sind. Die Universität versicherte ihren Studenten, dass ihre Systeme nicht kompromittiert wurden, und kündigte an, dass sie Passwörter zurücksetzen wird, wenn sie eine echte Gefahr eines nicht autorisierten Zugriffs sieht.

Nachdem geklärt wurde, was genau passiert war, gab das Advisory den Schülern einige Tipps, wie sie ihre allgemeine Online-Sicherheit verbessern können. Es muss gesagt werden, dass, wenn die Schüler diese Tipps beachtet hätten, bevor die Liste der Passwörter veröffentlicht wurde, die Beratung völlig unnötig gewesen wäre.

Wie UM-Studenten sich selbst in Gefahr bringen

Durch die Liste der Benutzernamen und Kennwörter besteht für UM-Schüler ein sehr reales Risiko für Angriffe auf das Ausfüllen von Anmeldeinformationen. Für diejenigen unter Ihnen, die es nicht wissen, nehmen Hacker bei einem Anmeldeinformationsangriff eine große Liste von Benutzernamen und Passwörtern, die von einem Dienst gestohlen wurden, und versuchen sie gegen mehrere andere. Sie hoffen, dass viele Menschen auf vielen verschiedenen Websites dieselben Anmeldeinformationen verwenden, und die Tatsache, dass das Ausfüllen von Anmeldeinformationen allgemein als der beste Weg angesehen wird, eine große Anzahl von Konten mit minimalem Aufwand zu kompromittieren, zeigt, dass sich ihre Wette normalerweise auszahlt.

Es ist allgemein bekannt, dass die einzige Möglichkeit, Angriffe zum Füllen von Anmeldeinformationen zu stoppen, darin besteht, die Wiederverwendung von Passwörtern zu stoppen. Es ist jedoch klar, dass dies leichter gesagt als getan ist. Aus diesem Grund gibt es eine Zwei-Faktor-Authentifizierung.

Die University of Michigan hat über die Sicherheit ihrer Studenten nachgedacht und ein System implementiert, bei dem der Benutzer einen Anruf entgegennehmen, einen Code eingeben oder auf eine Push-Benachrichtigung tippen muss, um sich erfolgreich anzumelden. Leider ist es nicht standardmäßig aktiviert und es ist schwer zu sagen, wie viele der betroffenen Schüler es verwenden.

Wir sollten uns wahrscheinlich auch mit der Frage befassen, woher die Daten stammen. In ihrem Gutachten erwähnte die Universität von Michigan drei Onlinedienstanbieter, die in der Vergangenheit verletzt wurden und als Quelle für die durchgesickerten E-Mail-Adressen und Passwörter hätten fungieren können: Chegg, LinkedIn und Zynga. Wir sollten darauf hinweisen, dass niemand offiziell bestätigt hat, woher die gestohlenen Daten stammen, aber wir werden mit diesen drei Anbietern zusammenarbeiten, um zu veranschaulichen, wie wichtig es ist, darüber nachzudenken, welche E-Mail-Adresse Sie bei der Registrierung verwenden ein Online-Konto.

Chegg bietet Dienstleistungen im Bildungsbereich an, und Sie können sehen, wie ein Student seine E-Mail-Adresse an der Universität von Michigan verwenden kann, um sich für ein Chegg-Konto zu registrieren. LinkedIn ist das weltweit beliebteste professionelle soziale Netzwerk, und Sie können möglicherweise auch die Zuordnung eines Profils zu einer @umich.edu-Adresse rechtfertigen.

Zynga hingegen ist Entwickler von Online-Spielen. Sie werden aufgefordert, sich zu registrieren, damit Sie virtuelles Gemüse anbauen oder Online-Kreuzworträtsel lösen können. Die Verwendung einer Universitäts-E-Mail-Adresse zum Erstellen eines solchen Kontos scheint einfach nicht das Richtige zu sein, und wie Sie sehen, kann dies auch Ihre Online-Sicherheit gefährden.

Die Notwendigkeit, so viele Online-Konten zu jonglieren, hat einige Leute zu der Annahme veranlasst, dass wir die Kontrolle über unsere Daten vollständig verloren haben. Dies gilt nur bis zu einem gewissen Grad. Wenn wir mit Menschen kommunizieren müssen, die in der Lage sind, unsere Zukunft zu gestalten, müssen wir offizielle E-Mail-Adressen verwenden. Wenn wir andererseits Updates von einem zeitraubenden Handyspiel erwarten, ist es wahrscheinlich besser, eine Wegwerf-E-Mail zu verwenden, die uns nicht allzu wichtig ist. Schließlich dürfen wir nicht vergessen, dass sowohl der Benutzername als auch das Passwort identisch sein müssen, wenn ein Angriff zum Ausfüllen von Anmeldeinformationen funktionieren soll.

Bis Duran
July 7, 2020
News
Deutsch
July 7, 2020
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.