Schnell, gebt mir eure Mail-Adressen!

Gerade kam über Twitter ein Link zu einer Seite: isleaked.com/en.php. Diese behauptet, dass 5 Millionen Passwörter von Google-Accounts geleakt wurden und bietet an, die eigene E-Mailadresse zu überprüfen.

Ich halte die Behauptung für mindestens fragwürdig, die Seite selbst für zwielichtig. In jedem Fall wäre es aber töricht eine seiner E-Mailadressen dort einzutragen.

Angenommen, die Behauptung stimmt und der Betreiber verfügt über eine Liste mit Kombinationen aus E-Mailadressen und Passwörtern. Dann wäre die erste Frage: woher stammen die Daten? Laut der verlinkten Quelle (eine aus dem Russischen ins Englische übersetzte Seite) direkt aus den Google-Datenbanken:

Popular email services from Google was unable to avoid a repeat of putting some pretty impressive database with usernames and passwords,

(Die Übersetzung stammt von Google)

Ich traue Google viel zu, aber für so dämlich, Passwörter im Klartext zu speichern, halte ich sie nicht. D.h. die Daten müssten von Pishing-Seiten kommen o.ä, was wiederum bedeuten würde, dass die Änderung eines Passwort genau nichts bringt, bis nicht dieses Problem gelöst wäre.

Aber zurück zu dem Seitenbetreiber und dem Formular. Jede Adresse die in das Formular eingegeben wird (auch maskiere) würden theoretisch dabei helfen, die Daten besser hinsichtlich ihrer Korrektheit zu beurteilen. Mehr noch: die Wahrscheinlichkeit, dass eine Übereinstimmung zu einer kurzfristigen Passwortänderung führt ist recht hoch.

Der Seitenbetreiber behauptet »We don’t collect your emails nor access logs«. Ghostery blockt auf der Seite aber Google Adsense, Google Analytics und ShareThis. Für wie glaubwürdig man die Aussage hält, ist jedem selbst überlassen. (Ich bekam neulich eine E-Mail in der mir mein Freund »Mr. Wong« anbot ein 3 Millionen Dollar Geschäft mit ihm abzuwickeln…)

Unterstellen wir dem Betreiber mal keine unlauteren Absichten – wenn die Seite die Runde macht, verdient er immerhin noch den ein oder anderen Dollar mit den Daten.

Für den Fall, dass sich die Nachricht nicht authentisch ist, gibt es genau so wenig ein Grund, seine E-Mailadresse da einzutragen.

Wer die Meldung, dass die Passwörter geleakt wurden, für authentisch hält, der sollte sein Passwort ändern. Über einen PC, dessen Software immer aktuell gehalten wird, via https direkt bei Google. Anschließend bleibt ihr wohl nichts anderes übrig, als weiterhin Meldungen aus dieser Richtung zu verfolgen um zu sehen, ob die Passwörter über eine Lücke in einer von ihr eingesetzten Software kommen.

Nachtrag, 11.09.2014:

Heise berichtet über die Stellungnahme von Google.

Dieser Beitrag wurde unter Überlokal veröffentlicht. Setze ein Lesezeichen auf den Permalink.