Compyblog

Es gibt mal wieder einen Haufen an Userdaten, der aufgetaucht ist. Dieses Mal sind bummelig 21 Millionen Kombinationen aus Sieht-aus-wie-Mailadresse und sieht-aus-wie-Passwort aufgetaucht, von denen wohl 18 Millionen Sätze nutzbar wären (was immer das heißen mag). Bei den sieht-aus-wie-Mailadresse (könnte auch UserID sein) sind bummelig drei Millionen dabei, die aus Deutschland stammen sollen. Das ist seit Mitte letzter Woche bekannt. Da hat auch wer auch jemand die Daten beim BSI abgeliefert, die ja gerade kürzlich erst gezeigt haben, wie professionell sie die Benachrichtigung von Datenklau-Opfern verkacken können. Und so haben die BSI-Leute das auch dieses Mal angekündigt: Sie würden sich diese Woche erst äußern, wären noch in Gesprächen mit deutschen Mailprovidern. Die sollen nämlich dieses Mal ihre Kunden informieren, aber für alle anderen ändert sich nichts.Es gibt also wieder die komische 'Sicherheitstest'-Seite, wo man Mailadressen eintragen darf, und entweder irgendwann eine Mail bekommt (dann war man betroffen) oder keine Mail bekommt (dann war man vielleicht nicht betroffen, oder der Server war überlastet, oder die Mail ist im Spamfilter gelandet, oder die Evil H4x0r5 haben die Mail gleich weggehackt). So ist die Aussagekraft des Tests immer noch nicht höher als beim letzten Mal, weil die Pfeifen vom BSI aus der Kritik nur gelernt haben, Daten direkt über die Provider abzukippen, ansonsten aber völlig kritikresistent sind. Immerhin braucht es dieses Mal nicht wieder mehrere Monate bis die Spezialexperten ihre supersichere Webseite aufgefahren haben. Und wenn sie irgendwann mal die Kritik wirklich verstehen, könnten sie auch einbauen, dass das System auch dann Mails verschickt, wenn es keinen Treffer gefunden hat. Aber das dauert ja mindestens zwei Jahre, weil die Entwickler gerade irgendwas Wichtigeres zu tun haben. Oder so.