Datenleak bei TeamViewer

  • Sicherheitshinweis: falls ihr TeamViewer auf euren PCs installiert habt - bitte sofort deinstallieren, ein Bekannter wurde letzte Woche darüber gehackt, der Täter hat mit PayPal ordentlich eingekauft und Paypal sagt, in diesem Fall greift der Käuferschutz nicht, weil es eine "autorisierte Transaktion" (da vom eigenen PC) war!

    Offenbar wurde TeamViewer 2016 gehackt, hat das aber nie publik gemacht.

    Wenn ihr eure E-mail-Adressen testen wollt, ob sie kompromittiert sind, gebt sie hier ein:

    haveibeenpwned.com - ihr seht dann, in welchen Leaks eure Daten gestohlenen wurden. Falls ihr es ohnehin nicht regelmäßig macht, bitte Passwörter ändern!!

    liebe Grüße, Betula


    falls die Welt untergeht, muß noch lange nicht die Welt untergehen.

  • Weil ich gerade danach gefragt wurde: ja, ich kenne den Betroffenen persönlich, das ist keine c&p-Nachricht aus den Weiten des WWW

    liebe Grüße, Betula


    falls die Welt untergeht, muß noch lange nicht die Welt untergehen.

  • Interessanterweise steht auf der Seite nichts über TeamViewer ...


    Und wenn man Zugriff über Teamviewer hat, dann hat man immer noch keinen Zugriff auf PayPal. Es sei denn man speichert die Passworte im Browser - was man nie machen sollte.


    Auch sei noch erwähnt das PayPal nichts vom eigenen PC weiß da PayPal eine Webmethode ist die man von jedem PC nutzen kann.


    Und ein gehackter PC hat auch nichts mit einer eMail Adresse zu tun ...


    Eine eMail Adresse kann auch nicht kompromittiert werden, denn das Passwort von der Seite xyz wird ja nicht das eMail Passwort sein.


    Wie soll ich es formulieren ohne jemand auf die Füsse zu treten ... Mir kommt das komisch vor.

    Ich bin lieber auf etwas vorbereitet was nie passiert als nachher überrascht da zu stehen.

  • Ich kann mir das Szenario ungefähr so vorstellen: Jemand hat Teamviewer installiert - man kann damit von der Cloud aus auf die PCs des Accounts zugreifen und dort zB die im Browser gespeicherten Passwörter auslesen. Für umfassenden Fernzugriff ist diese Software ja gemacht. Nun wurde bei einem anderen Hack (also gar nicht bei Teamviewer selbst, sondern zB dem großen Adobe Hack 2013) eine Kombination aus Emailadresse und Passwort erbeutet; diese Kombination hat der User dummerweise aber nicht nur bei Adobe, sondern auch bei Teamviewer verwendet. Mit den erbeuteten Zugangsdaten schafft der "Hacker" den Zugang zu Teamviewer, loggt sich in einem günstigen Moment remote auf den PC des Opfers ein und das wars.


    Dafür muss Teamviewer selbst überhaupt nicht kompromittiert sein; das Problem wäre einfach die Kombination aus "Username/Passwort Kombi wurde auf Webseite A gestohlen" und "die gleiche Kombi wurde auch bei Teamviewer verwendet". Ersteres wird immer wieder mal vorkommen, letzteres - also die Verwendung der gleichen Passwörter - ist daher bei sensiblen Diensten unbedingt zu vermeiden.


    Falls es so war, hilft es überhaupt nichts, Teamviewer in einer neueren Version zu installieren - in diesem Fall sind die Zugangsdaten zum Teamviewer-Account kompromittiert und müssen geändert werden.


    Freilich könnte es alternativ schon auch sein, dass Teamviewer 2016 selbst eine Schwachstelle hat, durch die man ohne korrekte Zugangsdaten auf PCs eines Accounts zugreifen kann. Oder die Datenbank der Zugangsdaten zu Teamviewer wurde kompromittiert. Beides wäre eine wirklich extrem massive Lücke bei einer derart sensiblen Software, und ich denke, das wäre in den Medien gewesen und hätte unbedingt zu einer Reaktion durch Teamviewer geführt.



    PayPal kriegt übrigens schon mit, ob eine Transaktion von einem "üblichen Gerät des Accounts" durchgeführt wurde oder von einem anderen. Das geht ua mit IP-Adresse, Cookies und Browser Profiling.

  • Eine eMail Adresse kann auch nicht kompromittiert werden, denn das Passwort von der Seite xyz wird ja nicht das eMail Passwort sein.

    Eben Jenes. Es ist eher normal das ein User ein passwort für alles mögliche verwendet als das ein User für alles unterschiedliches auch unterschiedliche Passwörter verwendet.

    => https://keepassxc.org/

    Und ein gehackter PC hat auch nichts mit einer eMail Adresse zu tun ...

    Wenn jemand meinen PC knackt hat er auch zugang zu meinem mail programm => Damit lässt sich alles andere auch engineeren. Ausnahme die Accounts mit 2FA.

    Auch sei noch erwähnt das PayPal nichts vom eigenen PC weiß da PayPal eine Webmethode ist die man von jedem PC nutzen kann.

    Hat man zugang zum PC, hat man auch Zugang zum Browser mit dem gespeicherten Passwörtern. In diesem Fall müsste man nichtmal die password.dat ziehen und decodieren.



    password reuse ist des Teufels

  • Ok, die Langform: der Täter hat sich über TeamViewer bei ihm reingehackt, den Browser geöffnet, PayPal aufgemacht - das Passwort war tatsächlich gespeichert - und dann hat er geshoppt. Die wortwörtliche Begründung von PayPal kenn ich nicht, nur die sinngemässe mündliche Wiedergabe. Fakt ist, dass er über TeamViewer in den PC reingekommen ist.

    Mein Bekannter hat seine E-Mail auf der pawnd-site eingegeben und dort gesehen, dass es tatsächlich ein TeamViewer leak gegeben hat

    liebe Grüße, Betula


    falls die Welt untergeht, muß noch lange nicht die Welt untergehen.

  • Seltsam, in der Leak-Datenbank von haveibeenpwned scheint Teamviewer nämlich nicht auf. Aber wenn sicher geklärt ist, wie der Hack passiert ist, und das Loch definitiv gestopft wurde, dann passt.

  • Solche Seiten sind super um eine Datenbank mit aktiven Email-Adresse aufzubauen.

    https://haveibeenpwned.com/ ist meiner Meinung nach als seriös zu bezeichnen und zu betrachten.


    Nur das empfohlene 1Password würde ich nicht empfehlen. Ich tendiere zu KeePass. Einfach keine Passwörter in irgendeiner Form wiederholen, dann ist der Angriffsvektor 0.

  • Es ist aber schon ein kleiner Unterschied, ob die UserDB von Teamviewer gehackt wurde, oder nur der einzelne User, weil er Passwörter halt gern doppelt verwendet.


    Ersteres ist ein tatsächiches Risiko für alle User, letzteres einfach Faulheit des betroffenen Users.

    viribus unitis - acta non verba

  • https://haveibeenpwned.com/ ist meiner Meinung nach als seriös zu bezeichnen und zu betrachten.

    Ja, sehe ich genauso und nutzen den Dienst auch.


    Wohlgemerkt Smeti : Man gibt dort Email-Adressen an, um zu sehen, ob diese in einem Hack vorkamen. Aber man kann nicht auf der Webseite sehen, ob diese Emaildresse überhaupt existiert oder ob sie betroffen war, sondern man bekommt an diese Emailadresse einen kurzen Report zugemailt, der die Infos enthält. Ich kann mit diesem Dienst also nicht herausfinden, ob eine Emailadresse existiert, aktiv ist, oder von einem Hack betroffen war. Ich könnte maximal dem Inhaber der Emailadresse lästig fallen, indem ich seine Emailadresse dort immer wieder (ich glaube, es geht 1x pro Tag) eingebe. Aber dagegen gibts dann andere Abhilfen (Mailregeln), das ist kein Sicherheitsproblem.

  • Auf der einen Seite überprüft man seine E-Mail Adresse.

    Auf einer anderen Seite sein Passwort. (Oder noch schlimmer beides auf der gleichen Seite.)

    Sollten beide Seiten von den gleichen Personen betrieben werden, kann man beide Eingaben Verbinden (IP-Adresse).


    Ich lasse die Finger von solchen Seiten. Vielleicht bin ich aber auch nur zu Paranoid.

    Wenn man Regelmäßig seine genierten mind. 12 Stellen (Sonderzeichen, groß und klein Schreibung) Passwörter ändert und für jede Seite ein eigenes Passwort verwendet, sollte man ziemlich sicher sein. Da muss ich nix überprüfen.