Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Microsofts Outlook.com: Unbefugte…

Mal eben Outlook.com Passwort ändern...

  1. Thema

Neues Thema Ansicht wechseln


  1. Mal eben Outlook.com Passwort ändern...

    Autor: 1st1 15.04.19 - 14:51

    ...puh... da hängt ganz schön was dran, denn es ist nicht nur das Passwort in Outlook, sondern die Live-ID für alles mögliche...

    - der ganze MS-Account mit verknüpften PCs, Smartphones, Familie (verwaltete Kinder-Accounts!) - Achtung, darüber lassen sich auch aktuelle Standorte der Geräte ermitteln, und zwar auf minimal 100 Meter genau!
    - ggf. Schulaccount
    - ggf. Verknüpfung mit Azure/Office 365 Firmen-Account
    - Microsoft-Store, worin Kreditkarteninformationen hinterlegt sein können
    - Windows Passwort, sofern man sich mit der Live-ID anmeldet,
    - OneNote
    - Office 365
    - Windows Mobile Phone, sofern nicht schon abgeschafft
    - Microsoft Launcher für Android
    - Yourphone App für Android
    - Microsoft Identity Manager für Android
    - OneDrive (auch auf älteren PCs, Android, iPhone, iPad, Mac, ...)
    - In Outlook/Online verknüpfte Google- und iCloud-Accounts (Termine, Mails, ...)
    - usw.

    Passwort ändern zieht hier jede Menge Passwort-Änderungen auf allen möglichen Geräten nach sich... Wenn sich ein Angreifer auf diesem Weg Zugang zu Outlook.com Inhalten verschafft hat, dann hat er betroffene Nutzer komplett am Sack.

    Das ist richtig übel. Und kein Redakteur hat sich bisher diese Folgen bewusst gemacht.



    1 mal bearbeitet, zuletzt am 15.04.19 14:54 durch 1st1.

  2. Re: Mal eben Outlook.com Passwort ändern...

    Autor: dbettac 15.04.19 - 15:07

    Und was nützt es? Nichts. Da die Angreifer über einen Admin-Account mitgelesen haben.

    Was würde wirklich helfen? Standardmäßige Ende-zu-Ende-Verschlüsselung bei E-Mails. Aber das will ja keiner der großen Anbieter durchsetzen. Dann könnten die Anbieter ja nicht mehr mitlesen...

  3. Re: Mal eben Outlook.com Passwort ändern...

    Autor: flow77 15.04.19 - 15:58

    1st1 schrieb:
    --------------------------------------------------------------------------------
    > ...puh... da hängt ganz schön was dran, denn es ist nicht nur das Passwort
    > in Outlook, sondern die Live-ID für alles mögliche...
    >
    > - der ganze MS-Account mit verknüpften PCs, Smartphones, Familie
    > (verwaltete Kinder-Accounts!) - Achtung, darüber lassen sich auch aktuelle
    > Standorte der Geräte ermitteln, und zwar auf minimal 100 Meter genau!
    > - ggf. Schulaccount
    > - ggf. Verknüpfung mit Azure/Office 365 Firmen-Account
    > - Microsoft-Store, worin Kreditkarteninformationen hinterlegt sein können
    > - Windows Passwort, sofern man sich mit der Live-ID anmeldet,
    > - OneNote
    > - Office 365
    > - Windows Mobile Phone, sofern nicht schon abgeschafft
    > - Microsoft Launcher für Android
    > - Yourphone App für Android
    > - Microsoft Identity Manager für Android
    > - OneDrive (auch auf älteren PCs, Android, iPhone, iPad, Mac, ...)
    > - In Outlook/Online verknüpfte Google- und iCloud-Accounts (Termine, Mails,
    > ...)
    > - usw.
    >
    > Passwort ändern zieht hier jede Menge Passwort-Änderungen auf allen
    > möglichen Geräten nach sich... Wenn sich ein Angreifer auf diesem Weg
    > Zugang zu Outlook.com Inhalten verschafft hat, dann hat er betroffene
    > Nutzer komplett am Sack.
    >
    > Das ist richtig übel. Und kein Redakteur hat sich bisher diese Folgen
    > bewusst gemacht.

    Ich stelle mir eher die Frage was man denn aus so einem Vorfall lernen könnte. Man könnte ja prinzipiell auf diese ganzen Account-Verknüpfungen und Services verzichten.
    Mal abgesehen von der Fragwürdigkeit um in solche Probleme zu geraten - solche Services haben doch sicher die Möglichkeit alle Verbundenen Geräte zu kicken/auszuloggen? Jedenfalls läuft das so bei dropbox, netflix, google, ...

  4. Re: Mal eben Outlook.com Passwort ändern...

    Autor: cry88 15.04.19 - 16:40

    Warum das Passwort der User ändern? Der Angreifer hatte die credentials von nem Admin. Das Einzige, was er hätte machen können ist das Passwort eines Users zu setzen um den Account zu übernehmen. Das fällt dem User aber sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals zugreifen.

  5. Re: Mal eben Outlook.com Passwort ändern...

    Autor: 1st1 15.04.19 - 17:00

    Microsoft empfiehlt in seiner Mail an betroffenen Benutzer den Passwortwechsel.

    Man kann den Sinn dieser Empfehlung hinterfragen - ist für Admins das ID-Account-Passwort sichtbar?

  6. Re: Mal eben Outlook.com Passwort ändern...

    Autor: spoink 15.04.19 - 17:37

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Warum das Passwort der User ändern? Der Angreifer hatte die credentials von
    > nem Admin. Das Einzige, was er hätte machen können ist das Passwort eines
    > Users zu setzen um den Account zu übernehmen. Das fällt dem User aber
    > sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals
    > zugreifen.

    Nimm einfach mal an, ich hätte Zugriff auf dein Mailkonto (gehabt). Was machst du?

    Um es nochmals ganz deutlich zu schreiben: der Mailaccount ist heutzutage der Masterschlüssel für sämtliche deiner Accounts (-> PW Zurücksetzung). Es wäre also ein leichtes für mich gewesen, sich irgendwo mit deinen Logindaten anzumelden, es sei denn, diese wären 2FA gesichert gewesen. Dann hätte ich aber trotzdem vollen Zugriff auf deinen Mailverkehr gehabt.
    Das Passwortändern ist also weniger auf den Microsoftaccount selbst zu sehen, sondern auf alle Accounts, bei dem dieses Mailpostfach hinterlegt ist.

  7. Re: Mal eben Outlook.com Passwort ändern...

    Autor: flow77 16.04.19 - 00:25

    spoink schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum das Passwort der User ändern? Der Angreifer hatte die credentials
    > von
    > > nem Admin. Das Einzige, was er hätte machen können ist das Passwort
    > eines
    > > Users zu setzen um den Account zu übernehmen. Das fällt dem User aber
    > > sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals
    > > zugreifen.
    >
    > Nimm einfach mal an, ich hätte Zugriff auf dein Mailkonto (gehabt). Was
    > machst du?
    >
    > Um es nochmals ganz deutlich zu schreiben: der Mailaccount ist heutzutage
    > der Masterschlüssel für sämtliche deiner Accounts (-> PW Zurücksetzung). Es
    > wäre also ein leichtes für mich gewesen, sich irgendwo mit deinen
    > Logindaten anzumelden, es sei denn, diese wären 2FA gesichert gewesen. Dann
    > hätte ich aber trotzdem vollen Zugriff auf deinen Mailverkehr gehabt.
    > Das Passwortändern ist also weniger auf den Microsoftaccount selbst zu
    > sehen, sondern auf alle Accounts, bei dem dieses Mailpostfach hinterlegt
    > ist.

    Das ist korrekt.
    Eine Empörungswelle gibt es aber trotzdem nicht, selbst die Leute die in der Firma, sowie privat Microsoft hierfür nutzen sehen dass in meinem Bekanntenkreis als ziemlich entspannt an, bzw. waren sogar verärgert als ich das Thema angesprochen hatte. Wahrscheinlich nur Einzelfälle.

    Dagegen würden sie alle am liebsten einen Star-Anwalt aus Hollywood einfliegen wenn ihr Auto einen Haarriss bekommen hat. Wir sollten diesen Vorfall einfach als "OK" abstempeln, ich denke damit können alle wieder "alles gut" sagen und es läuft.



    1 mal bearbeitet, zuletzt am 16.04.19 00:26 durch flow77.

  8. Bringt doch nichts, weil.

    Autor: Truster 16.04.19 - 07:30

    Die hatten wohl Zugriff via Admin Center. Jeder, der ein Firmen-Office365 einsetzt, wird dieses portal in seiner Art kennen. Je nach Berechtigungsstufe haben sie Zugriff bis auf Passwörter - diese können nur zurückgesetzt werden. Und wenn man auf ein fremdes Postfach als Admin zugreift, wird automatisch eine E-Mail an verschiedenen Stellen und an den Besitzer des Postfaches zugestellt, wobei diese "E-Mail" nur dann sichtbar ist, wenn sich der Benutzer mit seinem eigenen Login bei seinem Postfach angemeldet hat. "Vollzugriff" ist hier nicht ausreichend.

  9. Re: Mal eben Outlook.com Passwort ändern...

    Autor: gaym0r 16.04.19 - 12:37

    spoink schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum das Passwort der User ändern? Der Angreifer hatte die credentials
    > von
    > > nem Admin. Das Einzige, was er hätte machen können ist das Passwort
    > eines
    > > Users zu setzen um den Account zu übernehmen. Das fällt dem User aber
    > > sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals
    > > zugreifen.
    >
    > Nimm einfach mal an, ich hätte Zugriff auf dein Mailkonto (gehabt). Was
    > machst du?

    Da du jetzt keinen Zugriff mehr hast: Jedenfalls nicht das Password des Emailkontos ändern. Warum auch?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kassenärztliche Bundesvereinigung, Berlin
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  3. Interhyp Gruppe, München
  4. B. Strautmann & Söhne GmbH & Co. KG, Bad Laer

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Plantronics RIG 800HS PS4/PC für 87€ und Indiana Jones - The Complete Adventures Blu-ray...
  2. (heute u. a. PlayStation Plus 12 Monate Download Code für 44,99€, FIFA 19 Ultimate Team Points...
  3. (u. a. PSN Card 20€ für 17,99€, Assassin's Creed Odyssey für 24,99€ und Tropico 6 für 31...
  4. (u. a. Fallout 4 GOTY für 26,99€ und Season Pass für 14,99€, Skyrim Special Edition für 17...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Linux: Wer sind die Debian-Bewerber?
    Linux
    Wer sind die Debian-Bewerber?

    Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
    Von Fabian A. Scherschel

    1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
    2. Linux Debian-Update verhindert Start auf ARM-Geräten
    3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

    1. Google Earth: Virtuell durch die US-Nationalparks spazieren
      Google Earth
      Virtuell durch die US-Nationalparks spazieren

      Zur Nationalpark-Gedenkwoche in den USA ermöglicht es Google, über Google Earth 31 der 59 Parks kennenzulernen. Über kleine Touren lassen sich die Weite des Grand Canyon, die Hoodoos des Bryce Canyon oder die Bäume des Redwood-Nationalparks anschauen.

    2. Patentstreit: Apple zahlt wohl bis zu 6 Milliarden US-Dollar an Qualcomm
      Patentstreit
      Apple zahlt wohl bis zu 6 Milliarden US-Dollar an Qualcomm

      Die Streitigkeiten zwischen Apple und Qualcomm sind beendet, über die Höhe der vereinbarten Zahlungen herrscht allerdings Schweigen. Ein Analyst geht davon aus, dass Apple fünf bis sechs Milliarden US-Dollar zahlt. Dazu kommen noch bis zu neun US-Dollar Lizenzgebühren pro iPhone.

    3. Elektronikhändler: Media Saturn soll vor drastischem Stellenabbau stehen
      Elektronikhändler
      Media Saturn soll vor drastischem Stellenabbau stehen

      Bei Media Markt und Saturn stehen offenbar starke Einschnitte bevor: Wie Insider berichten, sollen Hunderte Stellen abgebaut werden. Besonders betroffen soll die Verwaltung der Kette in Ingolstadt sein.


    1. 16:00

    2. 15:18

    3. 13:42

    4. 15:00

    5. 14:30

    6. 14:00

    7. 13:30

    8. 13:00