Häufig gestellte Fragen

Mein Kennwort ist einer geleakten Datenbank aufgetaucht. Muss ich meine E-Mail-Adresse wechseln?

Es reicht aus, wenn Sie für sämtliche Benutzerkonten, die diese E-Mail-Adresse verwenden, das Kennwort ändern.

Zu meiner E-Mail-Adresse wurde das Kennwort gestohlen. Betrifft das nur das Kennwort meines E-Mail-Accounts?

Definitiv nicht! Es kann sich dabei um das Kennwort eines beliebigen Benutzerkontos handeln, bei dem Sie Ihre E-Mail zur Identifikation angegeben haben. Das kann das Kennwort Ihres E-Mail-Kontos oder das eines beliebigen Internetdienstes sein.

Warum werden in meiner Antwort-E-Mail keine Details zu den betroffenen Daten angegeben?

Wenn Ihre Daten bereits in einem Leak auftauchen, ist es möglich, dass ein Angreifer auch schon Zugriff auf Ihren E-Mail-Account hat und die Antwort-E-Mail mitlesen kann. Um zu verhindern, dass ein Angreifer weiterführende Informationen zu zusätzlichen Accounts mit der gleichen E-Mail-Adresse erhält, geben wir keine konkreten Daten (wie z.B. Klartextpasswörter) wieder.

Kann ich detailliertere Informationen zu meinen geleakten Daten bekommen?

Wir können Ihnen auf Anfrage keine Informationen zu den konkreten Inhalten (z.B. Passwort, Bankdaten) der Leaks geben, da der Ursprung des Datensatzes des Dienstes Identity Leak Checker keine eindeutige Zuordnung zu einer natürlichen Person (§3 Abs. 1 BDSG) zulässt. (Siehe auch Datenschutzerklärung)

Ich habe meine Kennwörter bereits geändert. Warum taucht bei nochmaliger Anfrage immer noch eine Warnung für geleakte Kennwörter auf?

Der Identity Leak Checker gibt lediglich Auskunft dazu, ob Ihr Kennwort in einem Leak gefunden wurde. Der Leak Checker sagt nichts darüber aus, ob dieses Kennwort für das betroffene Benutzerkonto noch funktioniert. Da Ihr Kennwort weiterhin in dem entsprechenden Leak zu finden ist, gibt die Webseite weiterhin eine Warnung aus.

Wie sieht die Antwort-E-Mail aus und von welcher E-Mail-Adresse wird diese versendet?

Siehe Antwort-E-Mails.

Das einzugebende CAPTCHA ist zu schwer zu lesen. Wieso verwenden Sie keine einfacheren CAPTCHAs?

Je einfacher ein CAPTCHA für den Nutzer zu entziffern ist, desto einfacher ist es auch für ein Computerprogramm dieses automatisiert zu entziffern. Das von uns verwendete CAPTCHA-Verfahren ist keine Eigenentwicklung, sondern wird von Google bereitgestellt. Das Verfahren ist derzeit eines der wenigen, das relativ zuverlässig zwischen Mensch und Maschine unterscheiden kann.

Wie wird der Dienst gegen Missbrauch geschützt?

  1. CAPTCHA gegen automatisierte Abfragen

    Damit Abfragen an den Identity Leak Checker nicht automatisiert abgesetzt werden können, verlangt die Webseite nach 3-malige Absetzen einer erfolgreichen Anfrage ein CAPTCHA. Dieses CAPTCHA ist relativ leicht für einen Menschen, jedoch relativ schwer für eine Maschine zu lösen. Deshalb ist es nur schwer möglich, automatisierte Abfragen in großer Menge durchzuführen.

  2. Nur Minimalinformationen in Datenbank

    Um zu verhindern, dass ein Angreifer die Daten aus unserem Dienst missbrauchen kann, wird das verwendete Datenbankschema auf die notwendigsten Daten reduziert. Dieses Schema wird im Abschnitt Speicherung der Daten genauer erläutert. Sollte es einem Angreifer trotz unserer Schutzmaßnahme überhaupt gelingen, unsere Webseite zu hacken, könnte er also höchstens nur eine Datenbank mit sehr begrenztem Informationsgehalt auslesen.

In welcher Form sind die geleakten Daten gespeichert?

Bei der Speicherung der Daten ist uns die Privatsphäre der Nutzer wichtig. Aus diesem Grund speichern wir zu jeder gefundenen Identität aus einem Datenleck nur die nötigsten Daten, um unseren Dienst anzubieten. Das bedeutet, dass für eine Identität lediglich die E-Mail-Adresse und die Art bzw. der Typ der veröffentlichten Information zusammen mit der Quelle und dem Veröffentlichungsdatum gespeichert werden. Zusätzlich wird die E-Mail-Adresse nicht im Klartext gespeichert, sondern wird verschleiert, so dass man nur für die Identitäten Informationen erhält, zu denen man die E-Mail-Adresse kennt.
Nachfolgend ein Beispiel für die gespeicherten Daten:

LeakDatumE-Mail-AdressePasswortKreditkarte...
Leak 1Jan. 2014d446fe72146a1f05de8801b47c748cc44e920986JaNein...
Leak 2Apr. 2014c42b947f516cf6c5ccd88fa9aff254d0b25e35fdNeinJa...

Aus den Daten der Tabelle lässt sich nicht viel herauslesen, wenn man nichts über die dahinter steckende E-Mail-Adresse weiß. Gehen wir einmal von dem Fall aus, dass ein Nutzer Max Mustermann die Seite besucht und seine E-Mail-Adresse max.mustermann@domain.com eingibt. Diese Adresse wird nun mit einem kryptographischen Verfahren verschleiert:

Verschleierungsverfahren(max.mustermann@domain.com) = d446fe72146a1f05de8801b47c748cc44e920986

Das Ergebnis kann nun in der Tabelle nachgeschlagen werden und man weiß, dass das Passwort von Nutzer Max Mustermann in einem Datenleck gefunden wurde. Ein Angreifer, der Zugriff auf die Datenbank erlangen würde, könnte nicht herausfinden, welche E-Mail-Adressen sich hinter den beiden Einträgen aus der Datenbank verbergen. Er müsste die gleiche Verschleierung auf sämtliche E-Mail-Adressen anwenden, weil die Verschleierung nicht rückgerechnet werden kann. Würde der Angreifer nun zufällig das Pendant für eine verschleierte E-Mail-Adresse finden, hätte er nur Zugriff auf die Daten für eine Identität. Selbst mit den angegebenen Daten lässt sich jedoch für einen Angreifer nicht viel anfangen.