Wenn ihr eigene Domains aufgebt/löscht, sorgt dafür, dass sie nicht mehr als Login verwendet werden können.
Nochmal ausführlich: Ein Freund von mir hat alte Domains gelöscht und plötzlich wurde sein Facebook-Account gehackt und mit Kinderpor. gefüllt. Was ist passiert?
Oft werden alte Mailadressen noch im Hintergrund gespeichert, um einen Login auch mit ihnen zu ermöglichen. Es ist also potentiell möglich „Passwort vergessen“ mit der alten Mailadresse auszuführen und damit Zugang zu einer Seite zu erlangen.
Wenn ihr also email@meinpodcast.xz nutzt, um euch auf Seiten anzumelden und dann nach dem Projekt die Mailadresse ändert und die Domain aufgebt, ist es bei manchen Seiten potentiell möglich, den Account zu übernehmen und an die Daten dahinter zu kommen.
Wenn ich das jetzt richtig verstanden habe, dann hat Dein Freund seinen aktiven FA Account über eine Mailadresse mit eigener Domain laufen lassen, die er aber gelöscht hat?!
Nach meinem Wissen ist es so, dass über „PW vergessen“ ein Rücksetzungslink an die entsprechend verwendete Mailadresse oder eine Alternative hinterlegt wird.
Wenn die Domain für die Mailadresse nicht mehr existiert, dann kann darüber auch das PW nicht zurückgesetzt werden.
In Deinem Fall müsste der Hacker entweder sich die Domain neu gesichert oder (ich weiß nicht, ob es bei FB überhaupt möglich ist) die alternative Rücksetzungsmethode gekapert haben.
Zudem hat FB ihmo auch eine 2FA, die müsste da auch noch geknackt werden.
Irgendwie klingt das alles etwas merkwürdig.
Wenn dem aber so ist, warum holt sich Dein Freund dann nicht die Domain zurück?
Seine alte Domain wurde wohl neu registriert und eine Catch-All-Adresse eingerichtet. Wenn dann diverse Plattformen den alten Mailadressen schreiben (z.B. durch Newsletter, Komm-Zurück-Mails etc), weiß ein potentieller Hacker schon mal, welche Mailadresse zu welcher Seite gehört. Selbst wenn man also Hummelbunse@xy als Adresse fürs Sendegate nutzt, und das Sendegate irgendwann ne Mail schickt mit der Wochenzusammenfassung, kann ein Hacker das dann zuordnen.
Recht häufig werden wohl alte Domains gekauft, damit sie ggf. teuer wieder zurück gekauft werden. Ich habs überprüft, alle meine ehemaligen Podcast-Domains gehören mittlerweile anderen, teils mit fremden Schriftzeichen.
Er hat wohl das Passwort auch bei mehreren Seiten genutzt, das ist halt fahrlässig, kann aber bei über 10 Jahren alten Accounts schon mal sein.
Bei Facebook hatte er die Mailadresse aus dem Profil gelöscht, aber sie war wohl im Hintergrund gespeichert und konnte als Passwort-Rücksetzungsadresse genutzt und angeblich auch die zwei-wege-auth. umgangen werden (kann ich nicht prüfen).
Letztendlich muss doch aber nach der Löschung der Mailadresse bei FB eine weitere Möglichkeit eingerichtet worden sein, damit die PW Rücksetzung funktioniert.
Also ich bin jetzt bei FB nicht wirklich so aktiv aber das Konto muss doch immer mit einer aktuellen Mailadresse verknüpft sein.
Letztendlich bliebe hier wohl nur die Möglichkeit darauf hinzuweisen, dass entweder das PW gekapert oder der Zugriff dürch die Übernahme der (Alt-) DOmain erfolgt ist, um sich zumindest strafrechtlich ein bissel abzusichern.
Dass mit der Domain kann man ja schon mal gut durch den Löschungsantrag beider DENIC beweisen.
Geht es jetzt in diesem Fall darum, den Zugriff auf das FB Konto wieder zu erlangen oder den strafrechtlichen Folgen Herr zu werden?
Es geht darum, dass man sich sicher sein sollte, dass die ehemaligen E-Mailadressen nicht mehr für den Login von Seiten verwendet werden können und vor allem auch nicht für die Passwortrücksetzung.
Was übrigens auch ein relativ beliebter Trick ist, sich abgekündigte Domains schnappen, da nen Webshop aufsetzen und den Vorbesitzer im Impressum lassen, und irgendwelche Markenschuhe zu Billigpreisen da verkaufen ohne jede Absicht die mal zu liefern.
Domains im Zweifel lieber irgendwohin wegparken wo sie wenig Geld kosten, oder an jemand anderen vertickten.
Von dem Vorkommnis hier wussten wir übrigens noch nichts als wir am Samstag heiss empfohlen haben sich eine Domain zu schnappen und darauf einen catchall Service laufen zu lassen … was ich immer noch empfehle
Ja das ist doch aber eine Sache von der Seite, wo Du Dich einloggst. Woher soll denn der Anbieter wissen, dass diese Mail nicht mehr existiert?
Wenn man sich schon auf so dünnes Eis begibt und eine Mailadresse als Login nutzt und dann noch ohne 2FA, dann muss man halt in den sauren Apfel beißen und konsequent Buch führen, wo man diese Mailadresse nutzt, um diese dann zu ändern, wenn man die Domain aufgibt.
Alternativ halt den Weg wählen und die Domain nicht löschen, sondern irgendwo parken für ein paar Euro im Jahr. So mache ich das derzeit.
Das klappt aber auch nur, wenn der ehemalige Domaininhaber vorher irgendetwas aufgebaut hatte, wo er seine Daten aka Impressum preisgeben musste. Ansonsten wird es recht schwierig an die Daten des ehemaligen Inhabers zu kommen.
irgendwie siehst du Probleme, die hier gar nicht Thema gewesen sind.
Ja du kannst an jedem Punkt eine Unterkritik anbringen dass da weitere Faktoren relativieren können - aber das ändert alles nichts für die Grundaussagen.
Ja, man kann nur eine Impressumsangabe übernehmen, wenn es ein Impressum gegeben hat - aber das spielt am Ende keinerlei Rolle. Du hast immer noch eine Domain die Leute ansurfen, und niemand „zwingt“ dich dazu eine Impressumsangabe zu übernehmen. Das ist lediglich ein „muddy the water“, wenn Leute da hinsurfen und merken „Ach guck, hat sich verändert… aber der Inhaber scheint noch derselbe zu sein… ja gut, macht er jetzt halt nen Shop, warum nicht?“.
Und was Johannes da schreibt ist ein völlig valides Szenario, und eine völlig valide Warnung zum Umgang mit eigenen Domains, falls da vergessenerweise eine Recovery Mail drauf liegt.
Nee, ich habe nur wieder mal zu schnell gelesen.
Ich hatte den ersten Post nicht als „Warnung / Hilfe“ deklariert. Sorry, wenn ich da jetzt Verwirrung ins Spiel gebracht habe.
Was mir aber nicht klar ist, ist die Methode, wie man über „Passwort vergessen“ einen Account kapern kann?!
Das neue PW wird doch dann an die (nicht mehr vorhandenen) Mailadresse geschickt. Wie soll der Angreifer die denn abfangen wenn er nicht zwischenzeitlich Inhaber der Domain geworden ist?
In diesem Szenario hier hat man eine Domain auslaufen lassen, weil man nicht mehr präsent hatte dass die ja früher mal zum login bei Facebook verwendet wurde - und mittlerweile zwar nicht mehr dafür benutzt wird, aber immer noch für ein Password Recovery verwendet werden kann.
Ein Typ holt sich also die freigewordene Domain, legt den mx-dns record der Domain um auf irgendeinen mailserver und wartet ob CatchAll irgendeine Nachricht bekommt aus der hervorgeht ob unter dieser Adresse noch der Vorbesitzer vermutet wird.
