Spielegrotte gehackt!!

[XBU Dirty]

Kennt vielleicht von euch jemand noch nen Shop was Uncut spiele anbietet und bezahlen z.b ab der 2ten bestellung per Rechnung möglich ist?

Ich will bei der Grotte eiglt auch nix mehr bestellen, aber da es der einzigste Shop ist den ich kenne wo man per Rechnung zahlen kann^^
Ich kauf nämlich nur per Rechnung ein.

Habe mir die Option (auf Rechnung) noch offen gehalten, bis ich einen Ersatz gefunden habe.

aufgrund dessen, dass du es nicht für nötig hälst, umgehend nach Bekanntwerden der aktuellen Probleme, deine Kunden über den Status der Hacker-Vorwürfe zu informieren und entsprechende Maßnahmen sowie Empfehlungen auszusprechen, habe ich meine Bankdaten auf der Seite Spielegrotte.de gelöscht. Ich widerrufe hiermit ausdrücklich die Erlaubnis zum Bankeinzug und bitte mit Nachdruck um sofortige Löschung sämtlicher Bankdaten bezüglich meiner Person.

Ich bin sehr enttäuscht, aus etlichen Quellen über das Problem informiert zu werden, jedoch keine Information von meinem langjährigen Geschäftspartner zu erhalten, obwohl das Problem seit mehr als 2 Tagen bekannt ist. Ich hoffe nur, dass das Schließen der Sicherheitslücken schneller geschieht und ein professioneller Sicherheitscheck durchgeführt wird, der wohl schon viel eher hätte durchgeführt werden müssen.

Zahlungen werde ich zukünftig ausschließlich nach Erhalt der Ware und dazugehöriger Rechnung begleichen. Eine Beendigung des Geschäftsverhältnisses behalte ich mir ausdrücklich vor.

[XBU Mastermind]

Hier mal die Stellungnahme:

Sehr geehrte Kunden,

wie manch einer vielleicht schon mitbekommen hat, müssen wir leider mitteilen, dass es in unserem System eine Sicherheitslücke gab, die dazu ausgenutzt wurde an Kundendaten zu gelangen. Wir sind derzeit noch dabei uns einen wirklich genauen und detailierten Überblick zu verschaffen, es könnten aber leider Daten wie Name, Adresse,E-Mail Adresse und teilweise auch Bankverbindung betroffen sein. Passwörter sind verschlüsselt gespeichert und von daher an sich unlesbar, Ausweisdaten werden von uns nur offline gehandhabt, diese sind definitiv NICHT betroffen.

Wir möchten daher allen Kunden raten, auf E-Mails zu achten, in denen nach einem Passwort gefragt wird, sowas wird es von keiner Firma auf dieser Welt je geben, das gilt nicht nur für diese Situation, sondern allgemein bitte immer Vorsicht bei Mails, wo darum gebeten wird, einen Link anzuklicken um dort dann sein Passwort anzugeben. Weiterhin, falls leider wirklich auch Bankdaten entwendet worden sind, sollte jeder bitte ein Auge auf seine Kontoauszüge haben, sollte dort etwas unbekanntes auftauchen, könnt Ihr bei Eurer Bank diese Buchung ohne Fragen oder Aufwand einfach 6 Wochen lang zurückbuchen lassen. Ein solcher Fall ist aber bisher nicht bekannt, da jede Rückbuchung denjenigen auch Geld kosten würde, der versucht hat das Geld abzubuchen, wird es sicherlich auch unattraktiv sein, es überhaupt zu versuchen. Ansonsten sind Bankdaten ohne eure PIN Nummer für jeden nutzlos und die habt natürlich nur Ihr.
Passwörter können wie gesagt aufgrund der Verschlüsslung nicht einfach gelesen werden, allerdings gilt hier, je einfacher Euer Passwort ist, desto einfacher ist es auch diese Verschlüsslung zu knacken. Speziell wer also ein sehr kurzes oder einfaches Passwort hat, sollte dieses bitte auf jeden Fall ändern, auch bei komplexeren Passwörtern wäre ein Wechsel zur Sicherheit natürlich nicht verkehrt, auch wenn hier eine Entschlüsselung sehr unwahrscheinlich ist. Empfehlenswert sind (sollte auch allgemein unabhängig von dieser Situation immer beherzigt werden) Passwörter mit mindestens 6 Zeichen, verschiedener Groß- und Kleinschreibung und Zahlen darin.

Wir können uns natürlich nicht genug für diesen Vorfall entschuldigen, so was darf natürlich nicht passieren, aber wir sind “leider” alle nur Menschen und machen Fehler. Wir haben das Thema Sicherheit stets Ernst genommen und stets Vorkehrungen zum Schutz gegen bekannte Angriffsmaßnahmen getroffen, leider wurde dabei eine kleine Stelle übersehen, diese wurde natürlich sofort geschlossen, das Geschehene lässt sich leider aber nicht mehr rückgängig machen. Die Tatsache, dass praktisch aber jeden Monat mindestens ein Fall von Datenklau selbst bei bedeutend größeren Unternehmen oder öffentlichen Institutionen bekannt wird, zeigt wie schwierig bzw. nahezu unmöglich es selbst mit deutlich größeren Geldmitteln ist, ein System 100% sicher zu machen. Wir werden natürlich dennoch unseren Shop nochmals einer kompletten Überprüfung unterziehen.

Ich kann mich nur nochmals für den Vorfall zutiefst entschuldigen und bitte die Ratschläge zu beherzigen, um weitere Probleme zu vermeiden. Antworten auf diese Nachricht versuchen wir natürlich zu beantworten, allerdings ist davon auszugehen, dass die Anzahl der Anfragen unsere Möglichkeiten weit übersteigen wird, es sollte aber in dieser Mail jegliche Art von Frage geklärt worden sein.

Einige Kunden gehen nun seit Bekanntwerden her und löschen Ihre E-Mail Adresse oder gar Ihre ganzen Daten aus unserem System, ich kann die Verunsicherung natürlich verstehen, allerdings ist die Lücke wie gesagt geschlossen und der Klau der bisher eingetragenen Adresse leider nicht mehr rückgängig zu machen. Es bringt also an sich leider nichts. Sicherlich verstehe ich natürlich, dass irgendwo das Vertrauen nun zerbrochen ist, aber ich kann nur noch mal wiederholen, dass solche Fälle mindestens monatlich bei den verschiedensten Firmen auftauchen, nirgendwo hat man die 100% Sicherheit, viele die Ihre Mail Adresse nun gelöscht haben, sind garantiert in vielen Foren und Seiten angemeldet, wo dies auch jederzeit passieren könnte. Wie gesagt, wir nehmen das Thema Ernst und haben es immer Ernst genommen.

Natürlich werden wir auch umgehend Anzeige gegen Unbekannt erstatten und in Zusammenarbeit mit den Behörden versuchen den Täter ausfindig zu machen. Im Falle einer großen Social Community, wo es vor kurzem auch zum Datenklau gekommen ist, hatte dies zum Erfolg geführt.

Abschließend möchte ich gerne noch einen Kommentar zu der Gerüchteküche die entstanden ist abgeben, denn es gibt Gerüchte, wonach wir angeblich seit bis zu 2 Jahren von dieser Lücke gewusst hätten.

Sowas ist natürlich wirklich absoluter Unsinn, warum sollten wir so verrückt sein, eine Sicherheitslücke 2 Jahre bestehen zu lassen, welchen Nutzen sollte das für uns haben, außer Ärger? In Wirklichkeit ist es so, dass die Angriffsmethode die genutzt wurde, vor ca. 2 Jahren allgemein (nicht jetzt uns betreffend) bekannt geworden ist. Wir sind damals sofort hergegangen und haben natürlich Sicherheitsvorkehrungen gegen diese Art Angriff getroffen und nachträglich in unseren Shop implementiert. Leider ist dabei trotz sorgfältiger Vorgehensweise eine einzige Stelle übersehen worden. Das ist natürlich keine Entschuldigung, aber wir sind halt alle nur Menschen, wir haben damals (also vor 2 Jahren) mit mehreren Leuten alle verwundbaren Punkte im Shop abgesucht und wie gesagt vorsorglich abgesichert, dabei wurde wie gesagt leider wirklich eine Stelle übersehen. Die Tatsache, dass die Angriffsmethode seit 2 Jahren bekannt ist und es erst jetzt zu einem derartigen Eklat kommt, beweist auch, dass diese Stelle nicht einfach offensichtlich zu finden war und wir Sicherheit Ernst nehmen, denn sonst wäre längst vorher etwas derartiges passiert. Zum Thema Reaktionsgeschwindigkeit in diesem Fall, möchte ich gerne die Geschichte erzählen, wie sie wirklich war. Ich, als Geschäftsführer, war nämlich, dass erste mal seit Gründung des Shops vor 7 Jahren, für eine Woche im Urlaub. 5-10 min nachdem meine Mitarbeiter von dem Vorfall Kenntnis erlangt haben (und das wohlgemerkt an einem Sonntag!), bekam ich eine SMS, dass es ein Problem gibt und ich mir das anschauen müsste, woraufhin ich wiederum in ca. 5 min den nächsten Internetzugang gesucht habe und die Lücke nach weiteren 10 min geschlossen habe. Sprich statt der Gerüchteweise 2 Jahre, hat es in Wirklichkeit 20-25 min nach Bekanntwerden des Problems gedauert, bis reagiert und die Lücke geschlossen wurde und das trotz Urlaub in einem fernen Land!
Das macht es natürlich nicht besser, dennoch ist es mir wichtig zu zeigen, dass das Thema natürlich Ernst genommen wird und wurde und höchste Priorität hat.

Mit freundlichen Grüßen,
Marc Fettweis

[bloodhunter]

Wir haben das Thema Sicherheit stets Ernst genommen und stets Vorkehrungen zum Schutz gegen bekannte Angriffsmaßnahmen getroffen, leider wurde dabei eine kleine Stelle übersehen, diese wurde natürlich sofort geschlossen,

Jo darum gibt es die Sicherheitslücke auch schon seit 2008. Aber man hat das Thema Sicherheit ja ernst genommen und nach über andertalb jahren übersehen wurd sie endlich geschlossen. Respekt .

Ich werd da trotzdem nix mehr bestellen. Bis Februar wo ich mir das erste Spiel wieder bestellen würde, find ich schon nen neuen Shop.

[XBU Böhser Onkel]

Ich kenne mich mit solchen Verwaltungssachen 0 aus aber es hört sich irgendwie ziemlich unprofessionell an wenn man hört dass Marc sich von irgendeinem Pc (im Urlaub) so einfach in solch sensible Datenbanken einloggen kann.
Hat man dafür also Shopbesitzer nicht irgendwie ne gescheite Firma oder Person die sich um die Sicherheit kümmert?

[XBU Mastermind]

Ich kenne mich mit solchen Verwaltungssachen 0 aus aber es hört sich irgendwie ziemlich unprofessionell an wenn man hört dass Marc sich von irgendeinem Pc (im Urlaub) so einfach in solch sensible Datenbanken einloggen kann.
Hat man dafür also Shopbesitzer nicht irgendwie ne gescheite Firma oder Person die sich um die Sicherheit kümmert?

Nö - das ist eigentlich so relativ normal - Allerdings wenn DBs und dergleichen aus der Ferne zu erreichen sind (im Admin Modus) sollte man zusätzliche Sicherheitsmassnahmen vorkehren - lange cryptische PWs etc.

XBU ist genauso "unprofessionell" aus der Ferne wartbar - Das ist absolut nichts ungewöhnliches.

[XBU Böhser Onkel]

Ok danke für die Info wie gesagt hab von sowas 0 Ahnung.
Da muss ich ja aufpassen dass ich nicht ausversehen auf den Button "Format XBU" klicke.

[Exciter]

krass wird alles immer verückter

[XBU MrHyde]

XBU ist genauso "unprofessionell" aus der Ferne wartbar - Das ist absolut nichts ungewöhnliches.

Da möchte ich mich aber einharken... ich habe ja extra nix zum damaligen XBU-Shop geschrieben... zum einen, weil wir davon nix mehr haben und es diesen nicht mehr gibt, zum anderen mag ich es nicht, mit dem Finger auf andere zu zeigen, zumal ich deren System gar nicht in Vollendung kenne..., deswegen hatte ich vorher nur meine Meinung als Kunde zur Informationspolitik geäussert.

Es ist zwar in der Tat so, dass logischerweise auf XBU weltweit zugegriffen werden kann, ist aber beim Forum wahrlich nicht anders üblich und die sensiblen Daten gehen auf einen Nullpunkt, wäre es "nur" eine Mailadresse, denn alle anderen Daten wie Forennick & Co. sind eh öffentlich einsehbar.

Allerdings möchte ich darauf hinweisen, dass es im XBU Shop anders war. Wir hatten zwar einen Internetshop mit gängiger Software, dieser war aber verknüpft an einem Warenwirtschaftssystem mit einem lokalen Server, der zu diesem Zwecke damals gekauft und bei Jörn in Hamburg im Büro installiert war. Auf diese Daten konnte man nicht vom Internet zugreifen, sondern die Software hat lediglich dafür gesorgt, dass die Daten aus dem Shop ausgelesen wurden. Der Server konnte dann eineseits lokal bedient werden, andererseits über Remote-Desktop-Verbindungen, Firewall-Schnickschnack und Co. dediziert zu maximal einem weiteren & festgelegten Rechner, wofür man auch eine Lizenz kaufen musste. Sprich: Man hatte da mehrere Bereiche, die man überwinden müsste, um da hinzukommen

Ich kann nun nach 2 Jahren nach der Abschaltung nicht mehr sagen, was man überhaupt noch im Internet verfügbar hatte und welche Daten mit krimineller Energie hätte auslesen können und ob bei der Grotte das System genauso/ähnlich ist, aber das letztlich auch nicht für mich der Punkt. Denn ich denke zum einen, dass es sicher immer Wege gibt, Kriminelles zu tun und es bleibt die Hoffnung, dass die Schuldigen immer gefunden werden, zum anderen ging es mir persönlich bei der Sache hauptsächlich um die Informationspolitik.

Diese ist nun nachgeholt worden und das ist soweit auch ok, bis auf die Dauer bis zur Information... vermutlich erst nach Druck von aussen.

Ob das nun jemanden ausreicht, um einem Betreiber den Rücken zu kehren, muss jeder selber entscheiden. Die Daten selbst sind aber überall gleich unsicher, es sei denn, man holt sein Geld in der Bank am Schalter ab, geht im Laden vor Ort einkaufen und bezahlt bar Dem Risiko muss man sich bewusst sein und sollte einfach generell seine Kontoauszüge immer kontrollieren

[TimmyT1981]

Ich finde aber das hier masslos übertrieben wird. Wenn man irgendwelche Daten irgendwo angibt wird damit generell immer Unsinn getrieben. Denkt ihr Microsoft hält sich an die Regeln wenn man sein Windows registriert und kein anderer ausser die kommen an die Daten? Im Leben nicht! Die geben es nur nicht zu und machen Geschäfte mit sowas.

Ok das mit den Bankdaten ist natürlich mies aber man muss die ja nicht angeben, also auch selber Schuld. Sicherheit gibt es niemals, schon gar nicht im Internet.

Das erst jetzt was kommt ist doof, aber das ist das Problem der Grotte, da werden die sich schon noch drüber Ärgern, von daher auch nonsens.

Meine Bankdaten sind da auch hinterlegt, ich lass die auch da. Jetzt ist eh zu spät und Lastschriften kann man sechs Wochen rückgängig machen, also kein Grund Angst zu haben.

Von daher einfach mal nen Gang runter schalten und gut is.

[XBU Böhser Onkel]

Naja ich sehe das nicht so locker wie du Timmy.
Marc wird an der Geschichte wohl noch lange Freude haben jedes Forum in dem es auch nur ansatzweise ums Gameing geht berichtet von dem Vorfall begeistert sind die wenigsten.