Spielegrotte gehackt!!

[XBU Mastermind]

Wir hatten zwar einen Internetshop mit gängiger Software, dieser war aber verknüpft an einem Warenwirtschaftssystem mit einem lokalen Server, der zu diesem Zwecke damals gekauft und bei Jörn in Hamburg im Büro installiert war. Auf diese Daten konnte man nicht vom Internet zugreifen, sondern die Software hat lediglich dafür gesorgt, dass die Daten aus dem Shop ausgelesen wurden. Der Server konnte dann eineseits lokal bedient werden, andererseits über Remote-Desktop-Verbindungen, Firewall-Schnickschnack und Co. dediziert zu maximal einem weiteren & festgelegten Rechner, wofür man auch eine Lizenz kaufen musste. Sprich: Man hatte da mehrere Bereiche, die man überwinden müsste, um da hinzukommen

Solange eine Verbindung von A nach B existiert, sind diese Daten erreich-und angreifbar. Ich war viele Jahre für unsere Technologien und Security verantwortlich und habe sie mit meinem TEam vor Jahren aufgebaut - von daher kann ich mir durchaus ein Bild machen und unsere Daten sind ja durchaus als kritisch eingestuft

Auch im vorliegenden Fall hätte das den XBU Shop nicht geschützt. Der Fehler lag im eigentlich Shop System und hat somit durch einen veränderten Link legal mit dem Shopuser auf die (Remote) Datenbank zugegriffen und die Daten geholt - absolut sicher und so, wie es die Architektur vorgesehen hat. Ein Hacking Versuch heisst nicht automatisch, dass man Zugrif auf das System hat. Im SG Fall bzw. im Shop Fall handelte es isch ja auch um eine Verwundbarkeit (vulnerable) - nicht um ein direktes Hacking.
Das Layout des XBU Shops war absolut richtig und nur so kann man über mehrere Firewalls bzw. ein DMZ und idealerweise getrennte DB Server. Die Daten zumindest versuchen zu schützen - vor allem MEhrstufig. Aber wie gesagt was bringt die Security, wenn du der Software ganz vorne ohne authorisierung sagen kannst, hol doch bitte mal alle Kundendaten

Egal - Sicher ist leider keine Information zu 100% - Ist wie die Frage, wie man seinen REchner sicher ans Internet anschliesst - Kabel draussen lassen

Die Sachlage an sich ist ärgerlich - klar - Ich als Kunde und nicht gerade unbeschriebenes Blatt in dem Bereich bin mir der Risiken für gew. bewusst. Nicht gefallen hat mir die Informationspolitik.

Über das Security Layout - gerne mehr - aber dann beim Bierchen - Das dauert!

[Mini Me]

Ich werde erst mal meine Bestellungen dort stornieren.
Nicht wegen den Sicherheitslücken die es immer geben wird, sondern wegen der eigenlichen Desinteresse gegenüber den Kunden.
Hätte ich es hier im Forum nicht gelesen, hätte ich immer noch keine Info.


Ist echt traurig.

[XBU Dirty]

Ich persönlich finde es ärgerlich, weil man nur wegen der Infos und des Drucks von außen überhaupt davon in Kenntnis gesetzt wird.

Zudem ist die Grotte der einzige Geschäftspartner, der meine Bankdaten zwecks Einzugsermächtigung hatte. Ansonsten meide ich diese Zahlungsart generell. Und genau da werden meine Daten in die Welt hinausposaunt.

Eine Frechheit, mich bis heute nicht offiziell zu informieren!!

[XBU Böhser Onkel]

Gabs keine Mail bis jetzt?
Einige Leute haben doch so ne tolle Email bekommen wenn dem so ist frage ich mich warum nicht jeder Kunde diese Email bekommen hat.

[Mini Me]

Habe diese mail Heute bekommen aber auch wohl nur weil ich nachgefragt habe.
Ich will ja keinem was unterstellen aber mir kommt es so vor als sollte dieser Vorfall todgeschwiegen werden.

[XBU Böhser Onkel]

Jo geil ich hab heute ne Mail bekommen in der es um meine Packstation geht.
Der Absender kam mir schon komisch vor und es ist auch ein Link enthalten den man anklicken soll weil es angeblich Probleme mit meiner ID usw gibt.
Ich habe nicht draufgeklickt und habe mal im Netz etwas nachgeforscht mit dem Ergebnis dass fast jeder Grotte Kunde diese Mail bekommen hat.
Also versucht jemand mit den Daten irgendetwas abzuziehen also passt auf falls ihr auch so eine Mail bekommt.

[XBU Mastermind]

Jo geil ich hab heute ne Mail bekommen in der es um meine Packstation geht.
Der Absender kam mir schon komisch vor und es ist auch ein Link enthalten den man anklicken soll weil es angeblich Probleme mit meiner ID usw gibt.
Ich habe nicht draufgeklickt und habe mal im Netz etwas nachgeforscht mit dem Ergebnis dass fast jeder Grotte Kunde diese Mail bekommen hat.
Also versucht jemand mit den Daten irgendetwas abzuziehen also passt auf falls ihr auch so eine Mail bekommt.

Phishing Mails zur Packstation gibt es bereits seit einigen Wochen gehäuft. Ich denke das hat nicht zwangsläufig was mit dem Vorfall zu tun.

Auch ich habe bisher weder als Kunde noch auf die XBU Anfrage eine Mail per Stellungnahme bekommen....

[Digger]

Gerade Mail von der Grotte bekommen
da es eine sehr lange Mail ist hab ich die in einen Spoiler gepackt

  Spoiler: Mailtext 

Sehr geehrte Kunden,

wie manch einer vielleicht schon mitbekommen hat, müssen wir leider mitteilen, dass es in unserem System eine Sicherheitslücke gab, die dazu ausgenutzt wurde an Kundendaten zu gelangen. Wir sind derzeit noch dabei uns einen wirklich genauen und detailierten Überblick zu verschaffen, es könnten aber leider Daten wie Name, Adresse,E-Mail Adresse und teilweise auch Bankverbindung betroffen sein. Passwörter sind verschlüsselt gespeichert und von daher an sich unlesbar, Ausweisdaten werden von uns nur offline gehandhabt, diese sind definitiv NICHT betroffen.

Wir möchten daher allen Kunden raten, auf E-Mails zu achten, in denen nach einem Passwort gefragt wird, sowas wird es von keiner Firma auf dieser Welt je geben, das gilt nicht nur für diese Situation, sondern allgemein bitte immer Vorsicht bei Mails, wo darum gebeten wird, einen Link anzuklicken um dort dann sein Passwort anzugeben. Weiterhin, falls leider wirklich auch Bankdaten entwendet worden sind, sollte jeder bitte ein Auge auf seine Kontoauszüge haben, sollte dort etwas unbekanntes auftauchen, könnt Ihr bei Eurer Bank diese Buchung ohne Fragen oder Aufwand einfach 6 Wochen lang zurückbuchen lassen. Ein solcher Fall ist aber bisher nicht bekannt, da jede Rückbuchung denjenigen auch Geld kosten würde, der versucht hat das Geld abzubuchen, wird es sicherlich auch unattraktiv sein, es überhaupt zu versuchen. Ansonsten sind Bankdaten ohne eure PIN Nummer für jeden nutzlos und die habt natürlich nur Ihr.
Passwörter können wie gesagt aufgrund der Verschlüsslung nicht einfach gelesen werden, allerdings gilt hier, je einfacher Euer Passwort ist, desto einfacher ist es auch diese Verschlüsslung zu knacken. Speziell wer also ein sehr kurzes oder einfaches Passwort hat, sollte dieses bitte auf jeden Fall ändern, auch bei komplexeren Passwörtern wäre ein Wechsel zur Sicherheit natürlich nicht verkehrt, auch wenn hier eine Entschlüsselung sehr unwahrscheinlich ist. Empfehlenswert sind (sollte auch allgemein unabhängig von dieser Situation immer beherzigt werden) Passwörter mit mindestens 6 Zeichen, verschiedener Groß- und Kleinschreibung und Zahlen darin.

Wir können uns natürlich nicht genug für diesen Vorfall entschuldigen, so was darf natürlich nicht passieren, aber wir sind "leider" alle nur Menschen und machen Fehler. Wir haben das Thema Sicherheit stets Ernst genommen und stets Vorkehrungen zum Schutz gegen bekannte Angriffsmaßnahmen getroffen, leider wurde dabei eine kleine Stelle übersehen, diese wurde natürlich sofort geschlossen, das Geschehene lässt sich leider aber nicht mehr rückgängig machen. Die Tatsache, dass praktisch aber jeden Monat mindestens ein Fall von Datenklau selbst bei bedeutend größeren Unternehmen oder öffentlichen Institutionen bekannt wird, zeigt wie schwierig bzw. nahezu unmöglich es selbst mit deutlich größeren Geldmitteln ist, ein System 100% sicher zu machen. Wir werden natürlich dennoch unseren Shop nochmals einer kompletten Überprüfung unterziehen.

Ich kann mich nur nochmals für den Vorfall zutiefst entschuldigen und bitte die Ratschläge zu beherzigen, um weitere Probleme zu vermeiden. Antworten auf diese Nachricht versuchen wir natürlich zu beantworten, allerdings ist davon auszugehen, dass die Anzahl der Anfragen unsere Möglichkeiten weit übersteigen wird, es sollte aber in dieser Mail jegliche Art von Frage geklärt worden sein.

Einige Kunden gehen nun seit Bekanntwerden her und löschen Ihre E-Mail Adresse oder gar Ihre ganzen Daten aus unserem System, ich kann die Verunsicherung natürlich verstehen, allerdings ist die Lücke wie gesagt geschlossen und der Klau der bisher eingetragenen Adresse leider nicht mehr rückgängig zu machen. Es bringt also an sich leider nichts. Sicherlich verstehe ich natürlich, dass irgendwo das Vertrauen nun zerbrochen ist, aber ich kann nur noch mal wiederholen, dass solche Fälle mindestens monatlich bei den verschiedensten Firmen auftauchen, nirgendwo hat man die 100% Sicherheit, viele die Ihre Mail Adresse nun gelöscht haben, sind garantiert in vielen Foren und Seiten angemeldet, wo dies auch jederzeit passieren könnte. Wie gesagt, wir nehmen das Thema Ernst und haben es immer Ernst genommen.

Natürlich werden wir auch umgehend Anzeige gegen Unbekannt erstatten und in Zusammenarbeit mit den Behörden versuchen den Täter ausfindig zu machen. Im Falle einer großen Social Community, wo es vor kurzem auch zum Datenklau gekommen ist, hatte dies zum Erfolg geführt.

Abschließend möchte ich gerne noch einen Kommentar zu der Gerüchteküche die entstanden ist abgeben, denn es gibt Gerüchte, wonach wir angeblich seit bis zu 2 Jahren von dieser Lücke gewusst hätten.

Sowas ist natürlich wirklich absoluter Unsinn, warum sollten wir so verrückt sein, eine Sicherheitslücke 2 Jahre bestehen zu lassen, welchen Nutzen sollte das für uns haben, außer Ärger? In Wirklichkeit ist es so, dass die Angriffsmethode die genutzt wurde, vor ca. 2 Jahren allgemein (nicht jetzt uns betreffend) bekannt geworden ist. Wir sind damals sofort hergegangen und haben natürlich Sicherheitsvorkehrungen gegen diese Art Angriff getroffen und nachträglich in unseren Shop implementiert. Leider ist dabei trotz sorgfältiger Vorgehensweise eine einzige Stelle übersehen worden. Das ist natürlich keine Entschuldigung, aber wir sind halt alle nur Menschen, wir haben damals (also vor 2 Jahren) mit mehreren Leuten alle verwundbaren Punkte im Shop abgesucht und wie gesagt vorsorglich abgesichert, dabei wurde wie gesagt leider wirklich eine Stelle übersehen. Die Tatsache, dass die Angriffsmethode seit 2 Jahren bekannt ist und es erst jetzt zu einem derartigen Eklat kommt, beweist auch, dass diese Stelle nicht einfach offensichtlich zu finden war und wir Sicherheit Ernst nehmen, denn sonst wäre längst vorher etwas derartiges passiert. Zum Thema Reaktionsgeschwindigkeit in diesem Fall, möchte ich gerne die Geschichte erzählen, wie sie wirklich war. Ich, als Geschäftsführer, war nämlich, dass erste mal seit Gründung des Shops vor 7 Jahren, für eine Woche im Urlaub. 5-10 min nachdem meine Mitarbeiter von dem Vorfall Kenntnis erlangt haben (und das wohlgemerkt an einem Sonntag!), bekam ich eine SMS, dass es ein Problem gibt und ich mir das anschauen müsste, woraufhin ich wiederum in ca. 5 min den nächsten Internetzugang gesucht habe und die Lücke nach weiteren 10 min geschlossen habe. Sprich statt der Gerüchteweise 2 Jahre, hat es in Wirklichkeit 20-25 min nach Bekanntwerden des Problems gedauert, bis reagiert und die Lücke geschlossen wurde und das trotz Urlaub in einem fernen Land!
Das macht es natürlich nicht besser, dennoch ist es mir wichtig zu zeigen, dass das Thema natürlich Ernst genommen wird und wurde und höchste Priorität hat.

Mit freundlichen Grüßen,
Marc Fettweis

Bankdaten sind da bei mir zwar hinterlegt und es bringt jetzt auch nix die zu änderen, also muss ich jetzt die nächste Zeit auf mein Konto ein wenig mehr achten

[XBU Dirty]

Gabs keine Mail bis jetzt?
Einige Leute haben doch so ne tolle Email bekommen wenn dem so ist frage ich mich warum nicht jeder Kunde diese Email bekommen hat.

Weiß nicht warum, aber ich hab noch keine bekommen obwohl ich gestern eine mail dort hingeschickt habe. Der Laden wird von absoluten Amateuren geführt. Keine Überraschung wenn man schon mal persönlich dort war...

Jetzt ist die Mail da, nachdem mir heute morgen bereits mein Tankwart davon berichtet hat

[XBU Mastermind]

Jetzt ist die Mail da, nachdem mir heute morgen bereits mein Tankwart davon berichtet hat

Man muss es einfach mal so sehen, desto mehr Rummel um die Sache gemacht wird, desto wertloser werden die Daten, da die User entsprechend informiert sind und in den nächsten Wochen und Monaten alles genauestens unter die Lupe nehmen...

Man stelle sich vor, die Daten wären im Umlauf gewesen und keiner weiss davon.....