Informationen zum Fremdzugriff auf Backup-Server [Update]
Yuya Mit großem Bedauern müssen wir euch mitteilen, dass wir Fremdzugriff auf einen unserer Backup-Server festgestellt haben. Obwohl wir höchsten Wert auf Sicherheit unserer Server und eurer Daten legen, kam es nun nach 20 Jahren erstmals dazu. Wir sind sehr bestürzt darüber und haben bereits die Schwachstellen beseitigt und auch alle weiteren Server überprüft. Zum Glück betraf es nur diesen einen Server.
Nachfolgend erklären wir euch, was passiert ist und was ihr tun könnt.
Was ist passiert?
Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen eingespielt und die Firewall nicht korrekt konfiguriert worden.
Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Die Datenbank auf dem betroffenen Server wurde zu einem großen Teil kopiert und anschließend auf dem Server gelöscht.
Es wurden personenbezogene Daten, verschlüsselte Passwörter, ENS (ausgenommen das ENS-Archiv), Steckbriefe, Blogs, Zirkel und so ziemlich alle Inhalte, die aus Text bestehen gestohlen. Bilder und Fotos sowie Dateien, die als ENS-Anhang oder ähnliches hochgeladen wurden, sind nicht betroffen.
Leider konnten wir euch nicht früher informieren, da wir erst die Auflagen der Datenschutzbehörde umsetzen mussten. Alle Mitglieder erhalten in den nächsten Tagen eine E-Mail zu diesem Vorfall.
Was tut Animexx als Konsequenz?
Wir werden den Fall technisch im Detail untersuchen. Der Hack wurde zur Anzeige gebracht. Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Außerdem haben wir den Fall der zuständigen Datenschutzbehörde gemeldet und sind in enger Absprache mit dieser und unserem externen Datenschutzbeauftragten.
Der betroffene Server wurde selbstverständlich sofort abgesichert und ist nicht mehr von außen zugänglich.
Weitere Maßnahmen, die wir umsetzen sind folgende:
- Regelmäßige Security-Audits für alle Systeme, insb. in Hinsicht auf aktuelle Patches und Firewallregeln
- Wir prüfen, inwieweit wir besondere Daten wie die ENS oder Adressdaten in der Datenbank verschlüsseln können. Mit den derzeitigen Funktionen auf Animexx.de würden einige davon nicht mehr funktionieren. Daher müsste dies als optionale Auswahl zur Verfügung gestellt werden
- Ein neues Loginverfahren wurde bereits implementiert, um besseren Schutz zu gewährleisten
Was wurde bisher herausgefunden?
Die Angreifenden scannen das Internet nach Servern mit bestimmten Schwachstellen ab und starten dann üblicherweise ein vorgefertigtes Programm, dass wie oben beschrieben Daten herunterlädt und anschließend löscht und eine Benachrichtigung zurück lässt.
Dieser Angriff richtete sich nicht gezielt gegen Animexx, sondern wurde breit gestreut. Es gibt also kein spezielles Interesse der oder des Angreifenden an unseren Daten - in erster Linie geht es um die Erpressung von Bitcoin/Geld. Für gewöhnlich richten sich diese Angriffe an "Live"-Datenbanken und setzen deren Opfer unter Druck, da die Website/Datenbank dann ausgeschaltet bzw. verschlüsselt wird. In unserem Fall betraf der Hack nicht die Live-Datenbank, sondern ein älteres Backup.
Die Angriffe, die sich nach diesem Schema richten und die eine gleiche, oder stark ähnliche Botschaft der Erpresser beinhalten, finden seit August/September diesen Jahres vielfach im Netz statt.
Welche Auswirkungen hat das?
Die Datenbank hat ein älteres Backup beinhaltet, dass für den laufenden Betrieb nicht mehr benötigt wird. Es sind also keine Bestandteile der Animexx-Seite davon direkt betroffen.
Es ist leider nicht auszuschließen, dass Teile der Datenbank in entsprechenden illegalen Bereichen des Internets veröffentlicht werden. Normalerweise werden vor allem E-Mail-Adressen und Passwörter interessant, weil man damit wiederum gezielt einzelne Personen hacken kann.
Es ist möglich, dass ihr Phishing*-Nachrichten per E-Mail erhalten werdet. Seid bitte besonders aufmerksam!
Der Aufsichtsbehörde liegen nach aktuellem Stand keine Erkenntnisse vor, dass die betroffenen Datensätze bereits missbräuchlich verwendet wurden oder werden. Wird uns oder der Aufsichtsbehörde bewusst, dass sich das ändert, informieren wir euch umgehend.
Sind die Daten verschlüsselt?
Obwohl die Adaption eines stärkeren Hash* Verfahrens zur Sicherung der Passwörter begonnen hatte, konnten wir leider feststellen, dass das ehemals benutzte SHA1-Verfahren zu Kompatibilitätszwecken weiterhin in der Datenbank verfügbar blieb. Die nicht mehr vollkommen sicheren SHA1-Passwörter sind damit dem Nutzerkonto trotz eines solideren, aktuelleren Hashes zuordenbar. Die Gefahr der Entschlüsselung von Passwörtern ist gegeben. Wir empfehlen allen Mitgliedern ihre Passwörter zur Sicherheit zu ändern und nirgends die gleichen Passwörter zu verwenden.
Mitglieder, die TOFU nutzen, haben die Möglichkeit, für eine Bank-Lastschrift ihre Kontodaten zu hinterlegen. Die Kontodaten sind auf dem Server nur verschlüsselt hinterlegt und können nur in der Buchhaltung lokal entschlüsselt werden.
Für alle anderen Daten bieten wir kein verschlüsseltes Verfahren an, diese könnten also ggf. in falsche Hände geraten. Betroffen sind hiervon unter anderem Adressdaten oder ENS.
Was ist nicht betroffen?
Es wurden ausschließlich Daten die in der Datenbank gespeichert waren entwendet. Nicht betroffen sind also alle Arten von Bildern/Fotos/Dateien.
Alle Daten, die nach dem 30. Juli 2019 angelegt wurden, sind ebenfalls nicht betroffen.
Was könnt/müsst ihr tun?
Wie immer bei ähnlichen Vorfällen sind diese Punkte zu nennen:
- Das Animexx-Passwort zeitnah ändern
- Passwörter auf keinen Fall mehrfach für verschiedene Websites und/oder Apps verwenden. Bereits kleine Abwandlungen helfen
- Keine kurzen und einfachen Passwörter verwenden (es wird oft dazu geraten, dass Passwörter mindestens 15 Zeichen enthalten sollen und eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen beinhalten sollen)
- Der persönliche E-Mail-Account ist zentral wichtig und sollte besonders gut abgesichert werden. Solltet ihr das gleiche Passwort bei Animexx und eurem E-Mailaccount verwenden, ändert umgehend das Passwort eures E-Mailaccounts!
Haben die Loginprobleme vor kurzem damit zu tun?
Nein, das steht nicht im Zusammenhang. Es bestand hierbei zu keiner Zeit eine Sicherheitslücke.
Wohin kann ich mich bei Fragen wenden?
Wir werden versuchen alle eure Fragen zu beantworten. Bitte habt Verständnis dafür, dass wir nicht jedem sofort antworten können. Schreibt uns bitte direkt an die für diesen Fall eingerichtete Helpdesk-Box, damit nichts untergeht: https://www.animexx.de/helpdesk/?pre_bereich=dsgvo oder per E-Mail an info@animexx.de
Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Animexx e.V. ist:
a.s.k. Datenschutz e.K.
Schulstraße 16a
91245 Simmelsdorf
Deutschland
Tel.: +49 9155 263 99 70
E-Mail: extdsb@ask-datenschutz.de
Website: www.ask-datenschutz.de
Jede betroffene Person kann sich jederzeit bei allen Fragen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.
[Update 17.12.19]
Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.
Was kann ich tun, wenn ich keinen Zugriff mehr auf meine E-Mailadresse habe?
Meldet euch bitte direkt im Helpdesk oder per E-Mail an info@animexx.de mit eurem Benutzernamen, einer neuen E-Mailadresse und einem Scan/Foto von eurem Ausweis. Die Daten werden dann mit euren Angaben auf dem Account verglichen. Sind sie identisch, wird die neue E-Mailadresse eingetragen. Die Ausweisscans/Fotos werden von uns anschließend zeitnah gelöscht.
Das neue Passwort wird nicht angenommen, was kann ich tun?
Klappt die Eingabe des Passwortes nicht, obwohl ihr es schon mehrfach versucht habt und sicher seid, dass sich kein Vertipper eingeschlichen hat: Versucht es bitte einzutippen und nicht zu kopieren und einzufügen. Das kann in manchen Fällen helfen. Bitte habt etwas Geduld, sollte es mit dem Eintippen nicht funktioniert haben. Unser Technik-Team versucht weiterhin eine Lösung zu finden.
Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?
Wir bearbeiten die Anfragen schnellstmöglich. Aufgrund der Menge kann die Bearbeitungszeit variieren. Solltet ihr innerhalb von 24 Stunden keine Antwort erhalten haben, meldet euch bitte nochmal bei uns. Die Nachricht kam dann vermutlich nicht bei uns an. Über die Feiertage können wir leider nur eingeschränkt eure Anfragen bearbeiten. Bitte habt Verständnis dafür, dass sich die Bearbeitungszeit also deutlich erhöhen kann. Wir versuchen dennoch euch so schnell es geht weiterzuhelfen.
[Update 24.12.19]
Ergänzung zu "Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?": Bearbeitungszeit über die Feiertage wird erhöht sein, wir bitten um Verständnis.
Die E-Mail um das Passwort zurückzusetzen kam zweimal an, ist das Phishing?
Nein, wir versenden diese E-Mails von zwei Providern aus, um die Zustellung an euer Mail-Postfach sicherzustellen. Es ist also alles in Ordung, wenn ihr die gleiche Mail zweimal erhaltet. Solltet ihr dennoch unsicher sein, könnt uns gerne die betreffenden Mails weiterleiten, damit wir sie einmal prüfen können. Ihr erreicht uns über die oben genannten Kontaktwege.
*Phishing: Beschaffung persönlicher Daten anderer Personen mit gefälschten E-Mails oder Websites, um bspw. das Konto zu plündern. Siehe https://de.wikipedia.org/wiki/Phishing
*Hash: Unter einem Hash versteht man ein kryptographisches Einwegverfahren welches erlaubt Daten miteinander zu vergleichen, ohne den Inhalt zu kennen. Das Verfahren ist dabei nicht umkehrbar. Sozusagen eine Verschlüsselung ohne Umkehr. Im Fall von einem Passwort vergleichen wir immer jeweils nur die Hashes und nicht das Passwort selbst. Siehe https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion
*applaus* besser kann man es nicht sagen. Und wenn ich diese Naivität einiger User hier Nachlese, kann man nur traurig den Kopf schütteln. Es ist schlimm genug, das dem Glauben geschenkt wird, was angeblich sofort und wie und warum getan wurde, aber das wesentliche wird unter den Tisch gekehrt. Nein, ich wiederhole hier jetzt nicht nochmal was schon mehr als einmal serviert wurde. Leute, denkt doch mal ein bisschen nach.
Mexx, mach weiter so und du verlierst einen weiteren, seit mehr also 10 Jahren, aktiven user. Die Leute müssten euch scharenweise davonlaufen.....
Nein, mal ehrlich:
Was bringt es, sich weiter darüber aufzuregen? Es ist passiert. Es ist ärgerlich. Aber nicht nur für die einzelnen User, sondern auch für jeden aus der Leitung. Denn immerhin waren es auch deren Daten ;)
Also, wieso sollten sie sich nicht genauso ärgern dass es passiert ist? Darüber denkt wohl keiner nach.
Ich gebe zu, ich hab mich auch geärgert und bin direkt durch meine Mails durchgegangen, doch wer weiß wo man überall angemeldet ist und es nicht zugegeben wird, wenn da mal ein Sicherheitsleck ist.
Du bist kein Mensch, Dante, du wirst nie einer sein!
Ich hab dich geliebt Bruder...
> Was bringt es, sich weiter darüber aufzuregen? Es ist passiert.
Es hätte aber nicht passieren dürfen. So wie ich die Situationsbeschreibung deute, als jemand der selbst schonmal beruflich mit Servern arbeitete, war das ganze zu einhundert prozent vermeidbar.
Wenn du in eine neue Wohnung ziehen würdest, dann wäre doch sicherlich das erste sicherzustellen, dass die Wohnung auch Türen und Fenster hat, oder? Weil ansonsten wäre nach nur einer Nacht gleich alles wieder weg, was du dort reinstellst. Der Backup-Server stellte für einen nicht näher erläuterten Zeitraum diese Fenster- und Türlose Wohnung dar, und unsere Daten waren es, die darin lagen.. und zu dem Zeitpunkt, in dem der Server ohne Firewall und mit einem veralteten OS wieder in Betrieb genommen wurde, da hätten sich diese Daten nicht darauf befinden dürfen.
Sich darüber aufzuregen ist also legitim, denn.. sowas darf es nicht geben. Die Sicherheitseinstellungen vor dem Aufspielen personenbezogener Daten vorzunehmen, das ist eine absolute Grundlage. Jeder, der einen Server verwendet sollte das wissen. Im professionellen Umfeld kann man für sowas u.U. sogar eine fristlose Kündigung kassieren, und das zu recht.
Oh, und über die Leitung regt sich hier denke ich auch niemand auf. Die Techniker dürften das Ziel des Zorns sein.. denn die hätten es echt besser wissen müssen.
Was ist passiert?
> Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht
> wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen
> eingespielt und die Firewall nicht korrekt konfiguriert worden.
> Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort
> daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen
> Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir
> können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Deine Aussage: "Der "Einbruch" auf dem Server wurde durch den defekt an selbigem leider erst später festgestellt. Leider auch, das die Firewall an diesem nicht richtig arbeitete - was sie hätte sollen. Eine Überprüfung der anderen Server hat ergeben, das dort dieses Problem nicht vorlag. Das konkrete Problem resultierte aus der nicht richtig greifenden Firewall und einem darauf folgendem Brute Force. Nicht aus Sicherheitslücken in der Server Software. Die Firewall wurde zu keinem Zeitpunkt von uns deaktiviert.".
Nichts für ungut, aber das was im Blog steht und das was du da nun schreibst, das widerspricht einander. Und ich würde eine Firewall, die nicht richtig arbeitet, durchaus als eine Sicherheitslücke in der Server-Software bezeichnen. Ob sie nun aktiv war oder nicht, wenn man sie nicht so konfigurierte, dass sie vernünftig arbeitet.. dann macht das keinerlei Unterschied.
Aber nur mal so als kleinder Tipp am Rande: Sobald nun mehrere Teammitglieder grundverschiedene Geschichten verbreiten, die das Zustandekommen der Situation erklären sollen.. dann büßt das Animexx-Team am Ende nur das Vertrauen der User hier ein. Die Wahrheit verändert sich nicht. Ändern sich aber Geschichten, dann fängt das an Glaubwürdigkeit zu kosten.
Wert auf Privatsphäre sowie Datenschutz lege.
Ich habe von diesem Vorfall mein Passwort zweimal geändert wie von euch gefordert.
Ich wüsche euch guten Schutz sowie gesegnete Tage!
Wenn doch der Angriff schon im November war!
Da frag ich mich doch, warum wir nicht sofort darüber unterrichtet wurden?
Statt dessen dann gestern diese Aktion, wo Tausende von User ein neues Passwort abrufen müssen. Wäre es nicht besser gewesen, uns gleich zu informieren und uns Aufzuforden unsere Passwörte zu ändern? Aber nein man lässt uns im Ungewissen und das finde ich SCH..., das dürft ihr mir glauben.
Vier Wochen fast ist der Angriff her, in dieser Zeit können unser geklauten Daten, Passwörter sonst wo sein, aber wir erfahren erst gestern davon. Das ist es was mich an diesem Vorfall der ja vermeidbar gewesen wäre, wie ich lesen durfte, so der maßen Aufregt.
So das wars was ich dazu zu sagen habe. Klar das auch die Daten der Leitung mit dabei sind.
Aber sorry Leute ich mach einmal in der Woche einen Scann, außerdem sagt mir meine Firewall wann ich jemand versucht hat auf Daten zuzugreifen. Warum Funktioniert das bei euch Profis nicht. Ich bin laut einer Aussage hier nur ein Naiver User.
Auf Grund der Auflagen der Datenschutzbehörde war es nicht möglich die User vorher zu informieren. Gerne hätten wir es getan, aber wir müssen uns an die Anweisungen der Behörde und der Polizei halten.
Nachdem die geforderten Auflagen erfüllt worden sind, wurde die Userschaft umgehend mit dem obigen Blog informiert.
ihr habt das super geregelt und ich bin schwer beeindruckt von der Kompetenz, die ihr zeigt. Macht weiter so!
from time to time there's mistakes we have to make
To learn new things, to find new paths.
Only heart remains.
Jetzt ist halt das beste Vorgehen, es in Zukunft besser zu machen.
Jemand oder mehrere von den Technikern hat/haben da gewaltigen Mist gebaut. Das war keine unvorhersehbare Sache. Hier geht es um Fahrlässigkeit. Es hat für mich ein bisschen etwas von so einer: "Wir machen doch alles nur aus Spaß und nicht als Beruf, deswegen muss man das nicht so eng sehen"-Einstellungen. Doch, muss man. Jede Aufgabe geht immer mit Verantwortlichkeit einher.
Ich habe ehrlich gesagt nur darauf gewartet, dass mal irgendein Projekt aus der Anime/Manga-Szene gewaltig Stress kriegt wegen solcher Verantwortlungslosigkeit. Denn leider sind es nicht gerade wenige Projekte (bzw. Einzelpersonen aus deren Teams), die aus z.B. Verantwortungslosigkeit, Inkompetenz, oder auch Selbstüberschätzung ähnlichen Mist verzapfen.
Anime-Flohmarkt - 1. Feburar 2020, Berlin - Meldet euch für einen Stand an!
Was ich aus euren ganzen Postings rauslese:
- Der SSH Port war nach außen erreichbar, den man üblicherweise dicht macht.
- Es gab einen Bruteforce (gibt eine riesige Liste an Wörtern, beliebte Passwörter, die durch probiert werden) was auf mehrere Möglichkeiten hindeutet: Das Passwort war schwach genug, die Anzahl der Anmeldeversuche in einer gewissen Zeit so gering, dass es nicht erkannt wurde oder es keine oder nur eine unzureichende Rate Limitierung (Limitierung der Anmeldeversuche) gab. Was erst ermöglicht hat, dass sich jemand Adminzugang erschleichen konnte. Das hat nichts mit Verschlüsselung zutun und kommt noch on top.
- IDS/IPS gab es nicht, weshalb nicht erkannt wurde, dass gerade eine sehr große Menge an Daten kopiert wurde (was auf einen solchen Vorfall deutet).
- Passwörter wurden mit einem Algorhytmus abgelegt, der sich schon lange nicht mehr zur Verschlüsselung eignet. SHA-1 ist heutzutage keine Verschlüsselung mehr, man kann es lediglich noch fürs hashen verwenden.
Da muss ich mich doch nun fragen:
- Wie könnt ihr nun garantieren, dass nur die Datenbank abgeflossen ist?
- Hatte ein Fremder direkten Serverzugriff? Was bedeuten würde, dass er noch weitaus mehr Unsinn anstellen hätte können, oder vielleicht sogar gemacht hat? Falls dem so ist, könnt ihr nicht garantieren, dass nicht mehr Daten kopiert worden sind.
- Was hat eine Schnittstelle einer Drittanbietersoftware mit der Verschlüsselung der Passwörter zutun? Fließen da Passwörter ab?
Meine daraus resultierende Schlussfolgerung:
Ihr habt ganz klar fahrlässig gehandelt und versucht euch jetzt um Kopf und Kragen zu reden, denn diese Misere wäre vermeidbar gewesen.
Meines Wissens nach (kann man im Gesetz auch nachlesen) muss man eine solche „Datenpanne“ sowohl der zuständigen Behörde melden als auch den Betroffenen selbst. Vor allem dann wenn auch nur die Möglichkeit besteht, dass z.B. empfindliche Daten wie Bankverbindungen in ENS ebenfalls kopiert worden und somit in die Hände unbefugter Dritter gelangt sind.
Irgendwie kann ich mir das nicht so recht vorstellen, dass da fast ein Monat rumgehampelt wird bis man mal mit der Sprache rausrückt, dass „da was passiert ist“. In der Zeit kann bei Leuten, die tatsächlich das gleiche Passwort bei unterschiedlichen Seiten benutzen enormer Schaden entstehen. Von daher kann ich auch dieses Larifari-Schönreden mancher User hier nicht verstehen. Ist ja nicht so, als hätte man einem User den Lolli geklaut....
Ich lasse mich sehr gerne eines Besseren belehren, aber wenn das schon so im Gesetzestext steht, erscheint mir das ganze schon wieder mehr als merkwürdig.
Unter anderem bestand die Auflage ein neues Login-Verfahren zu implementieren, um besseren Schutz zu gewährleisten.
> Letzte Antwort für heute(Montag):
>
> catastrophe:
> > > Es ist schon echt stümperhaft bei SHA-1 von einer effektiven Verschlüsselung zu reden. Bereits 2005 wurde der Algorhytmus geknackt, was - wenn ich mich nicht verrechne - mittlerweile 14 ! Jahre her ist.
Immer mit der Ruhe. Ein Algorithmus ist geknackt, sobald eine Methode gibt, die schneller als Bruteforce ist. Das ist bei SHA1 der Fall. Soweit ich mich erinnere wird das Geburtstagsparadox ausgenutzt. Der Angriff ist nicht sehr praktikabel und erfordert zudem einen Hochleistungsrechner (damit meine ich keinen Gamer PC ^^). Zudem müssen mehrere Gigabyte an Daten aus dem laufenden Verkehr abgegriffen werden. Das ist bei YouTube im Nu erledigt, wenn du hier nur RPGs spielst und dich dann ausloggst, ein absurder Aufwand. Deshalb ist SHA1 noch häufiger in Gebrauch. Das ist zwar nicht sinnvoll, aber in vielen Fällen unkritisch.
Es gibt ein paar Fälle wo SHA1 knacken schneller geht: Wenn du z.B. den Namen einer südamerikanischen Gottheit oder ein Fabelwesen genommen hast - denn schneller ist eine Methode die 25% des Passworts knackt - Quetzalcoatl ist mit drei oder vier bekannten Buchstaben schon erratbar. Ein Quetzalcoatl42 umginge das Problem u.U. bereits.
Es ist also nicht sinnvoll so alte Verschlüsselung noch zu verwenden, aber oftmals auch kein großes Problem.
> Miel:
>
> Unter anderem bestand die Auflage ein neues Login-Verfahren zu implementieren, um besseren Schutz zu gewährleisten.
>
>
Das erscheint mir trotzdem nicht sinnvoll. Das kann man auch nach dem Informieren der Betroffenen machen.
Die beiden Dinge hängen halt mal so überhaupt nicht zusammen. Es klingt einfach absolut unsinnig zu sagen „Ja, ihr dürft den Leuten, deren Daten möglicherweise jetzt sonst wohin verkauft werden aber erst dann Bescheid sagen, dass die Daten geklaut wurden, wenn ihr ein neues Login-Verfahren habt.“
Ich weiß ja nicht wie das in anderen Ohren klingt... aber ich finde das nicht in Ordnung. Sollte das wirklich so gewesen sein, finde ich das auch ne ziemliche Dreistigkeit der Behörde, die dann ihren Namen eigentlich ad absurdum geführt hat.
>
> > Was bringt es, sich weiter darüber aufzuregen? Es ist passiert.
> Es hätte aber nicht passieren dürfen. So wie ich die Situationsbeschreibung deute, als jemand der selbst schonmal beruflich mit Servern arbeitete, war das ganze zu einhundert prozent vermeidbar.
Stimmt es war vermeidbar und hätte nicht passieren dürfen aber das ist es leider. Da widerspricht auch keiner.
>
> Wenn du in eine neue Wohnung ziehen würdest, dann wäre doch sicherlich das erste sicherzustellen, dass die Wohnung auch Türen und Fenster hat, oder? Weil ansonsten wäre nach nur einer Nacht gleich alles wieder weg, was du dort reinstellst. Der Backup-Server stellte für einen nicht näher erläuterten Zeitraum diese Fenster- und Türlose Wohnung dar, und unsere Daten waren es, die darin lagen.. und zu dem Zeitpunkt, in dem der Server ohne Firewall und mit einem veralteten OS wieder in Betrieb genommen wurde, da hätten sich diese Daten nicht darauf befinden dürfen.
Dein vergleich hinkt doch stark...
Fensterlos und Türlos würde heißen es gab keinerlei Schutz, sprich kein Passwort, kein Benutzer kein gar nix.
Das war nicht der Fall.
Der vergleich müsste eher sein. Man war im Urlaub und der Einbrecher ist mit ner Brechstange in die verschlossene Wohnung eingestiegen.
>
> Sich darüber aufzuregen ist also legitim, denn.. sowas darf es nicht geben. Die Sicherheitseinstellungen vor dem Aufspielen personenbezogener Daten vorzunehmen, das ist eine absolute Grundlage. Jeder, der einen Server verwendet sollte das wissen. Im professionellen Umfeld kann man für sowas u.U. sogar eine fristlose Kündigung kassieren, und das zu recht.
Da müsste man schon grob Fahrlässig handeln und auch dann wäre eine Kündigung alleine aus dem Grund eher schwierig.
Dabei geht es dann erstmal um Prozesse die umzusetzen sind und nicht darum das arme Schwein was am ende der Kette ist zu treten. Wäre schön hier mal eine Versachlichung des Themas zu sehen. Ich verstehe den Unmut aber das hilft hier auch nicht weiter.
>
> Oh, und über die Leitung regt sich hier denke ich auch niemand auf. Die Techniker dürften das Ziel des Zorns sein.. denn die hätten es echt besser wissen müssen.
Es werden Konsequenzen daraus gezogen werden um zukünftig so etwas zu verhindern.
Sarkana:
Danke für die Erläuterungen.
Motome Subs - Purikura
Das es noch effektiv benutzt wird, wage ich zu bezweifeln. Nicht für die Verschlüsselung, maximal zum hashen und auch nur MIT Salt und Pepper.
Was passt denn deiner Ansicht nach nicht zusammen? Wir können gerne versuchen das aufzuklären, wir sehen allerdings nicht, wo wir uns widersprochen haben sollen. :/
Die Server wurden, wie im Blog schon geschrieben, überprüft. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Die Datenpanne ist passiert und wir haben dies öffentlich gemacht, sobald wir das tun durften. Wir versuchen nicht uns herauszureden, denn die Panne ist - für jeden hier ersichtlich - passiert. Da gibt es nichts, was man schön reden kann und müsste. Wir sind ebenfalls bestürzt darüber und werden unser bestes geben, dass sich so ein Vorfall nicht wiederholt. Welche Maßnahmen wir dafür vorsehen, steht ja ebenfalls im Blog.
Miel
Eine Auflage war, dass wir ein neues sichereres Loginverfahren implementieren sollten, bevor wir benachrichtigen dürfen. Wäre das alte Loginverfahren weiter verwendet worden, hättet ihr zwar eure Passwörter geändert, dann wären sie neben der stärkeren Verschlüsselung zusätzlich als SHA1 abgelegt worden.
Ihr könnt gerne unseren Datenschutzbeauftragen kontaktieren, wenn ihr Zweifel daran habt. Die Kontaktdaten stehen ebenfalls oben im Blog.
In meinem Passwort hatte ich ein _ als Sonderzeichen verwendet. Dieses wurde auch mit einem Grünem "Nutze mindestens ein Sonderzeichen" bestätigt.
Sobald ich es abgeschickt hatte bekam ich allerdings die Fehlermeldung "Das Passwort entspricht nicht den Vorgaben". Erst als ich den _ durch ein anderes Sonderzeichen ersetzte wurde es angenommen.
> Stimmt es war vermeidbar und hätte nicht passieren dürfen aber das ist es leider.
Und das ist alles, was das Animexx dazu sagt. "Shit happens", hm? Knapp 200.000 Userdaten befinden sich nun wenn wir Pech haben im Darknet, vielleicht sind sogar schon betroffene User auf Phishing- oder Erpressungsmails hineingefallen, oder vielleicht sind sogar noch weitere externe Accounts zwischenzeitlich kompromittiert worden. Aber ja, "shit happens", hm?
Ich selbst bekam wenn ich so darüber nachdenke vor rund drei Wochen selbst eine Erpressungs-Mail. Nun frage ich mich natürlich, ob ich die eurem Backup-Server zu verdanken habe.
> Der vergleich müsste eher sein. Man war im Urlaub und der Einbrecher ist mit ner Brechstange in die verschlossene Wohnung eingestiegen.
Wieso? Lief der Server über einen längeren Zeitraum (Urlaub), ohne dass die Firewall richtig funktionierte? Aber gut, ich gebe dir die Tür und der Brechstange. Neuere Türen gehen damit ja für gewöhnlich ganz fix auf, darum macht das keinen so großen Unterschied :-)
> Da müsste man schon grob Fahrlässig handeln und auch dann wäre eine Kündigung alleine aus dem Grund eher schwierig.
Also auf mich wirkt die Situation grob fahrlässig.
> Dabei geht es dann erstmal um Prozesse die umzusetzen sind und nicht darum das arme Schwein was am ende der Kette ist zu treten. Wäre schön hier mal eine Versachlichung des Themas zu sehen. Ich verstehe den Unmut aber das hilft hier auch nicht weiter.
Deine "Shit happens, move on!"-Mentalität tuts aber auch nicht. Das was hier passierte ist keine Kleinigkeit. Das Animexx baute ganz dick scheisse, und die Betroffenen verdienen dafür weit mehr als ein "passiert ist passiert". Überleg dir doch selbst mal was für Daten hier alles betroffen sein könnten. Wie ich gelesen habe gibt es hier sogar Leute, deren Bank-Daten in ENS' fielen.. d.h. auch Bankdaten sind von diesem Hack betroffen.
Das hier ist nicht für alle mit einer kleinen Passwortänderung vom Tisch. Das was hier passierte kann für manche einen riesen Schaden bedeuten, und das nicht nur aus finanzieller Sicht. Mit "shit happens, und nun seid alle wieder nett zu uns" ists da einfach nicht getan. Dafür sind die Dimensionen des ganzen einfach zu groß.
> Miel
> Eine Auflage war, dass wir ein neues sichereres Loginverfahren implementieren sollten, bevor wir benachrichtigen dürfen. Wäre das alte Loginverfahren weiter verwendet worden, hättet ihr zwar eure Passwörter geändert, dann wären sie neben der stärkeren Verschlüsselung zusätzlich als SHA1 abgelegt worden.
>
> Ihr könnt gerne unseren Datenschutzbeauftragen kontaktieren, wenn ihr Zweifel daran habt. Die Kontaktdaten stehen ebenfalls oben im Blog.
Um den direkten Login bei Mexx geht es mir gerade gar nicht. Wie schon gesagt, es gibt Leute, die dieses Passwort auch anderweitig benutzen. Das macht nicht jeder, aber man muss davon ausgehen, dass es jemand tut.
Gehen wir mal im schlimmsten Fall davon aus, jemand benutzt das gleiche Passwort von Mexx auch für Paypal oder einen sonstigen wichtigen Service. Dann hatten diese Hacker knapp 4 Wochen Zeit sich damit zu verlustieren weil man der Meinung war, diese Information zurückzuhalten zu müssen bis auf EINER Seite das Login sicherer ist.
Hätte man vorher den Mund aufgemacht bzw. aufmachen dürfen, hätte die Person wenigstens Gelegenheit gehabt, die übrigen Passwörter schnellstmöglich zu ändern.
DAS ist was mir extrem sauer aufstößt. Da hilft mir auch kein nachträgliches „Ja, aber ist ja nix passiert“. Es ist einfach grob fahrlässiges Verhalten im Umgang mit Daten und mal wieder ein fetter Tritt gegen das Vertrauenspodest.
> Und das ist alles, was das Animexx dazu sagt. "Shit happens", hm? Knapp 200.000 Userdaten befinden sich nun wenn wir Pech haben im Darknet, vielleicht sind sogar schon betroffene User auf Phishing- oder Erpressungsmails hineingefallen, oder vielleicht sind sogar noch weitere externe Accounts zwischenzeitlich kompromittiert worden. Aber ja, "shit happens", hm?
Was Teian sagen wollte ist sicherlich nicht shit happens. Er wollte bestätigen, dass der Fehler bei uns lag und wir bedauern, dass wir diesen nicht revidieren können, obwohl wir es gerne würden. Wir finden es alle schlimm, dass das passiert ist und niemand möchte da eine Wiederholung. Ich denke, das war ein Schock für alle und wir werden zukünftig noch besser acht geben.
> Bei mir ist ein kleiner Fahler aufgetreten als ich das Passwort ändern wollte:
> In meinem Passwort hatte ich ein _ als Sonderzeichen verwendet. Dieses wurde auch mit einem Grünem "Nutze mindestens ein Sonderzeichen" bestätigt.
> Sobald ich es abgeschickt hatte bekam ich allerdings die Fehlermeldung "Das Passwort entspricht nicht den Vorgaben". Erst als ich den _ durch ein anderes Sonderzeichen ersetzte wurde es angenommen.
Danke für deine Meldung. :) Ich habe den Fall direkt an die Techniker weiter geleitet. Möglicherweise lässt sich damit etwas heraus finden.
> Das hier ist nicht für alle mit einer kleinen Passwortänderung vom Tisch. Das was hier passierte kann für manche einen riesen Schaden bedeuten, und das nicht nur aus finanzieller Sicht. Mit "shit happens, und nun seid alle wieder nett zu uns" ists da einfach nicht getan. Dafür sind die Dimensionen des ganzen einfach zu groß.
Ja aber was soll denn gemacht werden? Es wurde doch das Problem beseitigt. Mehr kann man nicht tun. Es ist schwerlich, das Problem zu beseitigen, dessen Konsequenzen derzeit ja nicht einmal klar sind.
Natürlich ärgerlich, natürlich bedenklich. Aber trotzdessen kann man doch nicht mehr machen. Es wurde doch jetzt mehrfach gesagt, dass die Sicherheitsprobleme behoben wurden. Was sollen sie denn deiner Meinung nach noch machen? Oder erwartest du eine Entschädigung?
Du bist kein Mensch, Dante, du wirst nie einer sein!
Ich hab dich geliebt Bruder...
Davon abgesehen kann man das nun leider auch nicht mehr rückgängig machen. Und so wies aussieht wurde das Netz dieses Jahr auf Lücken dieser Art systematisch durchkämmt. Das Team tut aktuell alles um Schadensbegrenzung zu betreiben. Und wo ich mich bedanken möchte ist dass das durchgezogen wird und keiner das Ehrenamt niedergelegt hat. Wenn die Technik nicht mehr läuft kann die Seite dicht machen.
Außerdem weiß ich, dass zumindest im CM-Team eine Person ist, die die User informieren würde wenn Unwahrheiten aufgetischt worden wären. Das wurde in der Theorie öffentlich diskutiert, deswegen erwähne ich das mal. Ich fands damals ungelogen nicht gut, aber hier kann ich nun denke ich sagen dass User nicht verarscht werden. Ich schätze das Team auch als sehr ehrlich ein. Es ist auch keinem geholfen zu lügen wenn Anzeige erstattet wurde.
Unmut kann ich verstehen. Die Situation ist mies und geschockt sind wir alle. Aber ich fände es gut wenn bei Anschuldigungen auch fair geblieben wird. Das löst nämlich, bei mir zumindest, Panik aus. Und ich versteh nicht was jetzt erwartet wird..
> Hätte man vorher den Mund aufgemacht bzw. aufmachen dürfen, hätte die Person wenigstens Gelegenheit gehabt, die übrigen Passwörter schnellstmöglich zu ändern.
> DAS ist was mir extrem sauer aufstößt. Da hilft mir auch kein nachträgliches „Ja, aber ist ja nix passiert“. Es ist einfach grob fahrlässiges Verhalten im Umgang mit Daten und mal wieder ein fetter Tritt gegen das Vertrauenspodest.
Das verhindert aber die dafür zuständige Behörde - so bescheuert das auch ist.
Die Polizei will dann auch noch Beweise sichern und was weiß ich was die sonst noch machen.
Das ist aber eine Sache, an der nicht Animexx schuld ist. Sie haben sich [zugegeben, nachdem Techniker großen Mist gebaut haben] an das gehalten, an was sie sich halten mussten.
Wenn man mal in die Vergangenheit schaut, sind vier Wochen sogar noch schnell. Wenn ich mich da an andere Fälle erinnere, waren teilweise ein bis zwei Jahre vergangen, bis den Usern gesagt wurde, das zB Kreditkartendaten gestohlen worden waren.
Und natürlich ist das alles keine Entschuldigung.
Aber was soll Animexx deswegen jetzt machen, außer dem, was sie bereits getan haben?
> Mexx rät ja von privaten Anzeigen ab, aber wenn dann doch plötzlich bemerkt das die eigenen Daten missbraucht werden, wird das ja erlaubt sein, oder? (man kann nur hoffen das es nicht passiert)
> Denn einfach nur abzuwarten und nicht zu reagieren, kann dann auch nicht der beste Weg sein.
Das mit der Anzeige hat uns die Kripo Gesagt, unsere Anzeige läuft schon. mehr Anzeigen zum selben Thema nix bringen,außer mehr arbeit für sie, so das sie weniger zeit für die Ermittlung haben und es somit Noch Länger dauert. Deshalb hat uns die Polizei gebeten die User Hinzuweisen das nicht zu machen
> Miel:
> > Hätte man vorher den Mund aufgemacht bzw. aufmachen dürfen, hätte die Person wenigstens Gelegenheit gehabt, die übrigen Passwörter schnellstmöglich zu ändern.
> > DAS ist was mir extrem sauer aufstößt. Da hilft mir auch kein nachträgliches „Ja, aber ist ja nix passiert“. Es ist einfach grob fahrlässiges Verhalten im Umgang mit Daten und mal wieder ein fetter Tritt gegen das Vertrauenspodest.
>
>
> Das verhindert aber die dafür zuständige Behörde - so bescheuert das auch ist.
> Die Polizei will dann auch noch Beweise sichern und was weiß ich was die sonst noch machen.
> Das ist aber eine Sache, an der nicht Animexx schuld ist. Sie haben sich [zugegeben, nachdem Techniker großen Mist gebaut haben] an das gehalten, an was sie sich halten mussten.
> Wenn man mal in die Vergangenheit schaut, sind vier Wochen sogar noch schnell. Wenn ich mich da an andere Fälle erinnere, waren teilweise ein bis zwei Jahre vergangen, bis den Usern gesagt wurde, das zB Kreditkartendaten gestohlen worden waren.
>
> Und natürlich ist das alles keine Entschuldigung, aber es ging nun einmal auch nicht anders.
> Aber was soll Animexx deswegen jetzt machen, außer dem, was sie bereits getan haben?
>
Deswegen habe ich oben auch dazu geschrieben dass ich es von der Behörde dreist und absurd finde.
Trotzdem ist und bleibt das mit dem Server fahrlässig. Da gibt’s kein Drumherumreden. Und ich denke, dass man genau das versucht (mal wieder) wird einige ärgern. Und ja, irgendjemand hat vorhin die Fahrlässigkeit bestritten, soviel dazu.
Ich hab jedenfalls meine Meinung dazu gesagt. Und Antworten auf meine Fragen bekommen. Damit bin ICH zumindest erstmal zufrieden.
Wurden diese Daten auch geklaut?!
> Dokuganryu:
> > Mexx rät ja von privaten Anzeigen ab, aber wenn dann doch plötzlich bemerkt das die eigenen Daten missbraucht werden, wird das ja erlaubt sein, oder? (man kann nur hoffen das es nicht passiert)
> > Denn einfach nur abzuwarten und nicht zu reagieren, kann dann auch nicht der beste Weg sein.
>
> Das mit der Anzeige hat uns die Kripo Gesagt, unsere Anzeige läuft schon. mehr Anzeigen zum selben Thema nix bringen,außer mehr arbeit für sie, so das sie weniger zeit für die Ermittlung haben und es somit Noch Länger dauert. Deshalb hat uns die Polizei gebeten die User Hinzuweisen das nicht zu machen
Lore, ich glaub, du hast da was missverstanden. Die Frage war, ob man selbst Anzeige erstatten darf, sollten die Daten missbraucht werden und man merkt das. Natürlich ist das erlaubt dann Anzeige zu erstatten.
> Hab ich ein Glück dass ich mein mexx-passwort über zehn Jahre nicht geändert hatte und es auf keiner anderen Plattform mehr verwendete //D war aber auch alles Andere als sicher.
> Aber das Ganze gibt mir zu denken, dass ich vielleicht doch nicht auf 90% der Seiten wo ich angemeldet bin das gleiche pw verwenden sollte, gerade bei email und paypal :///
> morgen mal überall pws erneuern und irgendwo aufschreiben.
Ich kann dir https://keepassxc.org/ empfehlen Da kannst du die Passwörter Verschlüsselt abspeichern.
Es gibt nen Browser Plugin das dan die daten an den Browser übergibt. Fürs Handy gibt es dan auch ein Tool das die Datei lesen kann so das man seine Passwörter Immer dabei hat.
Tool Ist Kostenlos, es gibt auch tools die Noch einfacher zu bedienen sind (1password z.b.) Aber die Kosten meist was.