Informationen zum Fremdzugriff auf Backup-Server [Update]
Yuya Mit großem Bedauern müssen wir euch mitteilen, dass wir Fremdzugriff auf einen unserer Backup-Server festgestellt haben. Obwohl wir höchsten Wert auf Sicherheit unserer Server und eurer Daten legen, kam es nun nach 20 Jahren erstmals dazu. Wir sind sehr bestürzt darüber und haben bereits die Schwachstellen beseitigt und auch alle weiteren Server überprüft. Zum Glück betraf es nur diesen einen Server.
Nachfolgend erklären wir euch, was passiert ist und was ihr tun könnt.
Was ist passiert?
Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen eingespielt und die Firewall nicht korrekt konfiguriert worden.
Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Die Datenbank auf dem betroffenen Server wurde zu einem großen Teil kopiert und anschließend auf dem Server gelöscht.
Es wurden personenbezogene Daten, verschlüsselte Passwörter, ENS (ausgenommen das ENS-Archiv), Steckbriefe, Blogs, Zirkel und so ziemlich alle Inhalte, die aus Text bestehen gestohlen. Bilder und Fotos sowie Dateien, die als ENS-Anhang oder ähnliches hochgeladen wurden, sind nicht betroffen.
Leider konnten wir euch nicht früher informieren, da wir erst die Auflagen der Datenschutzbehörde umsetzen mussten. Alle Mitglieder erhalten in den nächsten Tagen eine E-Mail zu diesem Vorfall.
Was tut Animexx als Konsequenz?
Wir werden den Fall technisch im Detail untersuchen. Der Hack wurde zur Anzeige gebracht. Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Außerdem haben wir den Fall der zuständigen Datenschutzbehörde gemeldet und sind in enger Absprache mit dieser und unserem externen Datenschutzbeauftragten.
Der betroffene Server wurde selbstverständlich sofort abgesichert und ist nicht mehr von außen zugänglich.
Weitere Maßnahmen, die wir umsetzen sind folgende:
- Regelmäßige Security-Audits für alle Systeme, insb. in Hinsicht auf aktuelle Patches und Firewallregeln
- Wir prüfen, inwieweit wir besondere Daten wie die ENS oder Adressdaten in der Datenbank verschlüsseln können. Mit den derzeitigen Funktionen auf Animexx.de würden einige davon nicht mehr funktionieren. Daher müsste dies als optionale Auswahl zur Verfügung gestellt werden
- Ein neues Loginverfahren wurde bereits implementiert, um besseren Schutz zu gewährleisten
Was wurde bisher herausgefunden?
Die Angreifenden scannen das Internet nach Servern mit bestimmten Schwachstellen ab und starten dann üblicherweise ein vorgefertigtes Programm, dass wie oben beschrieben Daten herunterlädt und anschließend löscht und eine Benachrichtigung zurück lässt.
Dieser Angriff richtete sich nicht gezielt gegen Animexx, sondern wurde breit gestreut. Es gibt also kein spezielles Interesse der oder des Angreifenden an unseren Daten - in erster Linie geht es um die Erpressung von Bitcoin/Geld. Für gewöhnlich richten sich diese Angriffe an "Live"-Datenbanken und setzen deren Opfer unter Druck, da die Website/Datenbank dann ausgeschaltet bzw. verschlüsselt wird. In unserem Fall betraf der Hack nicht die Live-Datenbank, sondern ein älteres Backup.
Die Angriffe, die sich nach diesem Schema richten und die eine gleiche, oder stark ähnliche Botschaft der Erpresser beinhalten, finden seit August/September diesen Jahres vielfach im Netz statt.
Welche Auswirkungen hat das?
Die Datenbank hat ein älteres Backup beinhaltet, dass für den laufenden Betrieb nicht mehr benötigt wird. Es sind also keine Bestandteile der Animexx-Seite davon direkt betroffen.
Es ist leider nicht auszuschließen, dass Teile der Datenbank in entsprechenden illegalen Bereichen des Internets veröffentlicht werden. Normalerweise werden vor allem E-Mail-Adressen und Passwörter interessant, weil man damit wiederum gezielt einzelne Personen hacken kann.
Es ist möglich, dass ihr Phishing*-Nachrichten per E-Mail erhalten werdet. Seid bitte besonders aufmerksam!
Der Aufsichtsbehörde liegen nach aktuellem Stand keine Erkenntnisse vor, dass die betroffenen Datensätze bereits missbräuchlich verwendet wurden oder werden. Wird uns oder der Aufsichtsbehörde bewusst, dass sich das ändert, informieren wir euch umgehend.
Sind die Daten verschlüsselt?
Obwohl die Adaption eines stärkeren Hash* Verfahrens zur Sicherung der Passwörter begonnen hatte, konnten wir leider feststellen, dass das ehemals benutzte SHA1-Verfahren zu Kompatibilitätszwecken weiterhin in der Datenbank verfügbar blieb. Die nicht mehr vollkommen sicheren SHA1-Passwörter sind damit dem Nutzerkonto trotz eines solideren, aktuelleren Hashes zuordenbar. Die Gefahr der Entschlüsselung von Passwörtern ist gegeben. Wir empfehlen allen Mitgliedern ihre Passwörter zur Sicherheit zu ändern und nirgends die gleichen Passwörter zu verwenden.
Mitglieder, die TOFU nutzen, haben die Möglichkeit, für eine Bank-Lastschrift ihre Kontodaten zu hinterlegen. Die Kontodaten sind auf dem Server nur verschlüsselt hinterlegt und können nur in der Buchhaltung lokal entschlüsselt werden.
Für alle anderen Daten bieten wir kein verschlüsseltes Verfahren an, diese könnten also ggf. in falsche Hände geraten. Betroffen sind hiervon unter anderem Adressdaten oder ENS.
Was ist nicht betroffen?
Es wurden ausschließlich Daten die in der Datenbank gespeichert waren entwendet. Nicht betroffen sind also alle Arten von Bildern/Fotos/Dateien.
Alle Daten, die nach dem 30. Juli 2019 angelegt wurden, sind ebenfalls nicht betroffen.
Was könnt/müsst ihr tun?
Wie immer bei ähnlichen Vorfällen sind diese Punkte zu nennen:
- Das Animexx-Passwort zeitnah ändern
- Passwörter auf keinen Fall mehrfach für verschiedene Websites und/oder Apps verwenden. Bereits kleine Abwandlungen helfen
- Keine kurzen und einfachen Passwörter verwenden (es wird oft dazu geraten, dass Passwörter mindestens 15 Zeichen enthalten sollen und eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen beinhalten sollen)
- Der persönliche E-Mail-Account ist zentral wichtig und sollte besonders gut abgesichert werden. Solltet ihr das gleiche Passwort bei Animexx und eurem E-Mailaccount verwenden, ändert umgehend das Passwort eures E-Mailaccounts!
Haben die Loginprobleme vor kurzem damit zu tun?
Nein, das steht nicht im Zusammenhang. Es bestand hierbei zu keiner Zeit eine Sicherheitslücke.
Wohin kann ich mich bei Fragen wenden?
Wir werden versuchen alle eure Fragen zu beantworten. Bitte habt Verständnis dafür, dass wir nicht jedem sofort antworten können. Schreibt uns bitte direkt an die für diesen Fall eingerichtete Helpdesk-Box, damit nichts untergeht: https://www.animexx.de/helpdesk/?pre_bereich=dsgvo oder per E-Mail an info@animexx.de
Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Animexx e.V. ist:
a.s.k. Datenschutz e.K.
Schulstraße 16a
91245 Simmelsdorf
Deutschland
Tel.: +49 9155 263 99 70
E-Mail: extdsb@ask-datenschutz.de
Website: www.ask-datenschutz.de
Jede betroffene Person kann sich jederzeit bei allen Fragen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.
[Update 17.12.19]
Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.
Was kann ich tun, wenn ich keinen Zugriff mehr auf meine E-Mailadresse habe?
Meldet euch bitte direkt im Helpdesk oder per E-Mail an info@animexx.de mit eurem Benutzernamen, einer neuen E-Mailadresse und einem Scan/Foto von eurem Ausweis. Die Daten werden dann mit euren Angaben auf dem Account verglichen. Sind sie identisch, wird die neue E-Mailadresse eingetragen. Die Ausweisscans/Fotos werden von uns anschließend zeitnah gelöscht.
Das neue Passwort wird nicht angenommen, was kann ich tun?
Klappt die Eingabe des Passwortes nicht, obwohl ihr es schon mehrfach versucht habt und sicher seid, dass sich kein Vertipper eingeschlichen hat: Versucht es bitte einzutippen und nicht zu kopieren und einzufügen. Das kann in manchen Fällen helfen. Bitte habt etwas Geduld, sollte es mit dem Eintippen nicht funktioniert haben. Unser Technik-Team versucht weiterhin eine Lösung zu finden.
Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?
Wir bearbeiten die Anfragen schnellstmöglich. Aufgrund der Menge kann die Bearbeitungszeit variieren. Solltet ihr innerhalb von 24 Stunden keine Antwort erhalten haben, meldet euch bitte nochmal bei uns. Die Nachricht kam dann vermutlich nicht bei uns an. Über die Feiertage können wir leider nur eingeschränkt eure Anfragen bearbeiten. Bitte habt Verständnis dafür, dass sich die Bearbeitungszeit also deutlich erhöhen kann. Wir versuchen dennoch euch so schnell es geht weiterzuhelfen.
[Update 24.12.19]
Ergänzung zu "Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?": Bearbeitungszeit über die Feiertage wird erhöht sein, wir bitten um Verständnis.
Die E-Mail um das Passwort zurückzusetzen kam zweimal an, ist das Phishing?
Nein, wir versenden diese E-Mails von zwei Providern aus, um die Zustellung an euer Mail-Postfach sicherzustellen. Es ist also alles in Ordung, wenn ihr die gleiche Mail zweimal erhaltet. Solltet ihr dennoch unsicher sein, könnt uns gerne die betreffenden Mails weiterleiten, damit wir sie einmal prüfen können. Ihr erreicht uns über die oben genannten Kontaktwege.
*Phishing: Beschaffung persönlicher Daten anderer Personen mit gefälschten E-Mails oder Websites, um bspw. das Konto zu plündern. Siehe https://de.wikipedia.org/wiki/Phishing
*Hash: Unter einem Hash versteht man ein kryptographisches Einwegverfahren welches erlaubt Daten miteinander zu vergleichen, ohne den Inhalt zu kennen. Das Verfahren ist dabei nicht umkehrbar. Sozusagen eine Verschlüsselung ohne Umkehr. Im Fall von einem Passwort vergleichen wir immer jeweils nur die Hashes und nicht das Passwort selbst. Siehe https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion
> Ja aber was soll denn gemacht werden? Es wurde doch das Problem beseitigt.
Das wurde es eben noch nicht. Ich habe heute beim Facebook einige Leute über diese Datenbank-Situation informiert, Leute, die schon seit einer Weile nicht mehr hier sind.
Was soll gemacht werden, fragst du? Wie wäre es mit ein wenig Rückrad zeigen? Es kann nicht sein, dass man uns erst Wochen nach so einem Vorfall informiert und andere Betroffene bis heute (!) noch keine Informationen hierzu erhielten. Mir ist es egal wie es das Animexx anstellt, aber auch inaktive Accounts benötigen eine Benachrichtigung, und zwar ASAP.
Das Problem ist nämlich noch lange nicht beseitigt, wenn hunderttausende Accounts kompromittiert sind und die Betroffenen nichts davon wissen. Stell dir mal vor jemand ist hier mit der selben E-Mail Adresse angemeldet, wie auch auf Paypal. Stell dir nun mal vor, dass auch das dortige Passwort identisch ist. Solche Leute gibt es, und nun ist es nur eine Frage der Zeit, bis ein Bot all die erbeuteten E-Mail Adressen und Passwörter auf anderen Seiten durchtestet.. falls nicht sogar schon geschehen.
Es gibt noch tausende von Leuten die nicht wissen, dass ihre Daten erbeutet wurden.. tausende von Menschen, die nicht wissen, dass sie ggf. ihre Passwörter ändern sollten. Alleine in meiner Freundesliste beim Facebook fand ich schon sieben davon.
> Es wurde doch jetzt mehrfach gesagt, dass die Sicherheitsprobleme behoben wurden.
Ja, aber uns wurde dieses kleine Fremdzugriffs-Problem auch über Wochen hinweg verschwiegen. Einer der Techniker änderte hier im Blog meiner Ansicht nach plötzlich die Geschichte und unzählige User wurden noch nicht benachrichtigt.
Vorsichtig ausgedrückt hält sich mein Vertrauen hier nun doch sehr in Grenzen. Noch wurde das Problem nämlich nicht gelöst, selbst wenn die Serversicherheit (wieder)hergestellt wurde hängt da noch ein Rattenschwanz hinten dran der abgearbeitet werden müsste, und das nicht erst in weiteren vier Wochen oder sowas.
> WAS IST MIT DEN PADS?
> Wurden diese Daten auch geklaut?!
Ja, die Pads sind von dem Datenbank-Diebstahl bedauerlicher Weise ebenfalls betroffen gewesen. Zumindest die Inhalte bis zum 30. Juli 2019. Alle Pad-Daten, die nach dem 30. Juli 2019 angelegt wurden, sind nicht betroffen.
Oh ich hatte vor, mir das in mein notizbuch zu schreiben xD ich vertrau Technik meine Passwörter nich an.
Danke trotzdem für den Tipp, vieleicht guck ich mir das mal an, und vielleicht ist das ja auch was für jemand anderen hier :3
Jetzt bringen uns die "Hätte nicht passieren dürfen" leider auch nichts mehr. Wir merken ist nicht so gelaufen wie es sollte. Besagte Techniker die Schuld sind werden ihre Mütze weg haben. Wir sollten als Online Mitglieder jetzt nur drauf acht geben wenn möglich die Passwörter der anderen Seiten (und ggf des EMail Kontos) zu ändern und zu beobachten ob irgendwas nicht stimmt. Auf solche Spam Mails nicht reagieren und als Tipp für die Zukunft -> gebt niemals gewisse Daten raus und achtet darauf eas ihr hochladet.
> Das wurde es eben noch nicht. Ich habe heute beim Facebook einige Leute über diese Datenbank-Situation informiert, Leute, die schon seit einer Weile nicht mehr hier sind.
>
> Was soll gemacht werden, fragst du? Wie wäre es mit ein wenig Rückrad zeigen? Es kann nicht sein, dass man uns erst Wochen nach so einem Vorfall informiert und andere Betroffene bis heute (!) noch keine Informationen hierzu erhielten. Mir ist es egal wie es das Animexx anstellt, aber auch inaktive Accounts benötigen eine Benachrichtigung, und zwar ASAP.
>
> Das Problem ist nämlich noch lange nicht beseitigt, wenn hunderttausende Accounts kompromittiert sind und die Betroffenen nichts davon wissen. Stell dir mal vor jemand ist hier mit der selben E-Mail Adresse angemeldet, wie auch auf Paypal. Stell dir nun mal vor, dass auch das dortige Passwort identisch ist. Solche Leute gibt es, und nun ist es nur eine Frage der Zeit, bis ein Bot all die erbeuteten E-Mail Adressen und Passwörter auf anderen Seiten durchtestet.. falls nicht sogar schon geschehen.
>
> Es gibt noch tausende von Leuten die nicht wissen, dass ihre Daten erbeutet wurden.. tausende von Menschen, die nicht wissen, dass sie ggf. ihre Passwörter ändern sollten. Alleine in meiner Freundesliste beim Facebook fand ich schon sieben davon.
Gut, ja das sollte gemacht werden. Woran das liegt, wieso noch nicht geschehen, etc. liegt außerhalb des normalen Wissens eines Users und ich erlaube mir darüber jetzt auch kein Urteil.
> Ja, aber uns wurde dieses kleine Fremdzugriffs-Problem auch über Wochen hinweg verschwiegen. Einer der Techniker änderte hier im Blog meiner Ansicht nach plötzlich die Geschichte und unzählige User wurden noch nicht benachrichtigt.
Dass dies eine Auflage der Datenschutzbehörde war, hast du aber gelesen oder? Wurde doch jetzt auch mehrfach schon geschrieben. Man durfte wohl einfach nichts sagen, weil dies so angeordnet war. Daran hat Animexx selbst keine Schuld.
Du bist kein Mensch, Dante, du wirst nie einer sein!
Ich hab dich geliebt Bruder...
wir haben bereits einen "Sondernewsletter" gestartet, welcher die betroffenen User über den Vorfall informiert. Dieser Dienst läuft seit gestern und wird noch einige Tage laufen, daher dauert es vermutlich noch etwas, bis die Email bei jedem einzelnen Nutzer eingeht. Sofern die User die bei uns hinterlegten Email Adressen noch nutzen, wird sie die Information erreichen, falls nicht bereits geschehen.
Dann ist ja gut. Das ist nämlich mein persönlicher Hauptkritikpunkt. Leute, die identische Passwörter auf verschiedenen Plattformen nutzen gibt es schließlich einige! Für die ist sowas hier mit einem ziemlichen Risiko verbunden..
> Dass dies eine Auflage der Datenschutzbehörde war, hast du aber gelesen oder?
Ich habe gelesen, dass jemand vom Animexx geschrieben hat, dass es so war ^^.. aber jemand vom Animexx schrieb auch mal, dass ich ein Spambot seie und verpasste mir ohne Vorwarnung 'nen Perma-Bann. Also, ehm.. ja.. xD
Solange alle benachrichtigt werden ist von mir nun aber wieder alles im gelben Bereich. Trotzdem ärgert es mich und ich hoffe ehrlich, dass von den 200.000 Usern niemand in Folge dieses Hacks geschädigt wird.
Bis dato hat sie nix gehört und kommt weiterhin nicht rein...
Sie sitzt ziemlich auf heisse Kohlen..
Stauen sich die Anfrage immer noch so extrem?
Sie hofft sehr auf positive antwort und das die Beweise ausreichen
wir sind immer noch dabei, die Anfragen im Helpdesk abzuarbeiten (ich selbst helfe ebenfalls mit, so gut es neben dem Job geht).
Wenn du mir den Namen deiner Freundin per ENS zuschickst, kann ich gerne prüfen, ob die Anfrage bei uns auch sauber eingegangen ist, damit sie ggf. nicht umsonst warten muss.
> Nachvollziehbar mit den Anzeigen von Seitens der Polizei, aber ich muss sagen, wenn ich aktiv betroffen bin weil jemand was mit meinen Daten gemacht hat, sollte man nicht nur abwarten. Wie es den Anschein hat ist noch nichts passiert, aber sollte was passiert sein, hat man ein Recht auf Schadensersatz. Wenn man dann nur die Füße stillhält, hat man möglicherweise sogar eine finanziellen Schaden. Da sollte man dann aber schon Anzeige gegen unbekannt erstatten dürfen. Oder seht ihr das anders lore?
Grade den Ermittelnden Beamten angerufen der Meinte er will auch niemanden abhalten anzeige zu erstatten. Nur rein aus Polizei sicht Ermitteln sie wegen der Straftat bereits, eine Zweite Meldung der Straftat bringt nichts. EIn Schadensanspruch ist ja dann Zivilrecht. Ob es dafür was bringt konnte er mir nicht sagen, Er vermutet nicht, weiss es aber auch nicht. Hab auch gleich gefragt bisher gibt es noch keine neuen kenntnisstände wer dahintersteckt
ENS kommt jetzt direkt.
Wäre super was zu erfahren
Was bringt mir ein Passwort mit tausend Sonderzeichen und allem, wenn das dann trotzdem so einfach entschlüsselt werden kann?
Mein altes animexx Passwort war nämlich schon ein ellenlanges mit allem drin, was empfohlen wird, aber das hat mir ja nun anscheinend auch nix gebracht...?
> Ich muss als Techniklaie noch eine Frage stellen:
> Was bringt mir ein Passwort mit tausend Sonderzeichen und allem, wenn das dann trotzdem so einfach entschlüsselt werden kann?
> Mein altes animexx Passwort war nämlich schon ein ellenlanges mit allem drin, was empfohlen wird, aber das hat mir ja nun anscheinend auch nix gebracht...?
>
Passwörter werden in der Regel nicht entschlüsselt sondern erraten
das heist du weißt es heist verschluesllt "A107BCFk9DHFJKE3847DDD"
Jetzt Probierst du
A Aus schaust wenn man das Verschluesselt was rauskommt
dan B,C,D Dan AA,AB,.... Usw
Wenn du Glück Hast kommt dasselbe raus und du weist das Password
Un ein Computer braucht länger wenn er nicht nur 28 Buchstaben und 10 Zahlen Probieren muss sondern noch viele Sonderzeichen.Damit Steigt die Sicherheit Deutlich
> Ich kann dir https://keepassxc.org/ empfehlen Da kannst du die Passwörter Verschlüsselt abspeichern.
Nya Passwortmanager sind nützlich, solange man nicht aus den Augen verliert, daß man das Problem damit nicht löst, sondern auslagert. Denn wenn alle Passwörter zentral zusammen geführt werden, muß der Hacker nur noch an einer Stelle angreifen. Da hängt es dann also an der Sicherheit eines Passwortes und eines Programms. Das muß nicht schlecht sein, aber ob Oma Trudes Zweitname Ida bei Mexe, PayPal oder dem Passwortmanager verwendet ist dann auch fast schon egal. Wichtig ist keine kontextsensitiven Passwörter zu verwenden. Wer es darauf anlegt Mexx-User zu knacken, wird vorher die komplette AnimeCharaDatabase eingelesen und als Wörterbuch verwendet für ne Bruteforce-Attacke. Da hilft dann auch kein Sonderzeichen mehr - bis Sasuke-Uchia (egal ob und wie getrennt) schafft es ein schneller Gamer-PC in durchaus überschaubaren Zeitrahmen. Sicherer als Oma Trudes Name ist das dann auch nicht wirklich.
Ich würde schon gerne wissen ob es nicht nur mein aktuelles PAsswort sondern das eines alten, gelöschten Accounts auch betreffen könnte/wird.
Vielen Dank
> Hätte jemand bitte die Güte meine Frage von seite 5 zu beantworten? ._.
> Ich würde schon gerne wissen ob es nicht nur mein aktuelles PAsswort sondern das eines alten, gelöschten Accounts auch betreffen könnte/wird.
> Vielen Dank
Oje, entschuldige bitte! Personenbezogene Daten und Passwörter von gelöschten Accounts werden gelöscht. Fanworks muss man allerdings selbst löschen, Forenpostings und ENS in anderer Leute Postfach bleiben weiterhin bestehen.
> Deswegen habe ich oben auch dazu geschrieben dass ich es von der Behörde dreist und absurd finde.
> Trotzdem ist und bleibt das mit dem Server fahrlässig. Da gibt’s kein Drumherumreden. Und ich denke, dass man genau das versucht (mal wieder) wird einige ärgern. Und ja, irgendjemand hat vorhin die Fahrlässigkeit bestritten, soviel dazu.
>
> Ich hab jedenfalls meine Meinung dazu gesagt. Und Antworten auf meine Fragen bekommen. Damit bin ICH zumindest erstmal zufrieden.
Das hab ich scheinbar überlesen, sorry.
Denke aber das wir uns damit einig sind, das es ein Unding ist, das Behörden bei so etwas eine Wartezeit verlangen und auf keinen Fall kleingeredet werden darf, dass da Techniker absoluten BS gemacht haben.
Und dann kann jeder nur noch für sich selbst die Konsequenzen daraus ziehen.
Aber da ich weis was DS & DSGVO für anstrengender Stuff sind: Mal ein Lob, dafür, dass ihr das korrekt gemeldet habt, reagiert und Maßnahmen ergriffen habt.
Ich kann mir gut vorstellen, dass das bei weitem noch nicht selbstverständlich ist.
Das sollte jetzt natürlich kein Angriff gegen Animexx sein und auch nicht gegen die Leute, die für den/die Backup-Server verantwortlich sind, wie gesagt war es wohl ein Versehen, was hoffentlich auch nicht wieder vorkommen wird. Es brauch sich hierfür auch keiner entschuldigen, es wurde sich ja schon entschuldigt. Aber ich wollte trotzdem mal meine Gedanken dazu dalassen, einfach um es loszuwerden, damit es nicht mehr so auf mir lastet, eben WEIL ich schon sehr schlechte Erfahrungen mit sowas gemacht habe.
Danke für die Antwort.
>
> > Miel
> > Eine Auflage war, dass wir ein neues sichereres Loginverfahren implementieren sollten, bevor wir benachrichtigen dürfen. Wäre das alte Loginverfahren weiter verwendet worden, hättet ihr zwar eure Passwörter geändert, dann wären sie neben der stärkeren Verschlüsselung zusätzlich als SHA1 abgelegt worden.
> >
> > Ihr könnt gerne unseren Datenschutzbeauftragen kontaktieren, wenn ihr Zweifel daran habt. Die Kontaktdaten stehen ebenfalls oben im Blog.
>
> Um den direkten Login bei Mexx geht es mir gerade gar nicht. Wie schon gesagt, es gibt Leute, die dieses Passwort auch anderweitig benutzen. Das macht nicht jeder, aber man muss davon ausgehen, dass es jemand tut.
>
> Gehen wir mal im schlimmsten Fall davon aus, jemand benutzt das gleiche Passwort von Mexx auch für Paypal oder einen sonstigen wichtigen Service. Dann hatten diese Hacker knapp 4 Wochen Zeit sich damit zu verlustieren weil man der Meinung war, diese Information zurückzuhalten zu müssen bis auf EINER Seite das Login sicherer ist.
>
> Hätte man vorher den Mund aufgemacht bzw. aufmachen dürfen, hätte die Person wenigstens Gelegenheit gehabt, die übrigen Passwörter schnellstmöglich zu ändern.
> DAS ist was mir extrem sauer aufstößt. Da hilft mir auch kein nachträgliches „Ja, aber ist ja nix passiert“. Es ist einfach grob fahrlässiges Verhalten im Umgang mit Daten und mal wieder ein fetter Tritt gegen das Vertrauenspodest.
Ich muss da leider zustimmen. Ich bin einer der User, wo email und PayPal nah verknüpft war. Das mag naiv sein, aber ich dachte, ich bewege mich auf sicheren Seiten.
Niemals hätte ich gedacht, dass man mir Monate später sagt - sorry Daten geklaut.
Ich habe nach der Nachricht.. alles in Windeseile geändert.
Ich sage meinen Schülern immer.. Fehler sind menschlich. Mist bauen normal. Aber am schlimmsten ist sich raus reden. Bzw nicht zu Fehlern stehen - ist einfach scheiße gelaufen und seit November... ist übel.
Wäre das wirklich nach hinten los gegangen und keine Wahrung rausgegangen, hättet ihr jetzt einige Klagen am Hals 😥 Sorry ist so.
Ich glaube gern, ihr habt euer bestes getan, aber perfekt lief es nicht. Möchte auch gern mal von Polizei und Behörde offiziell hören, dass man unsere Daten einen Monat auf gut Glück im Darknet und co lässt 😳😱
Ich denke da vor allem (sorry und das betrifft weniger aktive) an viele total inaktive User.
>
> Das hab ich scheinbar überlesen, sorry.
> Denke aber das wir uns damit einig sind, das es ein Unding ist, das Behörden bei so etwas eine Wartezeit verlangen und auf keinen Fall kleingeredet werden darf, dass da Techniker absoluten BS gemacht haben.
>
> Und dann kann jeder nur noch für sich selbst die Konsequenzen daraus ziehen.
Alles gut, passiert. :)
Ich finde auch, dass sich eine Datenschutz-Behörde so nicht nennen sollte, wenn das die gängige Vorgehensweise sein soll. Das war kein Schutz von Daten sondern ein in die Länge gezogenes, unnötiges Risiko für betroffene User. Was sich diese Behörde dabei gedacht hat, ist mir nach wie vor ein Rätsel zumal die Begründung vollkommen unsinnig ist. Aber naja... sind ja die Spezialisten. :‘D
Tja, ich befürchte halt, dass das noch weitere Abgänge zur Folge hat was sich Mexx eigentlich nicht so wirklich leisten kann.
>
>
> Ich muss da leider zustimmen. Ich bin einer der User, wo email und PayPal nah verknüpft war. Das mag naiv sein, aber ich dachte, ich bewege mich auf sicheren Seiten.
> Niemals hätte ich gedacht, dass man mir Monate später sagt - sorry Daten geklaut.
> Ich habe nach der Nachricht.. alles in Windeseile geändert.
> Ich sage meinen Schülern immer.. Fehler sind menschlich. Mist bauen normal. Aber am schlimmsten ist sich raus reden. Bzw nicht zu Fehlern stehen - ist einfach scheiße gelaufen und seit November... ist übel.
> Wäre das wirklich nach hinten los gegangen und keine Wahrung rausgegangen, hättet ihr jetzt einige Klagen am Hals 😥 Sorry ist so.
> Ich glaube gern, ihr habt euer bestes getan, aber perfekt lief es nicht. Möchte auch gern mal von Polizei und Behörde offiziell hören, dass man unsere Daten einen Monat auf gut Glück im Darknet und co lässt 😳😱
>
> Ich denke da vor allem (sorry und das betrifft mehr aktive) an viele total inaktive User.
Ohjee, das ist genau das was ich meinte :(
Zum Glück ist nichts passiert.
Euch ist hoffentlich klar das wenn etwas mit den Daten passiert was auf euch zurück zu führen ist, ich und andere nicht nur über den Helpdesk an euch herantreten werden.
Ich arbeite selber mit dieser Thematik und es ist mir nicht klar wieso ihr dies erst jetzt öffentlich macht und noch nicht alles dazu gesagt ist.
> Das ist ein ziemliches No Go was hier passiert ist.
>
> Euch ist hoffentlich klar das wenn etwas mit den Daten passiert was auf euch zurück zu führen ist, ich und andere nicht nur über den Helpdesk an euch herantreten werden.
>
> Ich arbeite selber mit dieser Thematik und es ist mir nicht klar wieso ihr dies erst jetzt öffentlich macht und noch nicht alles dazu gesagt ist.
Auf Grund der Auflagen der Datenschutzbehörde war es nicht möglich die User vorher zu informieren. Gerne hätten wir es getan, aber wir müssen uns an die Anweisungen der Behörde und der Polizei halten.
Nachdem die geforderten Auflagen erfüllt worden sind, wurde die Userschaft umgehend mit dem obigen Blog informiert.
Falls du noch Fragen hast oder dir Punkte unklar sind, kannst du jederzeit hier fragen. Wir beantworten alle Bedenken und Unsicherheiten gerne. :)
> Das ist ein ziemliches No Go was hier passiert ist.
>
> Euch ist hoffentlich klar das wenn etwas mit den Daten passiert was auf euch zurück zu führen ist, ich und andere nicht nur über den Helpdesk an euch herantreten werden.
>
> Ich arbeite selber mit dieser Thematik und es ist mir nicht klar wieso ihr dies erst jetzt öffentlich macht und noch nicht alles dazu gesagt ist.
Das wieso erst jetzt ist doch ziemlich genau dargelegt worden. War eine Auflage der Datenschutzbehörde.
Du bist kein Mensch, Dante, du wirst nie einer sein!
Ich hab dich geliebt Bruder...
> Sollte man sein PayPal-PW sicherheitshalber ändern, wenn man dies über Animexx genutzt hat? (Sorry, falls die Frage schon einmal kam.)
Ja, das sollte man definitiv. Vor allem, wenn es das selbe ist!
"Kunst ist, was man schafft - wenn man lernt, zu träumen."
> Sollte man sein PayPal-PW sicherheitshalber ändern, wenn man dies über Animexx genutzt hat? (Sorry, falls die Frage schon einmal kam.)
Nein, das brauchst du nicht ändern. Die PayPal-Passwörter laufen nicht über Animexx.