Informationen zum Fremdzugriff auf Backup-Server [Update]
Yuya Mit großem Bedauern müssen wir euch mitteilen, dass wir Fremdzugriff auf einen unserer Backup-Server festgestellt haben. Obwohl wir höchsten Wert auf Sicherheit unserer Server und eurer Daten legen, kam es nun nach 20 Jahren erstmals dazu. Wir sind sehr bestürzt darüber und haben bereits die Schwachstellen beseitigt und auch alle weiteren Server überprüft. Zum Glück betraf es nur diesen einen Server.
Nachfolgend erklären wir euch, was passiert ist und was ihr tun könnt.
Was ist passiert?
Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen eingespielt und die Firewall nicht korrekt konfiguriert worden.
Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Die Datenbank auf dem betroffenen Server wurde zu einem großen Teil kopiert und anschließend auf dem Server gelöscht.
Es wurden personenbezogene Daten, verschlüsselte Passwörter, ENS (ausgenommen das ENS-Archiv), Steckbriefe, Blogs, Zirkel und so ziemlich alle Inhalte, die aus Text bestehen gestohlen. Bilder und Fotos sowie Dateien, die als ENS-Anhang oder ähnliches hochgeladen wurden, sind nicht betroffen.
Leider konnten wir euch nicht früher informieren, da wir erst die Auflagen der Datenschutzbehörde umsetzen mussten. Alle Mitglieder erhalten in den nächsten Tagen eine E-Mail zu diesem Vorfall.
Was tut Animexx als Konsequenz?
Wir werden den Fall technisch im Detail untersuchen. Der Hack wurde zur Anzeige gebracht. Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Außerdem haben wir den Fall der zuständigen Datenschutzbehörde gemeldet und sind in enger Absprache mit dieser und unserem externen Datenschutzbeauftragten.
Der betroffene Server wurde selbstverständlich sofort abgesichert und ist nicht mehr von außen zugänglich.
Weitere Maßnahmen, die wir umsetzen sind folgende:
- Regelmäßige Security-Audits für alle Systeme, insb. in Hinsicht auf aktuelle Patches und Firewallregeln
- Wir prüfen, inwieweit wir besondere Daten wie die ENS oder Adressdaten in der Datenbank verschlüsseln können. Mit den derzeitigen Funktionen auf Animexx.de würden einige davon nicht mehr funktionieren. Daher müsste dies als optionale Auswahl zur Verfügung gestellt werden
- Ein neues Loginverfahren wurde bereits implementiert, um besseren Schutz zu gewährleisten
Was wurde bisher herausgefunden?
Die Angreifenden scannen das Internet nach Servern mit bestimmten Schwachstellen ab und starten dann üblicherweise ein vorgefertigtes Programm, dass wie oben beschrieben Daten herunterlädt und anschließend löscht und eine Benachrichtigung zurück lässt.
Dieser Angriff richtete sich nicht gezielt gegen Animexx, sondern wurde breit gestreut. Es gibt also kein spezielles Interesse der oder des Angreifenden an unseren Daten - in erster Linie geht es um die Erpressung von Bitcoin/Geld. Für gewöhnlich richten sich diese Angriffe an "Live"-Datenbanken und setzen deren Opfer unter Druck, da die Website/Datenbank dann ausgeschaltet bzw. verschlüsselt wird. In unserem Fall betraf der Hack nicht die Live-Datenbank, sondern ein älteres Backup.
Die Angriffe, die sich nach diesem Schema richten und die eine gleiche, oder stark ähnliche Botschaft der Erpresser beinhalten, finden seit August/September diesen Jahres vielfach im Netz statt.
Welche Auswirkungen hat das?
Die Datenbank hat ein älteres Backup beinhaltet, dass für den laufenden Betrieb nicht mehr benötigt wird. Es sind also keine Bestandteile der Animexx-Seite davon direkt betroffen.
Es ist leider nicht auszuschließen, dass Teile der Datenbank in entsprechenden illegalen Bereichen des Internets veröffentlicht werden. Normalerweise werden vor allem E-Mail-Adressen und Passwörter interessant, weil man damit wiederum gezielt einzelne Personen hacken kann.
Es ist möglich, dass ihr Phishing*-Nachrichten per E-Mail erhalten werdet. Seid bitte besonders aufmerksam!
Der Aufsichtsbehörde liegen nach aktuellem Stand keine Erkenntnisse vor, dass die betroffenen Datensätze bereits missbräuchlich verwendet wurden oder werden. Wird uns oder der Aufsichtsbehörde bewusst, dass sich das ändert, informieren wir euch umgehend.
Sind die Daten verschlüsselt?
Obwohl die Adaption eines stärkeren Hash* Verfahrens zur Sicherung der Passwörter begonnen hatte, konnten wir leider feststellen, dass das ehemals benutzte SHA1-Verfahren zu Kompatibilitätszwecken weiterhin in der Datenbank verfügbar blieb. Die nicht mehr vollkommen sicheren SHA1-Passwörter sind damit dem Nutzerkonto trotz eines solideren, aktuelleren Hashes zuordenbar. Die Gefahr der Entschlüsselung von Passwörtern ist gegeben. Wir empfehlen allen Mitgliedern ihre Passwörter zur Sicherheit zu ändern und nirgends die gleichen Passwörter zu verwenden.
Mitglieder, die TOFU nutzen, haben die Möglichkeit, für eine Bank-Lastschrift ihre Kontodaten zu hinterlegen. Die Kontodaten sind auf dem Server nur verschlüsselt hinterlegt und können nur in der Buchhaltung lokal entschlüsselt werden.
Für alle anderen Daten bieten wir kein verschlüsseltes Verfahren an, diese könnten also ggf. in falsche Hände geraten. Betroffen sind hiervon unter anderem Adressdaten oder ENS.
Was ist nicht betroffen?
Es wurden ausschließlich Daten die in der Datenbank gespeichert waren entwendet. Nicht betroffen sind also alle Arten von Bildern/Fotos/Dateien.
Alle Daten, die nach dem 30. Juli 2019 angelegt wurden, sind ebenfalls nicht betroffen.
Was könnt/müsst ihr tun?
Wie immer bei ähnlichen Vorfällen sind diese Punkte zu nennen:
- Das Animexx-Passwort zeitnah ändern
- Passwörter auf keinen Fall mehrfach für verschiedene Websites und/oder Apps verwenden. Bereits kleine Abwandlungen helfen
- Keine kurzen und einfachen Passwörter verwenden (es wird oft dazu geraten, dass Passwörter mindestens 15 Zeichen enthalten sollen und eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen beinhalten sollen)
- Der persönliche E-Mail-Account ist zentral wichtig und sollte besonders gut abgesichert werden. Solltet ihr das gleiche Passwort bei Animexx und eurem E-Mailaccount verwenden, ändert umgehend das Passwort eures E-Mailaccounts!
Haben die Loginprobleme vor kurzem damit zu tun?
Nein, das steht nicht im Zusammenhang. Es bestand hierbei zu keiner Zeit eine Sicherheitslücke.
Wohin kann ich mich bei Fragen wenden?
Wir werden versuchen alle eure Fragen zu beantworten. Bitte habt Verständnis dafür, dass wir nicht jedem sofort antworten können. Schreibt uns bitte direkt an die für diesen Fall eingerichtete Helpdesk-Box, damit nichts untergeht: https://www.animexx.de/helpdesk/?pre_bereich=dsgvo oder per E-Mail an info@animexx.de
Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Animexx e.V. ist:
a.s.k. Datenschutz e.K.
Schulstraße 16a
91245 Simmelsdorf
Deutschland
Tel.: +49 9155 263 99 70
E-Mail: extdsb@ask-datenschutz.de
Website: www.ask-datenschutz.de
Jede betroffene Person kann sich jederzeit bei allen Fragen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.
[Update 17.12.19]
Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.
Was kann ich tun, wenn ich keinen Zugriff mehr auf meine E-Mailadresse habe?
Meldet euch bitte direkt im Helpdesk oder per E-Mail an info@animexx.de mit eurem Benutzernamen, einer neuen E-Mailadresse und einem Scan/Foto von eurem Ausweis. Die Daten werden dann mit euren Angaben auf dem Account verglichen. Sind sie identisch, wird die neue E-Mailadresse eingetragen. Die Ausweisscans/Fotos werden von uns anschließend zeitnah gelöscht.
Das neue Passwort wird nicht angenommen, was kann ich tun?
Klappt die Eingabe des Passwortes nicht, obwohl ihr es schon mehrfach versucht habt und sicher seid, dass sich kein Vertipper eingeschlichen hat: Versucht es bitte einzutippen und nicht zu kopieren und einzufügen. Das kann in manchen Fällen helfen. Bitte habt etwas Geduld, sollte es mit dem Eintippen nicht funktioniert haben. Unser Technik-Team versucht weiterhin eine Lösung zu finden.
Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?
Wir bearbeiten die Anfragen schnellstmöglich. Aufgrund der Menge kann die Bearbeitungszeit variieren. Solltet ihr innerhalb von 24 Stunden keine Antwort erhalten haben, meldet euch bitte nochmal bei uns. Die Nachricht kam dann vermutlich nicht bei uns an. Über die Feiertage können wir leider nur eingeschränkt eure Anfragen bearbeiten. Bitte habt Verständnis dafür, dass sich die Bearbeitungszeit also deutlich erhöhen kann. Wir versuchen dennoch euch so schnell es geht weiterzuhelfen.
[Update 24.12.19]
Ergänzung zu "Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?": Bearbeitungszeit über die Feiertage wird erhöht sein, wir bitten um Verständnis.
Die E-Mail um das Passwort zurückzusetzen kam zweimal an, ist das Phishing?
Nein, wir versenden diese E-Mails von zwei Providern aus, um die Zustellung an euer Mail-Postfach sicherzustellen. Es ist also alles in Ordung, wenn ihr die gleiche Mail zweimal erhaltet. Solltet ihr dennoch unsicher sein, könnt uns gerne die betreffenden Mails weiterleiten, damit wir sie einmal prüfen können. Ihr erreicht uns über die oben genannten Kontaktwege.
*Phishing: Beschaffung persönlicher Daten anderer Personen mit gefälschten E-Mails oder Websites, um bspw. das Konto zu plündern. Siehe https://de.wikipedia.org/wiki/Phishing
*Hash: Unter einem Hash versteht man ein kryptographisches Einwegverfahren welches erlaubt Daten miteinander zu vergleichen, ohne den Inhalt zu kennen. Das Verfahren ist dabei nicht umkehrbar. Sozusagen eine Verschlüsselung ohne Umkehr. Im Fall von einem Passwort vergleichen wir immer jeweils nur die Hashes und nicht das Passwort selbst. Siehe https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion
Disqua vergleicht tatsächlich keine Äpfel mit Birnen. Es ist einfach eine Sicherheit, dass man nach einem Beweis, dass es sich hier um dem eigenen Account handelt.
Es ist wie mit unseren Kunden. Sie geben ein Instrument zur Reparatur, bekommen einen Abholschein und lediglich gegen vorweisen dieses Scheines, kriegen sie das Instrument zurück. (Es wird auch ein Personalausweis anerkannt.)
Sie regen sich auch immer auf, dass wir nicht einfach ohne Nachweis die Instrumente herausgeben. Aber würden wir das nicht machen und dann kommt da mal nen Depp und holt für Mustermann ein 2.000 Saxophon ab, sind wir am Arsch. Und ich kenne einfach nicht jeden kunden, der sein Instrument bei uns zur Reparatur abgibt. Manche werden von meinen Kollegen angenommen. Zumal ich mir eh kein Gesicht merken kann.
Ich verstehe also echt nicht, wo das Problem mit dieser Sicherheitsmaßnahme ist. Das hat so gut wie jede Seite, dass es eine Rückabsicherung gibt, sollten die User ihre Accounts löschen.
Es gibt sogar Seiten die verweigern das Löschen der Daten und stellen Accounts nur inaktiv, dass falls du doch noch mal zurück bekommst, deinen Account zurück bekommen kannst. Und dann kommen sie dir mit ihren AGBs, wenn du dagegen angehst. Hach, ja ... Das war ne Zeit.
> Dann liegt halt der Tatbestand schon nicht vor, weil ich nicht unbefugt bin meinen Account löschen zu lassen.
Es ist aber ein Unterschied, ob du sagst, du seist befugt oder es wirklich bist. Und darum geht es. Dass dich das alles furchtbar aufregt, kann sicher jeder verstehen. Wir sind aktuell alle in derselben Situation. Allerdings kann Animexx jetzt nicht hergehen und deshalb auf gut Glauben Accounts löschen.
Bin nach wie vor nachzuweisen dass es mein Account ist aufgrund anderer als sensibler Daten.
Dann sollen sie sich bitte auch Screenshots aus dem ENS-Fach gefallen lassen als Nachweis oÄ.
RedFlash hat ja schon geschrieben, dass
Ich habe mal eine Frage und es tut mir wirklich leid, falls sie bereits gestellt und beantwortet wurde; das muss ich übersehen haben.
Also, manche User schreiben hier in die Kommentare, dass Animexx sie "ausgesperrt" hat bzw. dass sie nicht mehr auf ihren Account zugreifen können. Wie kann es dazu kommen? Und könnte das auch mit anderen Usern passieren?
Grüße.
Ich bin selber damit nicht betroffen, aber vielleicht kann man so (also mit der Möglichkeit nicht alles offenbaren zu müssen) ja die Angst vor zb einem Klau der Identität nehmen, wenn nicht der gesamte Ausweis 1 zu 1 sichtbar ist. Gelöscht wird es nach Bearbeitung ja sowieso.
Oder geht auch ein Scan vom Führerschein oder Studentenausweis oder sowas? Ich glaube sowas tut nicht ganz so weh (wenn ich von mir ausgehe).
Aber wenn das so nicht gehen sollte, gehts nicht. Es war nur eine Idee. Ich persönlich finde gut dass nicht auf Zuruf gelöscht wird.
Ansonsten würde ich dir, abgemeldet, raten die Datenschutzfirma (Adresse und so sind im Eintrag) anzuschreiben oder morgen anzurufen und mit denen deine Angelegenheit sachlich zu klären. Das wäre das was ich machen würde.
Aussperren tun die User sich eigentlich selbst.
Der Ablauf sollte wie folgt sein.
Man klickt auf PW zurücksetzen, kriegt ne Mail, ändert PW kommt wieder rein.
Jetzt haben viele ihre Mailadresse vergessen die hinterlegt wurde, ne neue oder kommen da nicht mehr rein, aus Gründen.
Dann müssen oder dürfen diese User eine Mail an Animexx schreiben und dafür verlangt Animexx halt eine Kopie des Ausweises, WEIL sie verifizieren müssen, dass es auch der ECHTE BESITZER des Accounts ist der sich meldet.
Jetzt gibt es aber welche, die weigern sich, den Ausweis zu schicken und sperren sich somit selbst aus.
Ich muss dazu sagen, ich kann die Bedenken auch nachvollziehen, aber es wurde jetzt schon sooft gesagt, das alles gelöscht wird was mit Ausweisen zu tun hat. BTW auch schon damals, als man sich das erste Mal für die Volljährigkeit verifiziert hat, aber das überlesen wohl grade sehr viele in ihrer Wut und Angst.
Ich würde btw allen mal einen Beruhigungstee vorschlagen.
Yuya scheint grad nicht anwesend zu sein und eine Nacht Geduld hat noch nie wem weh getan ...
Und die Leute die nach Schadensersatzforderungen schreien, really?
Bin ich gespannt wie weit ihr mit kommt...
Generell möchte ich einen Weg ohne jegliche Ausweisdokumente gehen. Das Vertrauen hab ich einfach nicht, dass ich hier noch mal jemandem irgendwas zusenden möchte.
Ich hab ein paar Screenshots von meinem eingeloggten Account, auf dem man sieht, dass ich eben als *ich* eingeloggt bin.
Die kann halt auch sonst keiner haben. Und wenn mir jetzt jemand mit irgendeiner scheiß Fälschung kommt: Ja, man kann an jedem Bild rumpfuschen. Das geht auch bei einem Ausweisbild.
Aber weil man hier gern den Unsozialen raushängen lässt, lässt man scheinbar keine Infos außerhalb von Ausweisbildern zu.
ich würd mir deinen Fall gern persönlich ansehen. Könnten wir uns bitte in Verbindung setzen, damit ich prüfen kann, was genau vorgefallen ist? Es wäre lieb, wenn du mir kurz in einer ENS zusammenfassen könntest, wie dein alter Nick lautete. Lass uns gerne versuchen, eine Lösung zu finden.
> Wird ein Scan vom gesamten Personalausweis verlangt oder kann man nicht benötigte Teile davon auch schwärzen/unkenntlich machen?
Das ist grundsätzlich absolut möglich. Für die Identifizierung wird lediglich der Name, eventuell (das wird
Mögliche Alternativen - sollte es diese geben - können nur nach Rücksprache mit dem Datenschutzbeauftragten genannt werden. Deswegen ist vorher natürlich vor allem dieses Urteil abzuwarten. Sollte der Datenschutzbeauftragte keine anderen Alternativen nennen, dann gibt es keine. Als offizielle Identifikationsdokumente gelten Personalausweis und Reisepass. Ob Identitätsfeststellung auch mit anderen/ohne diese Dokumente möglich ist, ist fraglich. Aber dazu werden wir morgen mehr erfahren.
Ich kann dich gut verstehen und drücke dir die Daumen dass du mit Uryuu zusammen das Problem lösen kannst. Ich bin eigentlich zuversichtlich dass ihr das löst.
RedFlash
Ah, das klingt positiv! Danke dir für die rasche Rückmeldung! Wenn alles mit der Datenschutzfirma abgeklärt ist wird es oben im Eintrag ergänzt nehme ich an.
Vielen Dank für dein Verständnis - das ist etwas, womit ich hier schon fast nicht mehr gerechnet habe.
> Ich musste keine Kopie vom Ausweis schicken obwohl ichs angeboten hatte
Das ist ein Witz, oder?
Eine kurze Info an alle: Der Helpdesk verabschiedet sich damit erstmal in die Nachtruhe, morgen früh setzen wir die Bearbeitung der Anfragen weiter fort! Tut uns sehr leid, dass es sich aufgrund der Menge der Rückfragen so zieht.
Ich muss anderen hier leider zustimmen, man kann nicht in einem Atemzug sagen "Ups, wir haben ein Leak, aber gib uns mal deine Persokopie!"
Klar, hat das technisch nichts miteinander zu tun, menschlich aber schon, ich will niemandem etwas geben, der gerade geschlampt hat, auch wenn es zwei verschiedene Dinge sind.
Also, was soll da noch gemacht werden?
> Ich muss nun auch noch einmal fragen: Eine Freundin von mir kann sich nicht einmal mehr an die E-Mail-Adresse erinnern, mit der sie sich vor 13 Jahren hier angemeldet hat, aber sie wird auch den Teufel tun, nun auch noch ihren eingescannten Personalausweis in der Weltgeschichte herumzuschicken, also, wie soll es jetzt weitergehen? Was für Chancen und Möglichkeiten sind noch geplant, um an seinen Account wieder heranzukommen?
> Ich muss anderen hier leider zustimmen, man kann nicht in einem Atemzug sagen "Ups, wir haben ein Leak, aber gib uns mal deine Persokopie!"
> Klar, hat das technisch nichts miteinander zu tun, menschlich aber schon, ich will niemandem etwas geben, der gerade geschlampt hat, auch wenn es zwei verschiedene Dinge sind.
> Also, was soll da noch gemacht werden?
Sie soll sich bitte auch ans HD wenden.
info@animexx.de, einfach eine E-Mail und die Situation schildern :)
Dann können Schritte unternommen werden, damit sie wieder an ihren Account kommt.
"Kunst ist, was man schafft - wenn man lernt, zu träumen."
Für die viele Arbeit und Mühen danke an das Team im voraus
Ich hatte auch das Problem, dass ich eine alte e-mailadresse hatte und mich nicht mehr daran erinnerte welche genau ich damals bei der Registrierung hatte, bei mir standen im Grunde drei zur Auswahl. Ich hatte das große Glück dass ich das Problem im Discord Chat direkt mit Gali klären konnte, sodass ich dann wieder raschen Zugriff auf meinen Account hier bekam. Man kann wirklich alles ausreden und meist zu einer zufriedenstellenden Lösung kommen.
> Eine Frage hab ich da noch. Ihr habt im Update geschrieben, dass das ENS-Archiv nicht betroffen ist. Aber welche ENS betrifft es nun? Also der Zeitraum.
Wenn ich das aus der Antwort heraus bei mir Richtig verstanden habe, dann alle ENS die im Empfangen/Gesendet liegen.... und das wohl vom 30.7.19 zurück, bis zur letzten ENS, die eben nicht im Archiv gelandet ist. (bei mir sind das also, alle ENS vom 1.7.14 - 30.7.19)
Schau bei dir am besten mal ins ENS-Postfach rein :/
* vllt auch alle im "gelöscht" liegende ENS??? O___O
Vllt kann aber einer der Admins/HD-Helfer nochmal eine genaue / bestätigende Antwort dazu liefern >___<'
Was das archivieren künftig für die ENS mMn vllt sinnvoll wäre, wäre ein System wie bspw. bei mir auf Arbeit. Was eben nicht manuell vom User selbst ins Archiv geschoben (oder direkt gelöscht wird), wandert automatisch nach 1 Jahr dort rein. Und das nicht an einem festen "Archivierungstag" sondern immer. Sprich: Ich hab zB vom 1.12.19 eine ENS, diese ist automatisch ab dem 1.12.20 im Archiv (wenn nicht vorher manuell verschoben durch den User).
Das in dem Fall wie bei mir, die letzte Archivierung (ich denke das betrifft jeden von uns) mehr als FÜNF jahre zurück liegt, ist leider schon ein wenig erschreckend :/
Who fear music is dangerous.
Okay, das ist echt ein langer Zeitraum.o.O Kommt aber hin. Hab nachgeschaut und genau ab dem Jahr 2014 hab ich noch ENS im Postfach.
> Ich habe dazu bereits etwas geschrieben und werde es nicht noch einmal alles nieder schreiben, zumal ihr euch sowieso nur die Teile des Textes aussucht, auf den euch die Frage am bequemsten erscheint. Auf meine Fragen wurde beispielsweise nicht einmal ansatzweise eingegangen und nach wie vor interessiert es mich ob ein Fremder direkten Serverzugriff hatte?
Nein, es gab keinen direkten Zugriff auf den Server.
Der Server war online, anders hätten die Angreifenden nicht Zugriff erlangen können. Es wurde nicht behauptet, dass er offline gewesen ist. Der Server war noch nicht wieder vollständig in Betrieb genommen bedeutet, dass auf ihm nicht wieder neue Backups gespeichert wurden. Die Firewall war bereits aktiv, allerdings nicht korrekt konfiguriert.
> Warum äußert sich eigentlich keiner der verantwortlichen Techniker zu diesem Thema und steht uns Rede und Antwort?
Die meisten vom Technik-Team sind damit beschäftigt die technischen Probleme bei der Umstellung zu beseitigen und helfen uns nebenbei eure Fragen zu beantworten.
> Ach ja, noch einmal zu den Ausweisfotos/-scans, ich hoffe mit zeitnah löschen meint ihr, direkt nachdem die Identität bestätigt wurde.
Die Fotos/Scans werden nicht dauerhaft gespeichert. Nachdem die Identität bestätigt wurde, werden die betreffenden Anfragen an uns weitergegeben und wir löschen die Dateien.
> Alle Passwörter werden seit heute im neuen und sicheren Verfahren gespeichert.
Was im Umkehrschluss bedeutet, dass das bisher nicht der Fall war.
So langsam verstehe ich das Gegrantel der "IT-ler", über welches sich
Auf der einen Seite muss man froh sein, dass sich überhaupt wer aufopfert. Auf der anderen Seite ist damit Verantwortung verbunden, der im aktuellen Fall (wie auch anderen *1) nicht gerecht geworden ist und die manche auch nicht ernst nehmen (was nicht speziell auf den aktuellen Fall gemünzt ist).
Ich mag die Kommentare gar nicht alle lesen (eigentlich habe ich nur nach Antwort auf meine Frage gesucht, was genau denn nun betroffen ist und was nicht - erfolglos) und werde es auch nicht.
Wäre mir Animexx nicht wichtig, würde ich gar nichts sagen. Und fehlerfrei bin auch ich nicht.
*1 Die Shoutbox hatte ich an anderer Stelle schon erwähnt und dass ich (/alle?) per deeplink ohne Berechtigung (jede?) beim Helpdesk eingehende eMail lesen konnte, ist als weiteres Beispiel auch nicht weniger gruselig.
Doch denke ich, das wir mehr davon haben, wenn wir die Leute ihre Arbeit machen lassen, dammit dann auch mal der Chatt wieder funktioniert.
Ich bin ja selbst betroffen gewesen, doch mir hätte es nichts ausgemacht ein Foto oder den Ganze Perso abzulichten, damit ich wieder an meinen Account komme. Datenschutz ja, was nützt der euch aber wenn ein andere ungestört eure Geschichten liest oder gar löscht ohne das ihr es verhindern könnt. Da ist das einscannen des Passes das kleinere Übel, damit verhindert werden kann das Fremde an eure Accounts kommt denkt mal darüber und erschwert dem Team von Animexx nicht noch die Arbeit und regulierung des Schadens.
Bei denen die sich da ins Zeug legen um das alles ungeschehen machen, möchte ich mich bedanken. Denn sich haben es möglich gemacht, das ich wieder auf meinen Account zugriff hab. Von dem ich am Anfang noch dachte er ist weg und ich kann meine FFs und Onshots vergessen. Also ein Herzliches Danke an alle, wünsche euch das alles klappt wir ihr es euch vorstellt.
> Uryuu:
> > Alle Passwörter werden seit heute im neuen und sicheren Verfahren gespeichert.
> Was im Umkehrschluss bedeutet, dass das bisher nicht der Fall war.
Soweit ich das verstanden habe, waren die Passwörter mit einem sicheren Verfahren gespeichert, aber aus irgendwelchen Gründen zusätzlich mit der alten unsicheren Variante.
Was nur leider niemandem aufgefallen ist, bis es zu spät war.
So wirklich sicher, was alles betroffen ist, bin ich mir auch immer noch nicht.
Mal so nebenbei...wäre es nicht möglich die Sicherheitsstufe zu erhöhen? Vielleicht, dass wenn man sich von einem anderen Gerät aus Zugang verschaffen will man ein oder zwei Sicherheitsfragen muss, die man nur selbst weiß. Weil wer sagt, dass man nicht versuchen wird den Server erneut zu hacken? Übrigens wäre es schön wenn man uns auf den Laufenden hält, was die Anzeige angeht.
das letzte Tier getötet,
der letzte Baum gefällt wurde,
erst dann wird der Mensch erkennen, dass man Geld nicht essen kann!
> >Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.
>
> Was genau heißt das? Was genau ist das ENS-Archiv?
Das ENS-Archiv findest du unter dieser URL:
https://www.animexx.de/ens/archiv/
ENS vor 1.1.2014 sind nicht gestohlen worden.
Bei den meisten Mitgliedern wurden auch keine vor 1.7.2014 gestohlen. Jeder kann selbst nachsehen, wie weit die eigenen ENS zurückreichen (einfach auf die letzte Seite zurückblättern: https://www.animexx.de/ens/).
> Was ist mit der Altersverifizierung? Sind da irgendwie Daten gespeichert?
Die Daten die bei der Altersverifikation eingegeben werden, werden einmalig abgeglichen, aber nicht gespeichert.
>
> > Wird ein Scan vom gesamten Personalausweis verlangt oder kann man nicht benötigte Teile davon auch schwärzen/unkenntlich machen?
>
> Das ist grundsätzlich absolut möglich. Für die Identifizierung wird lediglich der Name, eventuell (das wird
Für uns ist wichtig, dass wir sicher feststellen können, dass es sich um die Person handelt, der der Account gehört.
Einige Stellen vom Ausweis oder Reisepass können dafür sicherlich auch geschwärzt werden. Namen und Geburtsdatum zum Abgleich sind allerdings in jedem Fall erstmal notwendig. Stimmen die Daten vom Ausweisdokument nicht mit denen im Account überein, versuchen wir Möglichkeiten zu finden Dinge abzufragen, die nur die Person wissen oder tun kann, die Besitzer*in des Accounts ist (Screenshot von der letzten TOFU-Zahlung vom PayPal-Account schicken, wenn noch Zugriff von der RPG-App aus möglich ist, einen bestimmten Text in ein RPG posten usw.).
Kann die Identität bestätigt werden, werden die Daten korrigiert und eine neue E-Mailadresse eingetragen. Die Personen können den Account bei Bedarf anschließend selbstständig löschen und evtl. Fanworks etc. entfernen, wenn diese nicht auch nach der Löschung bestehen bleiben sollen.