Informationen zum Fremdzugriff auf Backup-Server [Update]
Mit großem Bedauern müssen wir euch mitteilen, dass wir Fremdzugriff auf einen unserer Backup-Server festgestellt haben. Obwohl wir höchsten Wert auf Sicherheit unserer Server und eurer Daten legen, kam es nun nach 20 Jahren erstmals dazu. Wir sind sehr bestürzt darüber und haben bereits die Schwachstellen beseitigt und auch alle weiteren Server überprüft. Zum Glück betraf es nur diesen einen Server.
Nachfolgend erklären wir euch, was passiert ist und was ihr tun könnt.
Was ist passiert?
Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen eingespielt und die Firewall nicht korrekt konfiguriert worden.
Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Die Datenbank auf dem betroffenen Server wurde zu einem großen Teil kopiert und anschließend auf dem Server gelöscht.
Es wurden personenbezogene Daten, verschlüsselte Passwörter, ENS (ausgenommen das ENS-Archiv), Steckbriefe, Blogs, Zirkel und so ziemlich alle Inhalte, die aus Text bestehen gestohlen. Bilder und Fotos sowie Dateien, die als ENS-Anhang oder ähnliches hochgeladen wurden, sind nicht betroffen.
Leider konnten wir euch nicht früher informieren, da wir erst die Auflagen der Datenschutzbehörde umsetzen mussten. Alle Mitglieder erhalten in den nächsten Tagen eine E-Mail zu diesem Vorfall.
Was tut Animexx als Konsequenz?
Wir werden den Fall technisch im Detail untersuchen. Der Hack wurde zur Anzeige gebracht. Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Außerdem haben wir den Fall der zuständigen Datenschutzbehörde gemeldet und sind in enger Absprache mit dieser und unserem externen Datenschutzbeauftragten.
Der betroffene Server wurde selbstverständlich sofort abgesichert und ist nicht mehr von außen zugänglich.
Weitere Maßnahmen, die wir umsetzen sind folgende:
- Regelmäßige Security-Audits für alle Systeme, insb. in Hinsicht auf aktuelle Patches und Firewallregeln
- Wir prüfen, inwieweit wir besondere Daten wie die ENS oder Adressdaten in der Datenbank verschlüsseln können. Mit den derzeitigen Funktionen auf Animexx.de würden einige davon nicht mehr funktionieren. Daher müsste dies als optionale Auswahl zur Verfügung gestellt werden
- Ein neues Loginverfahren wurde bereits implementiert, um besseren Schutz zu gewährleisten
Was wurde bisher herausgefunden?
Die Angreifenden scannen das Internet nach Servern mit bestimmten Schwachstellen ab und starten dann üblicherweise ein vorgefertigtes Programm, dass wie oben beschrieben Daten herunterlädt und anschließend löscht und eine Benachrichtigung zurück lässt.
Dieser Angriff richtete sich nicht gezielt gegen Animexx, sondern wurde breit gestreut. Es gibt also kein spezielles Interesse der oder des Angreifenden an unseren Daten - in erster Linie geht es um die Erpressung von Bitcoin/Geld. Für gewöhnlich richten sich diese Angriffe an "Live"-Datenbanken und setzen deren Opfer unter Druck, da die Website/Datenbank dann ausgeschaltet bzw. verschlüsselt wird. In unserem Fall betraf der Hack nicht die Live-Datenbank, sondern ein älteres Backup.
Die Angriffe, die sich nach diesem Schema richten und die eine gleiche, oder stark ähnliche Botschaft der Erpresser beinhalten, finden seit August/September diesen Jahres vielfach im Netz statt.
Welche Auswirkungen hat das?
Die Datenbank hat ein älteres Backup beinhaltet, dass für den laufenden Betrieb nicht mehr benötigt wird. Es sind also keine Bestandteile der Animexx-Seite davon direkt betroffen.
Es ist leider nicht auszuschließen, dass Teile der Datenbank in entsprechenden illegalen Bereichen des Internets veröffentlicht werden. Normalerweise werden vor allem E-Mail-Adressen und Passwörter interessant, weil man damit wiederum gezielt einzelne Personen hacken kann.
Es ist möglich, dass ihr Phishing*-Nachrichten per E-Mail erhalten werdet. Seid bitte besonders aufmerksam!
Der Aufsichtsbehörde liegen nach aktuellem Stand keine Erkenntnisse vor, dass die betroffenen Datensätze bereits missbräuchlich verwendet wurden oder werden. Wird uns oder der Aufsichtsbehörde bewusst, dass sich das ändert, informieren wir euch umgehend.
Sind die Daten verschlüsselt?
Obwohl die Adaption eines stärkeren Hash* Verfahrens zur Sicherung der Passwörter begonnen hatte, konnten wir leider feststellen, dass das ehemals benutzte SHA1-Verfahren zu Kompatibilitätszwecken weiterhin in der Datenbank verfügbar blieb. Die nicht mehr vollkommen sicheren SHA1-Passwörter sind damit dem Nutzerkonto trotz eines solideren, aktuelleren Hashes zuordenbar. Die Gefahr der Entschlüsselung von Passwörtern ist gegeben. Wir empfehlen allen Mitgliedern ihre Passwörter zur Sicherheit zu ändern und nirgends die gleichen Passwörter zu verwenden.
Mitglieder, die TOFU nutzen, haben die Möglichkeit, für eine Bank-Lastschrift ihre Kontodaten zu hinterlegen. Die Kontodaten sind auf dem Server nur verschlüsselt hinterlegt und können nur in der Buchhaltung lokal entschlüsselt werden.
Für alle anderen Daten bieten wir kein verschlüsseltes Verfahren an, diese könnten also ggf. in falsche Hände geraten. Betroffen sind hiervon unter anderem Adressdaten oder ENS.
Was ist nicht betroffen?
Es wurden ausschließlich Daten die in der Datenbank gespeichert waren entwendet. Nicht betroffen sind also alle Arten von Bildern/Fotos/Dateien.
Alle Daten, die nach dem 30. Juli 2019 angelegt wurden, sind ebenfalls nicht betroffen.
Was könnt/müsst ihr tun?
Wie immer bei ähnlichen Vorfällen sind diese Punkte zu nennen:
- Das Animexx-Passwort zeitnah ändern
- Passwörter auf keinen Fall mehrfach für verschiedene Websites und/oder Apps verwenden. Bereits kleine Abwandlungen helfen
- Keine kurzen und einfachen Passwörter verwenden (es wird oft dazu geraten, dass Passwörter mindestens 15 Zeichen enthalten sollen und eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen beinhalten sollen)
- Der persönliche E-Mail-Account ist zentral wichtig und sollte besonders gut abgesichert werden. Solltet ihr das gleiche Passwort bei Animexx und eurem E-Mailaccount verwenden, ändert umgehend das Passwort eures E-Mailaccounts!
Haben die Loginprobleme vor kurzem damit zu tun?
Nein, das steht nicht im Zusammenhang. Es bestand hierbei zu keiner Zeit eine Sicherheitslücke.
Wohin kann ich mich bei Fragen wenden?
Wir werden versuchen alle eure Fragen zu beantworten. Bitte habt Verständnis dafür, dass wir nicht jedem sofort antworten können. Schreibt uns bitte direkt an die für diesen Fall eingerichtete Helpdesk-Box, damit nichts untergeht: https://www.animexx.de/helpdesk/?pre_bereich=dsgvo oder per E-Mail an info@animexx.de
Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Animexx e.V. ist:
a.s.k. Datenschutz e.K.
Schulstraße 16a
91245 Simmelsdorf
Deutschland
Tel.: +49 9155 263 99 70
E-Mail: extdsb@ask-datenschutz.de
Website: www.ask-datenschutz.de
Jede betroffene Person kann sich jederzeit bei allen Fragen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.
[Update 17.12.19]
Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.
Was kann ich tun, wenn ich keinen Zugriff mehr auf meine E-Mailadresse habe?
Meldet euch bitte direkt im Helpdesk oder per E-Mail an info@animexx.de mit eurem Benutzernamen, einer neuen E-Mailadresse und einem Scan/Foto von eurem Ausweis. Die Daten werden dann mit euren Angaben auf dem Account verglichen. Sind sie identisch, wird die neue E-Mailadresse eingetragen. Die Ausweisscans/Fotos werden von uns anschließend zeitnah gelöscht.
Das neue Passwort wird nicht angenommen, was kann ich tun?
Klappt die Eingabe des Passwortes nicht, obwohl ihr es schon mehrfach versucht habt und sicher seid, dass sich kein Vertipper eingeschlichen hat: Versucht es bitte einzutippen und nicht zu kopieren und einzufügen. Das kann in manchen Fällen helfen. Bitte habt etwas Geduld, sollte es mit dem Eintippen nicht funktioniert haben. Unser Technik-Team versucht weiterhin eine Lösung zu finden.
Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?
Wir bearbeiten die Anfragen schnellstmöglich. Aufgrund der Menge kann die Bearbeitungszeit variieren. Solltet ihr innerhalb von 24 Stunden keine Antwort erhalten haben, meldet euch bitte nochmal bei uns. Die Nachricht kam dann vermutlich nicht bei uns an. Über die Feiertage können wir leider nur eingeschränkt eure Anfragen bearbeiten. Bitte habt Verständnis dafür, dass sich die Bearbeitungszeit also deutlich erhöhen kann. Wir versuchen dennoch euch so schnell es geht weiterzuhelfen.
[Update 24.12.19]
Ergänzung zu "Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?": Bearbeitungszeit über die Feiertage wird erhöht sein, wir bitten um Verständnis.
Die E-Mail um das Passwort zurückzusetzen kam zweimal an, ist das Phishing?
Nein, wir versenden diese E-Mails von zwei Providern aus, um die Zustellung an euer Mail-Postfach sicherzustellen. Es ist also alles in Ordung, wenn ihr die gleiche Mail zweimal erhaltet. Solltet ihr dennoch unsicher sein, könnt uns gerne die betreffenden Mails weiterleiten, damit wir sie einmal prüfen können. Ihr erreicht uns über die oben genannten Kontaktwege.
*Phishing: Beschaffung persönlicher Daten anderer Personen mit gefälschten E-Mails oder Websites, um bspw. das Konto zu plündern. Siehe https://de.wikipedia.org/wiki/Phishing
*Hash: Unter einem Hash versteht man ein kryptographisches Einwegverfahren welches erlaubt Daten miteinander zu vergleichen, ohne den Inhalt zu kennen. Das Verfahren ist dabei nicht umkehrbar. Sozusagen eine Verschlüsselung ohne Umkehr. Im Fall von einem Passwort vergleichen wir immer jeweils nur die Hashes und nicht das Passwort selbst. Siehe https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion
> Ich weiß, hätte ich viel eher auch schonmal ausmisten können... Andererseits frage ich mich auch, warum der Archivzeitraum so lang ist... O.o (sprich, bis was automatisch ins archiv geschoben wird - kann mir kaum vorstellen, dass ich alle ENS vor dem 1.7.14 manuell verschoben habe ^^)
wir haben aus dieser Situation ebenfalls gelernt und gehen nicht davon aus, dass wir weiterhin ein "grenzenloses" ENS-Postfach zur Verfügung stellen werden. Über Einzelheiten befinden wir uns noch in der Diskussion und falls wir das Postfach tatsächlich limitieren sollten, werden wir rechtzeitig Information an unsere User herausgeben, damit die ENS bei Bedarf lokal gesichert werden können.
Danke für die Auskunft.
Müssen die Daten denn für einen Betrug zwangsläufig irgendwo veröffentlicht werden? Oder reicht es schon, dass die Betrüger nun die Daten haben und damit z. B. auf Namen von Animexxlern bestellen können bzw. versuchen können, von Konten abzubuchen?
(Entschuldigt die Fragerei, ich möchte für mich nur möglichst viel Klarheit bekommen und bin aber auch kein Fachmann auf dem Gebiet.).
Was die Haftungsfragen etc. angeht, würde ich es wie bereits gesagt, sehr begrüßen, wenn wir nun zeitnah über alles Weitere immer informiert werden, damit ggf. schnellstmöglich weitere Schritte eingeleitet werden können. Habe etwas ähnliches (auch wenn´s nur die Handynummer war) schon mal durch, daher fände ich das nur fair gegenüber allen.
Hallo ist es möglich den Code an eine andere Email von mir zu senden vom Account Namiki_?
Denn einfach nur abzuwarten und nicht zu reagieren, kann dann auch nicht der beste Weg sein.
(Danke an P-, für die übersetzung^^)
Dafür muss das HD-Team eine neue E-Mail für deinen Account hinterlegen. Schreib dem HD-Team einfach das Problem. Es kann aber etwas dauern, bis die Anfrage bearbeitet werden kann. Wir bitten um Geduld. :)
Eine Herausforderung bleibt allerdings. Seit der Passwortänderung komme ich über Jabber (Trillian) nicht mehr in das Mexxengersystem. Das (neue) Passwort sei falsch, sagt die Fehlermeldung. Das alte funktioniert aber auch nicht. Hat jemand ein vergleichbares Problem und schon eine Lösung gefunden?
"Give me a scalpel and I'll go look."
(Caroline in the City)
Ihr könnt nix dafür, aber etwas spät. Ab November hätte man schon alles damit machen können.
Passwörter sind auf jedenfall geändert 🙈
Ok ich werde warten. Hoffe, dass schnell alles geregelt wird.
Denn kriege auf beiden Email adressen die ich zu der Zeit hatte keinen Code.
Und HD hab ich schon geschrieben.
> Eine Herausforderung bleibt allerdings. Seit der Passwortänderung komme ich über Jabber (Trillian) nicht mehr in das Mexxengersystem. Das (neue) Passwort sei falsch, sagt die Fehlermeldung. Das alte funktioniert aber auch nicht. Hat jemand ein vergleichbares Problem und schon eine Lösung gefunden?
Also es ist bekannt, dass der Animexx-Chat, sowie die Benachrichtigungen (blauer Balken und so), derzeit spinnen/nicht funktionieren. Eventuell könnte es damit zusammen hängen, da bin ich aber nicht sicher.
Aber das Ganze gibt mir zu denken, dass ich vielleicht doch nicht auf 90% der Seiten wo ich angemeldet bin das gleiche pw verwenden sollte, gerade bei email und paypal :///
morgen mal überall pws erneuern und irgendwo aufschreiben.
> Also es ist bekannt, dass der Animexx-Chat, sowie die Benachrichtigungen (blauer Balken und so), derzeit spinnen/nicht funktionieren. Eventuell könnte es damit zusammen hängen, da bin ich aber nicht sicher.
Aaah, okay, dann warte ich erst mal ab, wie sich das entwickelt, bevor ich den Helpdesk anschreibe. Der hat bestimmt eh alle Hände voll zu tun.
"Give me a scalpel and I'll go look."
(Caroline in the City)
Ich habe auch grade wenig Verständnis, dass diese Information jetzt hier vorenthalten wird!
Genauso könnte es auch die Leute beruhigen, wenn sie wissen, dass ihr PW mit dem neuen Verfahren gespeichert wurde und so eher wenig Gefahr besteht.
Es geht um all die anderen Daten aus Account, ENS, Weblogs, usw.
Ich kann verstehen, dass ihr vorher nicht bescheid sagen durftet. Wäre nur noch schlimmer, wenn noch jemand von der Datenlücke erfahren hätte, während die Sache mit den Passwörtern nicht verbessert war!
Kontodaten habe ich hier Gott sei Dank keine, damit bin ich außerhalb von Seiten wie Amazon sehr vorsichtig. Ist nur ärgerlich wegen der Adresse!
Don't worry, it's only me... *auf avi zeig*
Kinder-Erdbeer-Zahnpasta-Fanta-Fanclub!
Mein Nasch- und Bentoblog:Hier klicken - Bentos, Süßwarenreviews, Tipps zur Japanreise und mehr
> Das ENS-Archiv ist nicht betroffen. Aber alle ENS, die nicht im Archiv waren, also bis 2014.
Bitte zeitnah den Blog aktualisieren, was nun genau betroffen ist und was nicht. Dem aktuellen Stand nach nämlich _alle_ Texte - bis hin zum Helpdesk.
Alle Passwörter werden seit heute im neuen und sicheren Verfahren gespeichert. Das war auch Auflage der Datenschutzbehörde, der wir sofort nachgekommen sind.
SHA1 ist auf animexx mit dem heutigen Reset aller Passwörter endgültig nicht mehr länger im Einsatz.
> Meine erste Reaktion war: oha. Da mein Passwort hier von mir sowieso veraltet (und ziemlich unsicher xD) war
Nya, SHA1 Verschlüsselung ist zwar unsicher, aber das ist ein eher theoretisches Problem. Dank modernster Kryptoanalyse kann sein ein richtig guter Gamer-PC das Paßwort in wenigen tausend Jahren knacken. ^^ Andererseits is das erste Viertel recht fix errechnet, je nach Paßwort könnten das dann schon ein Problem sein - manches Paßwort läßt sich nach dem ersten Viertel relativ zuverlässig sogar erraten.
BTW: Liebes Mexx-Team, ich mag ja hier echt nicht gern über die Sinnlosigkeit des Sonderzeichens im Paßwort diskutieren. Aber wenn ihr das verpflichtend macht, was zumindest bei mir der Fall war, dann wäre es ganz nett aus „sollte enthalten“ ein „muss enthalten“ zu machen - also die Beschreibung anzupassen. Das würde nervige Neueingabe ersparen. Danke.
Guter Hinweis, danke! Ich passe den Sonderzeichen-Text mit dem nächsten Update an. 😊
> Nekoryu:
> > Meine erste Reaktion war: oha. Da mein Passwort hier von mir sowieso veraltet (und ziemlich unsicher xD) war
> Nya, SHA1 Verschlüsselung ist zwar unsicher, aber das ist ein eher theoretisches Problem. Dank modernster Kryptoanalyse kann sein ein richtig guter Gamer-PC das Paßwort in wenigen tausend Jahren knacken. ^^
Naja, nur wenn das Passwort auch entsprechend viel Entropie hat. Und ohne Passwortmanager ist das eigentlich nie der Fall. Da könnten es dann auch Sekunden sein: https://www.youtube.com/watch?v=7U-RbOKanYs
»infam, hassgeladen, nicht wahrheitsgetreu und ins Negative verzerrend« -- Eine entrüstete Mutter
> Uryuu Ich bitte einfach nur um etwas Transparenz. Zb. Wenn ich mein PW Anfang des Jahres geändert habe. Liegt dass dann in den gestohlenen Daten als SHA1 oder "neues stärkeres Verfahren" vor?
Alle Passwörter bis heute wurden auch als SHA1 gespeichert. Das heißt alle aktiven Passwörter zum Zeitpunkt(30. Juli 2019) des Backups sind betroffen.
Was bist du also bereit preis zu geben und vor allem wem? Kontodaten oder ähnlich sensible Daten zB gehören meinem Sicherheitsverständnis nach nicht in eine PM bzw ENS. Das kann man zB im persönlichen Gespräch am Telefon abklären (ein Telefon abhören ist technisch aufwendiger als sich zugang zu mails oder PMs zu verschaffen).
Komplizierte Passwörter lassen sich entweder mit einem Passwortmanager wie zB KeePass handhaben oder man überlegt sich 'komplizierte' und lange aber trotzdem einfach zu merkende Passwörter.
Schreibt man selbst Fanfiction kann man sich zB einen langen Satz daraus nehmen und die Anfangsbuchstaben der Wörter (oder immer die ersten beiden Buchstaben oder den Anfangs und Endbuchstaben. Ihr versteht das Prinzip :o) ) als Passwort nutzen. So entsteht ein Passwort das lang ist und sich in keinem Wörterbuch finden lässt und das man sich trotzdem leicht merken kann, schliesslich hat man den Satz ja im Kopf. Man kann das auch zB mit Liedtexten oder Filmzitaten machen oder Witzen oder was auch immer. Sätze sind eine tolle 'Eselsbrücke' zu sicheren Passwörtern.
Neben diesem kleinen Tip empfehle ich Veranstaltungen zum Thema Sicherheit wie zB Cryptoparties die hin und wieder stattfinden (Termine finden sich im Netz) oder einfach mal bei einer CCC Gruppe vorbeischauen (CCC = Chaos Computer Club) die es in vielen Städten gibt und dort nett nachfragen was man denn in Sachen Sicherheit tun kann. Oder auch mal den ein oder anderen Podcast hören
zB
https://logbuch-netzpolitik.de/lnp281-bedenken-second
oder
https://www.datenschutz-podcast.net/
Und lasst euch nicht verschrecken von Begriffen die ihr vielleicht noch nicht gehört habt oder von Leuten die 'irgendwie anders' sind. Die Cosplayszene ist ja auch 'irgendwie anders'. :o) Wer nett ist, um hilfe bittet oder bei einem unbekannten Begriff nachfragt, dem wird auch geholfen.
CCC Gruppen findet man hier
https://www.ccc.de/de/club/erfas
Wenn man den Account letztes Jahr gelöscht hatte, waren da auch noch die daten der gelöschten accounts in dem backup? Oder waren diese WIRKLICH gelöscht und damit nicht vom Diebstahl betroffen?
Nya, das ist kein Problem des Sonderzeichens (oder der Zahl oder beidem), sondern der Sinnlosigkeit des Paßwortes allgemein. Paßwörter versucht man via Brutforce zu knacke, gern mit Wörterbuchunterstützung. Und das übliche vergeben von 1234, Mama, Vorname-der-Freundin ist nun mal auf die Art im nu erledigt - das sind die allerersten Einträge im Wörterbuch.
Zeug in der Art von Ziegestein*Tiger oder Monitor-Dinoist auf die Art dann schon eine völlig andere Hausnummer. Die übliche Empfehlung Buchstabensalat mit Zahlen und Leerzeichen bis zur kompletten Unerkennbarkeit ist jedenfalls nicht nennenswert sicherer. Bei 1234 ist die Art der Verschlüsselung jedenfalls völlig irrelevant.
Letztlich ging es mir aber auch nicht um eine Diskussion wann ein Paßwort wirklich sicher ist. Mexx ist da zu einem bestimmten Ergebnis gekommen, damit kann man nun leben oder es halt bleiben lassen - ändern kann man es nicht. Deswegen ging es mir nur um die leicht irreführende Beschreibung dessen, die ja nun auch angepaßt wird.
Dich gibt's hier noch? Ich dachte schon, ich wär das einzige 2000er Urgestein :D
Um das PW hier mach ich mir keine Birne. Der Server, für den ich's mitgenutzt habe, gibts seit Jahren nicht mehr :D
Ich bin nicht gestört. Ich bin nur verhaltensoriginell!
Es ist nicht into L erant, das Wort nur mit einem L zu schreiben....
Versteht-dich-
BärKatzeVom Helpdesk kam - wie gewohnt - bislang keine Antwort, über info@animexx.de ging es zu Anfang dann doch recht schnell, mit der bitte ein Foto vom Personalausweis zu schicken. Ah ja, darüber könnte man angesichts der Situation schmunzeln. Seit dem kommt nichts mehr und die Frage, ob ich meinen Account je wieder sehe - offen. ToFu kassiert ihr natürlich weiterhin und wenn es nach euch geht wohl auch dann, sollte mein Account mir nicht wieder zugewiesen werden können. Für alle denen es ähnlich geht und die über PayPal bezahlt haben, gibt es ja glücklicherweise noch den Käuferschutz. Mittlerweile warte ich seit rund neun Stunden auf eine Antwort und lese, was für einen waghalsigen Unsinn ihr einem hier auftischt.
Nun zum eigentlichen Thema, der von euch veröffentliche Blogbeitrag ist freundlich gesagt einfach nur ein Witz! Mal eine ernst gemeinte Frage: Für wie dumm haltet ihr eure Community eigentlich? Es ist schon echt stümperhaft bei SHA-1 von einer effektiven Verschlüsselung zu reden. Bereits 2005 wurde der Algorhytmus geknackt, was - wenn ich mich nicht verrechne - mittlerweile 14 ! Jahre her ist. SHA-2 gibt es nicht erst seit gestern und hat daher nicht mal mehr etwas mit "nicht auf dem neusten Stand sein" zutun. Übrigens kann das jeder User eigenhändig mit wenigen Klicks nachlesen. Jetzt wollt ihr euren Nutzern also tatsächlich weiß machen, eure Seite sei sicher? Wäre es nicht so verdammt ärgerlich, würde ich lachen.
Es ist, als hätte man eine unverschlossene Tür ... mit zwei henkeln. Lasst ihr auch jeden bei euch zu Hause einfach so rein und sich nehmen, was er möchte? Ich glaube kaum. Ihr wollt lediglich euren Hals aus der Schlinge ziehen, deshalb bittet ihr auch, von privaten Anzeigen abzusehen - wozu übrigens jeder einzelne das Recht hätte.
Eure Aussagen passen vorne und hinten einfach nicht zusammen und jetzt soll man euch glauben, dass Kontodaten anders verschlüsselt sind? Klingt für mich irgendwie alles kein Stück weit glaubwürdig.
Ihr sagt der Server hatte eine Problem mit dem RAID, eine Festplatte musste ausgetauscht werden und laut Posting war der Server die ganze Zeit offline und nicht produktiv im Einsatz. Im nächsten Satz sagt ihr, nur dieser Server hat die Sicherheitslücke und hatte die Probleme ... wie kann ein Server, der nicht produktiv im Einsatz war, gekapert werden? Er ist doch gar nicht online.
Weiter stellt sich die Frage, wie ohne Firewall gerootet werden kann? Dann muss der Server ja quasi doch im Betrieb gewesen sein, ohne Aktualisierung und Firewall. Der ganze Eintrag tut beim Lesen vorne undhinten irgendwie weh und ich finde ihr schuldet euren Nutzern ein paar Erklärungen.
Solltet ihr tatsächlich alles auf einem physikalischen Server hosten, ist das schon hart. Auch wenn ihr das ganze ehrenamtlich tut, haltet euch vor Augen, dass ihr hier mit vertraulichen personenbezogenen Daten handtiert. Da hört für mich der Spaß auf, mach es richtig oder lass es sein. Es gibt noch weitere Punkte - ich könnte hier schon fast einen Roman schreiben - aber das würde den Rahmen sprengen. Wie wäre es mal mit etwas Ehrlichkeit, ihr habt Mist gebaut.
Yuya
Seit Jahren nen schönes PW gewohnt und nun muss ich mir mehr merken ..ach menno...
Aber!
Hut ab,das ihr da sogut euch drum kümmert ^^
und das ihr sogute Kontakte habt,das man es rausfinden konnte woran es wohl lag.
und klar es ist nervig wenn man sich mehr merken muss an zeichen,aber andererseits sieht man daran auch das ihr mehr sicherheitsvorkehrungen trefft :3
Es zeigt aber auch mal wieder,das hacker jeden Treffen kann...weshalb ich echt Schiss vor der Zukunft habe, da ich keine wirkliche Sicherheit in einer immer mehr technisierenden Gesellschaft sehe(Bargeldloser , mehr mit dem Handy,auch finanzen ,usw.)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
catastrophe:
> > Nun zum eigentlichen Thema, der von euch veröffentliche Blogbeitrag ist freundlich gesagt einfach nur ein Witz! Mal eine ernst gemeinte Frage: Für wie dumm haltet ihr eure Community eigentlich? Es ist schon echt stümperhaft bei SHA-1 von einer effektiven Verschlüsselung zu reden. Bereits 2005 wurde der Algorhytmus geknackt, was - wenn ich mich nicht verrechne - mittlerweile 14 ! Jahre her ist. SHA-2 gibt es nicht erst seit gestern und hat daher nicht mal mehr etwas mit "nicht auf dem neusten Stand sein" zutun. Übrigens kann das jeder User eigenhändig mit wenigen Klicks nachlesen. Jetzt wollt ihr euren Nutzern also tatsächlich weiß machen, eure Seite sei sicher? Wäre es nicht so verdammt ärgerlich, würde ich lachen.
Das SHA-1 Verfahren wurde bereits abgelöst. Leider lagen durch eine Kompatibilitätsschicht zu einer dritt Software weiter Passwörter im SHA-1 Verfahren vor. Dies wurde jedoch erst bei einer Analyse ersichtlich. Die arbeiten an einem generell neuem Login System wurden auch schon vor einiger Zeit gestartet, jedoch noch nicht fertig gestellt. (inkl. 2FA etc.)
Der "Einbruch" auf dem Server wurde durch den defekt an selbigem leider erst später festgestellt. Leider auch, das die Firewall an diesem nicht richtig arbeitete - was sie hätte sollen. Eine Überprüfung der anderen Server hat ergeben, das dort dieses Problem nicht vorlag. Das konkrete Problem resultierte aus der nicht richtig greifenden Firewall und einem darauf folgendem Brute Force. Nicht aus Sicherheitslücken in der Server Software. Die Firewall wurde zu keinem Zeitpunkt von uns deaktiviert.
Die Kontodaten sind Asymmetrisch in einem aktuellen Verfahren verschlüsselt. Der Schlüssel für die Daten befindet sich nur Offline im Animexx Büro, nicht auf den Servern.