Hacker stehlen Spiele-Offensive-Daten

[SpieLama]

Hallo,

folgende E-Mail flatterte gerade in meinen Briefkasten:

"Hallo,

wir müssen Ihnen leider mitteilen, dass die Datenbank unserer Onlineshops [www.spiele-offensive.de, Anmerkung der Redaktion] das Ziel eines erfolgreichen Hackerangriffs geworden ist. Der Datendiebstahl fand am 1. Februar 2014 statt und richtete sich auf die bei uns gespeicherten Kundendaten. Nach unseren Erkenntnissen ist es den Angreifern gelungen, Datensätze unserer Kunden zu kopieren. Sehr warscheinlich sind auch Sie davon betroffen.

Diese Daten wurden dabei von den Angreifern erbeutet:
- Vorname
- Name
- Emailadresse
- ggf. das verschlüsselte Passwort

Betroffen sind sowohl die Daten von Kunden mit als auch von Kunden ohne Kundenkonto. Sollten Sie ein Kundenkonto bei uns führen, ist das Passwort ebenfalls, allerdings ausschließlich in verschlüsselter Form, betroffen. Wir verwenden aus Sicherheitsgründen eine Ein-Wege-Authentifizierung, durch die man das eigentliche Passwort nicht ohne erheblichen Aufwand ermitteln kann. Dennoch empfehlen wir all unseren Kunden, ihr Passwort regelmäßig zu ändern. Insbesondere dann, wenn Sie das Passwort auch für andere Dienste verwenden, sollten Sie es auch dort ändern.

Nach bisherigen Erkenntnissen sind Bankdaten vom Angriff NICHT betroffen. Kreditkartendaten oder Daten von Internetzahlungsanbietern, wie z.B. Paypal speichern wir grundsätzlich nicht. Bitte beobachten Sie dennoch Ihre Kontobewegungen ganz genau. Unerlaubten Abbuchungen können Sie bei Ihrer Bank einfach und schnell widersprechen.

Wichtig:
Die erlangten E-Mailadressen und Namen werden sehr warscheinlich für Phishingversuche eingesetzt werden. Achten Sie insbesondere auf E-Mails, in denen Sie gebeten werden, Paypalzahlungen zu authorisieren oder Paypalpassworte abzugleichen oder etwas derartiges bei anderen Zahlungsdienstleistern zu tun. Ebenso gefährdet sind Zugangsdaten für soziale Netzwerke, wie Facebook oder Twitter oder zu sehr bekannten Onlineshops, wie Otto, Zalando oder Amazon. Durch die passende Anrede werden diese Emails täuschend echt aussehen. Die Emails werden auf jeden Fall Links zu einer Webseite enthalten, die der Originalwebswite täuschend ähnlich sieht. Achten Sie daher ganz besonders darauf, ob die URL, also die Webadresse im Browser, die richtige ist. Im Zweifel geben Sie die Adresse Ihres Zahlungsanbieters lieber selbst direkt in den Browser ein, bevor Sie sich einloggen. Öffnen Sie außerdem keine E-Mailanhänge, die Sie nicht erwarten oder die ungewöhnlich erscheinen!

Weitere Informationen zum Thema Phishing und wie man sich davor schützt finden Sie auch auf Wikipedia:
http://de.wikipedia.org/wiki/Phishing

Wir bedauern die Unannehmlichkeiten zu tiefst und tun unser Bestes, den Schaden zu begrenzen und um zu verhindern, dass etwas ähnliches erneut passiert.

Viele Grüße aus Merseburg

Ihr Team von
Happyshops"

[El Grande]

Na dann werde ich gleich mal mein Passwort ändern

[Bossi]

Danke für den Hinweis!

Hatte da auch noch ein Konto, wie ich gerade festgestellt hatte...

[Zottelmonster]

Ich habe die Mail auch erhalten. Man könnte glatt böse sein, dass es drei Tage (oder zumindest anderthalb Werktage) für die Benachrichtigung gebraucht hat. Und die Informationsquelle zum Thema Phishing ist auch, nun ja, höchstprofessionell gewählt.

[Bossi]

Naja, letzteres ist wohl der "Größe" des Versandunternehmens geschuldet - halt nicht Amazon...!

[SpieLama]

Hier noch der Link zur offiziellen Happyshops-Pressemitteilung "Wichtig: Warnung vor Phishingmails nach Datendiebstahl": http://www.happyshops.com/index.php?cmd=presse&pm=96 .

[SpieLama]

Und hier noch ein Kommentar von Frank Noack. Er ist einer der Köpfe hinter Happyshops. Er schreibt auf http://de.trictrac.net/news-hacking-ang ... yshops.php : "[...] Es wurden keine Passwörter im Klartext gestohlen. Wir verwenden ein Ein-Wege-Verschlüsselungsverfahren mit dynamischen Salt. selbst wenn man den Salt kennt, könnte man das Passowrt nicht wiederherstellen, sondern allenfalls mittels Bruteforce erraten. Da der Salt dynamisch ist, ist das sehr unwarscheinlich. [...]"

[schnabbo]

Man könnte glatt böse sein, dass es drei Tage (oder zumindest anderthalb Werktage) für die Benachrichtigung gebraucht hat.

Brauchst du nicht. Schließlich haben Sie in der recht kurzen Zeit nicht nur festgestellt, dass etwas merkwürdig ist sondern auch herausgefunden was passiert ist und was dabei gestohlen wurde. Dazu Notfallsitzungen wie man das den Kunden sagt (Text verfassen, ggf. Einschränkung auf betroffene Personen u.ä.) usw.

Ich finde die Reaktionszeit gar nicht so übel und es ist immerwieder erfrischend, wenn jemand so offen ein Unglück oder Fehler zugibt. Da gab es schon ganz andere Vertuschungen (ich sage nur NSA)

[widow_s_cruse]

Hallo,

als ich am Samstag mit Frank auf der Messe ein Gespräch führte, war er ganz entspannt.

Sicher muss vor dem Entwenden der Passwörter gewarnt werden. Aber ich vermute, dass Kundenstammdaten mit Mailadresse von größerem Interesse sind, weil sie sich leichter Nutzen (Phishing) lassen. Auch hier gilt vielleicht die Relation von Aufwand und Ergebnis.