Spielegrotte Kundendaten gehackt

[Rumbah]

Wenn etwas unrechtmäßig per Bankeinzug vom Konto abgebucht wird, dann muss die Bank das auch über 6 Wochen hinaus zurückbuchen. Die 6 Wochen Frist gilt nur für rechtmäßige Abbuchungen.

Und zu SSL: Das ist nur das Protokoll bei der Übertragung eurer Daten, also dass keiner zwischendrin euren Datentransfer auslesen kann. Über die Daten, die dann bei dem Anbieter gespeichert sind, sagt das gar nichts aus.
Oder als Analogie im Briefverkehr: SSL sorgt dafür, dass euer Brief vom Einwurf in den Briefkasten bis zum Eingang beim Empfänger sicher transportiert wird. Wenn dann allerdings beim Empfänger eingebrochen wird und euer Brief da gestohlen wird, dann hilft auch die sichere Übertragung nichts.

[Player]

Tja, und da hat die Grotte leider ebenfalls 'ne Sicherheitslücke (gehabt). SSL-Zeichen ist für mich als Laien halt ein Zeichen, dass es die Seite mit Sicherheit ernst nimmt.

[tdk]

Man sollte sich vielleicht nicht zu verrückt machen.

Nach einem kurzen Abstecher in das Schneegestöber draußen (Müll raus bringen ), denke ich das mittlerweile auch. Das Argument von CZ bezgl. der Weitergabe der Kontodaten z.B. bei eBay klingt schlüssig.

Nur dass meine Geschäftspartner bei ebay wahrscheinlich einfach nur den Handel abschließen wollen - und gut.
Bei der Person, welche sich auf illegale Weise die Daten von mehreren hundert Leuten ergaunert sieht das wohl grundlegend anders aus...

Mittlerweile könnte ich kotzen bei dem Gedanken an die Sache.
Und könnte mir auch selber in den Allerwertesten beissen. Hatte dort aus vielerlei Gründen schon ewig nichts mehr bestellt, und natürlich trotzdem meine Kontodaten dort hinterlegt

Und bei der Informationspolitik der Spielegrotte könnte ich kotzen.
Fahrlässig handel und dann wie es aussieht auch noch totschweigen.
Da sollte man echt mal die rechtlichen Konsequenzen prüfen.

[Odango]

Die Spielegrotte ist relativ klein, oder? Jedenfalls kein Riese wie Amazon. Dementsprechend kann ich mir vorstellen, dass denen grad schlichtweg die Flatter geht, weil ihre Existenz auf dem Spiel steht. Da überlegen die sich lieber 2 oder 3 Mal was sie den Kunden schreiben und sichern sich mit diversen Anwälten erstmal ab.
Trotzdem ist das Schweigen beschissen und tönt ein bisschen unprofessionell. Aber da werden so einige Leute Konsequenzen draus ziehen, büßen müssen sie also so oder so... nu is es eh zu spät.

[Player]

Ich schätze mal, dass die Grotte von so einigen Kunden verklagt werden dürfte, wenn man sieht, was da teilweise im Forum von verärgerten Kunden steht/stand. Ist ja ein sensibles Thema. Ich frage mich, ob man nicht eine rieisige Verantwortung hat, dass alle Daten sicher auf deren Rechner gespeichert sind.

[Cyber Zéro]

Von dem Image-Schaden wird der Shop jedenfalls noch einige Zeit zehren können ...

[Cyber Zéro]

Das Beispiel sollte auch nur zeigen, dass Bankdaten keineswegs zu den "geheimen" Daten gehören und ein Missbrauch sehr viel häufiger möglich ist, als man es vielleicht zunächst annehmen würde. Die ergaunerten Daten werden vermutlich ohnehin gewinnbringend an Glücksspielfirmen und Call Center verkauft - wie so oft. Mehr wird wahrscheinlich nicht passieren.

[Jockel]

Ich schätze mal, dass die Grotte von so einigen Kunden verklagt werden dürfte, wenn man sieht, was da teilweise im Forum von verärgerten Kunden steht/stand. Ist ja ein sensibles Thema. Ich frage mich, ob man nicht eine rieisige Verantwortung hat, dass alle Daten sicher auf deren Rechner gespeichert sind.

Naja man kann's abmahnen lassen, das sind dann ordentliche Kosten für die Grotte.
Ich kann mich erinnern, dass der furchtbare Laptop-Schuppen, indem ich gearbeitet habe, mal ne Abmahnung in Höhe von 2.500€ blechen musste wegen nem Fehler in der AGB

[stef]

Was mich persönlich bei dieser Sache am meisten ärgert, ist,

• - dass dieses Sicherheitsproblem mit der Kundendatenbank anscheinend schon länger bestand und nicht gehandelt wurde

• - dass eine SSL-Verschlüsselung - wenn auch stümperhaft - vorgetäuscht wurde/wird

• - dass die Kommunikation im Spielegrotte-Forum seitens der Admins/Mods etc. so unfreundlich abläuft - klar sind wir alle nur Menschen, aber wo ist das Problem zu sagen, "sorry, wir kümmern uns drum, Infos folgen, habt bitte noch ein wenig Geduld", ach ja, ich sehe das Problem: ein "sorry" ist immer schon ein Schuldeingeständnis

[tdk]

Das mit der SSL-Verschlüsselung ist eigentlich, wenn auch trotzdem noch gelogen, nicht das Hauptproblem.
Dank SSL-Verschlüsselung werden die Daten ja auch "nur" verschlüsselt übertragen, liegen dann aber nach erfolgreichem Transfer immer noch in Klartext in der Datenbank.
Und diese wurde ja nunmal per SQL-Injection ausgelesen .

[Spike]

• - dass die Kommunikation im Spielegrotte-Forum seitens der Admins/Mods etc. so unfreundlich abläuft - klar sind wir alle nur Menschen, aber wo ist das Problem zu sagen, "sorry, wir kümmern uns drum, Infos folgen, habt bitte noch ein wenig Geduld", ach ja, ich sehe das Problem: ein "sorry" ist immer schon ein Schuldeingeständnis

Bisherige Statements zu Fehlern und Lieferproblemen liefen immer nach dem Motto "ich bin selbständig und allein, es unterlaufen nun mal Fehler, ich finde es aber Erschreckend, dass hier alle so unfreundlich und anmaßend sind". Da wird einem als Kunde immer suggeriert, dass man dem Shop eigentlich total egal ist und das man sich eigentlich gar nicht um den Kunden bemüht. "Bestell halt woanders". Man bemüht sich lediglich darum, neue Releases zeitnah in ausreichender Stückzahl zu versenden.

[hellboy68]

Die Grotte hat wohl reagiert und hat ihre seite vom Netz genommen. Ich krieg nämlich nur eine Fehlermeldung, wenn ich die Seite aufrufen möchte.

[stef]

Es gibt jetzt auch ein Entschuldigungsschreiben per Mail

[Selan]

Ja, das Schreiben lese ich auch gerade nebenbei. Ich weiß aber nicht so genau, was ich davon halten soll....

[Spike]

Kann die Mail bitte jemand mal hier einstellen? Ich habe bisher nämlich keine erhalten.

[stef]

Sehr geehrte Kunden,

wie manch einer vielleicht schon mitbekommen hat, müssen wir leider mitteilen, dass es in unserem System eine Sicherheitslücke gab, die dazu ausgenutzt wurde an Kundendaten zu gelangen. Wir sind derzeit noch dabei uns einen wirklich genauen und detailierten Überblick zu verschaffen, es könnten aber leider Daten wie Name, Adresse,E-Mail Adresse und teilweise auch Bankverbindung betroffen sein. Passwörter sind verschlüsselt gespeichert und von daher an sich unlesbar, Ausweisdaten werden von uns nur offline gehandhabt, diese sind definitiv NICHT betroffen.

Wir möchten daher allen Kunden raten, auf E-Mails zu achten, in denen nach einem Passwort gefragt wird, sowas wird es von keiner Firma auf dieser Welt je geben, das gilt nicht nur für diese Situation, sondern allgemein bitte immer Vorsicht bei Mails, wo darum gebeten wird, einen Link anzuklicken um dort dann sein Passwort anzugeben. Weiterhin, falls leider wirklich auch Bankdaten entwendet worden sind, sollte jeder bitte ein Auge auf seine Kontoauszüge haben, sollte dort etwas unbekanntes auftauchen, könnt Ihr bei Eurer Bank diese Buchung ohne Fragen oder Aufwand einfach 6 Wochen lang zurückbuchen lassen. Ein solcher Fall ist aber bisher nicht bekannt, da jede Rückbuchung denjenigen auch Geld kosten würde, der versucht hat das Geld abzubuchen, wird es sicherlich auch unattraktiv sein, es überhaupt zu versuchen. Ansonsten sind Bankdaten ohne eure PIN Nummer für jeden nutzlos und die habt natürlich nur Ihr.
Passwörter können wie gesagt aufgrund der Verschlüsslung nicht einfach gelesen werden, allerdings gilt hier, je einfacher Euer Passwort ist, desto einfacher ist es auch diese Verschlüsslung zu knacken. Speziell wer also ein sehr kurzes oder einfaches Passwort hat, sollte dieses bitte auf jeden Fall ändern, auch bei komplexeren Passwörtern wäre ein Wechsel zur Sicherheit natürlich nicht verkehrt, auch wenn hier eine Entschlüsselung sehr unwahrscheinlich ist. Empfehlenswert sind (sollte auch allgemein unabhängig von dieser Situation immer beherzigt werden) Passwörter mit mindestens 6 Zeichen, verschiedener Groß- und Kleinschreibung und Zahlen darin.

Wir können uns natürlich nicht genug für diesen Vorfall entschuldigen, so was darf natürlich nicht passieren, aber wir sind "leider" alle nur Menschen und machen Fehler. Wir haben das Thema Sicherheit stets Ernst genommen und stets Vorkehrungen zum Schutz gegen bekannte Angriffsmaßnahmen getroffen, leider wurde dabei eine kleine Stelle übersehen, diese wurde natürlich sofort geschlossen, das Geschehene lässt sich leider aber nicht mehr rückgängig machen. Die Tatsache, dass praktisch aber jeden Monat mindestens ein Fall von Datenklau selbst bei bedeutend größeren Unternehmen oder öffentlichen Institutionen bekannt wird, zeigt wie schwierig bzw. nahezu unmöglich es selbst mit deutlich größeren Geldmitteln ist, ein System 100% sicher zu machen. Wir werden natürlich dennoch unseren Shop nochmals einer kompletten Überprüfung unterziehen.

Ich kann mich nur nochmals für den Vorfall zutiefst entschuldigen und bitte die Ratschläge zu beherzigen, um weitere Probleme zu vermeiden. Antworten auf diese Nachricht versuchen wir natürlich zu beantworten, allerdings ist davon auszugehen, dass die Anzahl der Anfragen unsere Möglichkeiten weit übersteigen wird, es sollte aber in dieser Mail jegliche Art von Frage geklärt worden sein.

Einige Kunden gehen nun seit Bekanntwerden her und löschen Ihre E-Mail Adresse oder gar Ihre ganzen Daten aus unserem System, ich kann die Verunsicherung natürlich verstehen, allerdings ist die Lücke wie gesagt geschlossen und der Klau der bisher eingetragenen Adresse leider nicht mehr rückgängig zu machen. Es bringt also an sich leider nichts. Sicherlich verstehe ich natürlich, dass irgendwo das Vertrauen nun zerbrochen ist, aber ich kann nur noch mal wiederholen, dass solche Fälle mindestens monatlich bei den verschiedensten Firmen auftauchen, nirgendwo hat man die 100% Sicherheit, viele die Ihre Mail Adresse nun gelöscht haben, sind garantiert in vielen Foren und Seiten angemeldet, wo dies auch jederzeit passieren könnte. Wie gesagt, wir nehmen das Thema Ernst und haben es immer Ernst genommen.

Natürlich werden wir auch umgehend Anzeige gegen Unbekannt erstatten und in Zusammenarbeit mit den Behörden versuchen den Täter ausfindig zu machen. Im Falle einer großen Social Community, wo es vor kurzem auch zum Datenklau gekommen ist, hatte dies zum Erfolg geführt.

Abschließend möchte ich gerne noch einen Kommentar zu der Gerüchteküche die entstanden ist abgeben, denn es gibt Gerüchte, wonach wir angeblich seit bis zu 2 Jahren von dieser Lücke gewusst hätten.

Sowas ist natürlich wirklich absoluter Unsinn, warum sollten wir so verrückt sein, eine Sicherheitslücke 2 Jahre bestehen zu lassen, welchen Nutzen sollte das für uns haben, außer Ärger? In Wirklichkeit ist es so, dass die Angriffsmethode die genutzt wurde, vor ca. 2 Jahren allgemein (nicht jetzt uns betreffend) bekannt geworden ist. Wir sind damals sofort hergegangen und haben natürlich Sicherheitsvorkehrungen gegen diese Art Angriff getroffen und nachträglich in unseren Shop implementiert. Leider ist dabei trotz sorgfältiger Vorgehensweise eine einzige Stelle übersehen worden. Das ist natürlich keine Entschuldigung, aber wir sind halt alle nur Menschen, wir haben damals (also vor 2 Jahren) mit mehreren Leuten alle verwundbaren Punkte im Shop abgesucht und wie gesagt vorsorglich abgesichert, dabei wurde wie gesagt leider wirklich eine Stelle übersehen. Die Tatsache, dass die Angriffsmethode seit 2 Jahren bekannt ist und es erst jetzt zu einem derartigen Eklat kommt, beweist auch, dass diese Stelle nicht einfach offensichtlich zu finden war und wir Sicherheit Ernst nehmen, denn sonst wäre längst vorher etwas derartiges passiert. Zum Thema Reaktionsgeschwindigkeit in diesem Fall, möchte ich gerne die Geschichte erzählen, wie sie wirklich war. Ich, als Geschäftsführer, war nämlich, dass erste mal seit Gründung des Shops vor 7 Jahren, für eine Woche im Urlaub. 5-10 min nachdem meine Mitarbeiter von dem Vorfall Kenntnis erlangt haben (und das wohlgemerkt an einem Sonntag!), bekam ich eine SMS, dass es ein Problem gibt und ich mir das anschauen müsste, woraufhin ich wiederum in ca. 5 min den nächsten Internetzugang gesucht habe und die Lücke nach weiteren 10 min geschlossen habe. Sprich statt der Gerüchteweise 2 Jahre, hat es in Wirklichkeit 20-25 min nach Bekanntwerden des Problems gedauert, bis reagiert und die Lücke geschlossen wurde und das trotz Urlaub in einem fernen Land!
Das macht es natürlich nicht besser, dennoch ist es mir wichtig zu zeigen, dass das Thema natürlich Ernst genommen wird und wurde und höchste Priorität hat.

Mit freundlichen Grüßen,
Marc Fettweis

[Spike]

Überraschend ausführlich und meiner Meinung nach ehrlich. Im Grunde kann der einem auch ein STück weit Leid tun wegen seinem Urlaub, da riskiert man es mal und es entsteht der Worst Case

Nunja, jetzt ist es passiert und man muss damit leben und das Beste draus machen. Mit dem Finger auf andere zeigen nach dem Motto "da passiert es auch" ist natürlich unnötig, vor allem wenn dies wiederholt wird.

[arminius73]

Schönes Schreiben, juristisch bestimmt wasserdicht! Ich hab's aber nicht bekommen. Das macht die Sache immer subtiler. Werden nur ausgewählte Kunden informiert?!

[Spike]

Je nachdem, wie viele Kunden (quasi alle, geht in die tausende) informiert werden müssen und mit welchem Newsletter Tool versendet wird, kann das schon mal was dauern und Schubweise versendet werden ... ich warte auch noch drauf.

[Odango]

Was mich persönlich ja nervt ist dieses "Ja das ist total blöd gelaufen, ABER...." "Da war tatsächlich eine Sicherheitslücke, ABER..." "Ja das Problem bestand und ich habs sofort behoben, OBWOHL (ich in einem fernen Land war)"
Öh ja, hm, ich weiß nicht was ich davon halten soll...

[Spike]

Es gab im Forum ja viele Vorwürfe, man hätte nicht schnell genug gehandelt, weil der Einzige, der das beheben kann im Urlaub ist und das man im Grunde schon seit 2 Jahren davon weiß. Daher fand ich die Hinweise auf die schnelle Reaktionszeit schon ok, um nicht noch weiter Vertrauen zu zerstören (wenn noch etwas da ist). War halt fast schon zu ausführlich, die Mail.

[the new nightmare]

Tja, da es nun schon passiert ist kann man es auch nicht mehr rückgängig machen. Warum also auf zukünftige Bestellungen verzichten die ich ja eh immer nur per Rechnung bezahle. Menschen machen nun mal Fehler. Wer in seinem Job bisher keinen gemacht hat möge bitte die Hand heben. Klar ist es ärgerlich, aber ich glaube nicht, daß jetzt bei jedem hier plötzlich massig Kohle vom Konto verschwinden wird.

[Mr. Wood]

Deswegen auf weitere Bestellungen verzichten, weil man bei dem Laden im Problemfall schon immer der Angeschissene gewesen ist. Kundenservice hat der werte Cheffe schon immer kleiner als klein geschrieben. Überhaupt finde ich es beachtlich, dass man eine Lücke, die man vor bzw. in zwei Jahren weder lokalisieren noch beheben konnte, jetzt im Eilverfahren abgedichtet haben will.

[Spike]

Überhaupt finde ich es beachtlich, dass man eine Lücke, die man vor bzw. in zwei Jahren weder lokalisieren noch beheben konnte, jetzt im Eilverfahren abgedichtet haben will.

Es war ja durch den Hack bekannt, wo die Lücke war, von daher sehe ich darin kein Problem. Da hat man bei zehntausenden Zeilen Code dann eine Zeile vergessen, wo man einen Wert mal nicht geprüft hat (Vergessen? Geschlampt? k.a.) und eine SQL Injektion möglich war. Shit happens. Sowas darf nicht passieren, das ist klar. Aber da immer noch Menschen programmieren und testen, passiert es eben doch. Wie beim EC-Karten Problem auch. Ein trivialer Fehler, der trotz Qualitätsmanagement keinem aufgefallen ist und man ist der Blöde. Für mich als Betroffener ist das nur wieder eine Erinnerung daran, nochmal sensibel meine eigenen Scripte auf Schwachstellen hin zu überprüfen oder mal wieder ein Seminar zu besuchen, um die neusten Schwachstellen kennen zu lernen.

[Mr. Wood]

Das mag stimmen. Da weiß ich wieder genau, warum mich die Programmiererei während der Ausbildung kaum interessiert hat. Der grundsätzliche Service wird damit allerdings immer noch nicht besser.