Abgelaufen

Spielegrotte - Konto- und Kundendaten waren einsehbar

Admin 377
eingestellt am 10. Jan 2010

*UPDATE*


Stellungnahme von Spielegrotte per Mail:


Sehr geehrte Kunden,


wie manch einer vielleicht schon mitbekommen hat, müssen wir leider mitteilen, dass es in unserem System eine Sicherheitslücke gab, die dazu ausgenutzt wurde an Kundendaten zu gelangen. Wir sind derzeit noch dabei uns einen wirklich genauen und detailierten Überblick zu verschaffen, es könnten aber leider Daten wie Name, Adresse,E-Mail Adresse und teilweise auch Bankverbindung betroffen sein. Passwörter sind verschlüsselt gespeichert und von daher an sich unlesbar, Ausweisdaten werden von uns nur offline gehandhabt, diese sind definitiv NICHT betroffen.


Wir möchten daher allen Kunden raten, auf E-Mails zu achten, in denen nach einem Passwort gefragt wird, sowas wird es von keiner Firma auf dieser Welt je geben, das gilt nicht nur für diese Situation, sondern allgemein bitte immer Vorsicht bei Mails, wo darum gebeten wird, einen Link anzuklicken um dort dann sein Passwort anzugeben. Weiterhin, falls leider wirklich auch Bankdaten entwendet worden sind, sollte jeder bitte ein Auge auf seine Kontoauszüge haben, sollte dort etwas unbekanntes auftauchen, könnt Ihr bei Eurer Bank diese Buchung ohne Fragen oder Aufwand einfach 6 Wochen lang zurückbuchen lassen. Ein solcher Fall ist aber bisher nicht bekannt, da jede Rückbuchung denjenigen auch Geld kosten würde, der versucht hat das Geld abzubuchen, wird es sicherlich auch unattraktiv sein, es überhaupt zu versuchen. Ansonsten sind Bankdaten ohne eure PIN Nummer für jeden nutzlos und die habt natürlich nur Ihr.

Passwörter können wie gesagt aufgrund der Verschlüsslung nicht einfach gelesen werden, allerdings gilt hier, je einfacher Euer Passwort ist, desto einfacher ist es auch diese Verschlüsslung zu knacken. Speziell wer also ein sehr kurzes oder einfaches Passwort hat, sollte dieses bitte auf jeden Fall ändern, auch bei komplexeren Passwörtern wäre ein Wechsel zur Sicherheit natürlich nicht verkehrt, auch wenn hier eine Entschlüsselung sehr unwahrscheinlich ist. Empfehlenswert sind (sollte auch allgemein unabhängig von dieser Situation immer beherzigt werden) Passwörter mit mindestens 6 Zeichen, verschiedener Groß- und Kleinschreibung und Zahlen darin.


Wir können uns natürlich nicht genug für diesen Vorfall entschuldigen, so was darf natürlich nicht passieren, aber wir sind “leider” alle nur Menschen und machen Fehler. Wir haben das Thema Sicherheit stets Ernst genommen und stets Vorkehrungen zum Schutz gegen bekannte Angriffsmaßnahmen getroffen, leider wurde dabei eine kleine Stelle übersehen, diese wurde natürlich sofort geschlossen, das Geschehene lässt sich leider aber nicht mehr rückgängig machen. Die Tatsache, dass praktisch aber jeden Monat mindestens ein Fall von Datenklau selbst bei bedeutend größeren Unternehmen oder öffentlichen Institutionen bekannt wird, zeigt wie schwierig bzw. nahezu unmöglich es selbst mit deutlich größeren Geldmitteln ist, ein System 100% sicher zu machen. Wir werden natürlich dennoch unseren Shop nochmals einer kompletten Überprüfung unterziehen.


Ich kann mich nur nochmals für den Vorfall zutiefst entschuldigen und bitte die Ratschläge zu beherzigen, um weitere Probleme zu vermeiden. Antworten auf diese Nachricht versuchen wir natürlich zu beantworten, allerdings ist davon auszugehen, dass die Anzahl der Anfragen unsere Möglichkeiten weit übersteigen wird, es sollte aber in dieser Mail jegliche Art von Frage geklärt worden sein.


Einige Kunden gehen nun seit Bekanntwerden her und löschen Ihre E-Mail Adresse oder gar Ihre ganzen Daten aus unserem System, ich kann die Verunsicherung natürlich verstehen, allerdings ist die Lücke wie gesagt geschlossen und der Klau der bisher eingetragenen Adresse leider nicht mehr rückgängig zu machen. Es bringt also an sich leider nichts. Sicherlich verstehe ich natürlich, dass irgendwo das Vertrauen nun zerbrochen ist, aber ich kann nur noch mal wiederholen, dass solche Fälle mindestens monatlich bei den verschiedensten Firmen auftauchen, nirgendwo hat man die 100% Sicherheit, viele die Ihre Mail Adresse nun gelöscht haben, sind garantiert in vielen Foren und Seiten angemeldet, wo dies auch jederzeit passieren könnte. Wie gesagt, wir nehmen das Thema Ernst und haben es immer Ernst genommen.


Natürlich werden wir auch umgehend Anzeige gegen Unbekannt erstatten und in Zusammenarbeit mit den Behörden versuchen den Täter ausfindig zu machen. Im Falle einer großen Social Community, wo es vor kurzem auch zum Datenklau gekommen ist, hatte dies zum Erfolg geführt.


Abschließend möchte ich gerne noch einen Kommentar zu der Gerüchteküche die entstanden ist abgeben, denn es gibt Gerüchte, wonach wir angeblich seit bis zu 2 Jahren von dieser Lücke gewusst hätten.


Sowas ist natürlich wirklich absoluter Unsinn, warum sollten wir so verrückt sein, eine Sicherheitslücke 2 Jahre bestehen zu lassen, welchen Nutzen sollte das für uns haben, außer Ärger? In Wirklichkeit ist es so, dass die Angriffsmethode die genutzt wurde, vor ca. 2 Jahren allgemein (nicht jetzt uns betreffend) bekannt geworden ist. Wir sind damals sofort hergegangen und haben natürlich Sicherheitsvorkehrungen gegen diese Art Angriff getroffen und nachträglich in unseren Shop implementiert. Leider ist dabei trotz sorgfältiger Vorgehensweise eine einzige Stelle übersehen worden. Das ist natürlich keine Entschuldigung, aber wir sind halt alle nur Menschen, wir haben damals (also vor 2 Jahren) mit mehreren Leuten alle verwundbaren Punkte im Shop abgesucht und wie gesagt vorsorglich abgesichert, dabei wurde wie gesagt leider wirklich eine Stelle übersehen. Die Tatsache, dass die Angriffsmethode seit 2 Jahren bekannt ist und es erst jetzt zu einem derartigen Eklat kommt, beweist auch, dass diese Stelle nicht einfach offensichtlich zu finden war und wir Sicherheit Ernst nehmen, denn sonst wäre längst vorher etwas derartiges passiert. Zum Thema Reaktionsgeschwindigkeit in diesem Fall, möchte ich gerne die Geschichte erzählen, wie sie wirklich war. Ich, als Geschäftsführer, war nämlich, dass erste mal seit Gründung des Shops vor 7 Jahren, für eine Woche im Urlaub. 5-10 min nachdem meine Mitarbeiter von dem Vorfall Kenntnis erlangt haben (und das wohlgemerkt an einem Sonntag!), bekam ich eine SMS, dass es ein Problem gibt und ich mir das anschauen müsste, woraufhin ich wiederum in ca. 5 min den nächsten Internetzugang gesucht habe und die Lücke nach weiteren 10 min geschlossen habe. Sprich statt der Gerüchteweise 2 Jahre, hat es in Wirklichkeit 20-25 min nach Bekanntwerden des Problems gedauert, bis reagiert und die Lücke geschlossen wurde und das trotz Urlaub in einem fernen Land!

Das macht es natürlich nicht besser, dennoch ist es mir wichtig zu zeigen, dass das Thema natürlich Ernst genommen wird und wurde und höchste Priorität hat.


Mit freundlichen Grüßen,

Marc Fettweis


*UPDATE – ENDE*


Ursprünglicher Artikel vom 10.01.10:

Es ist zwar inzwischen schon über 1 Jahr her, dass ich das letzte Mal über ein Angebot bei Spielegrotte geschrieben habe, aber da der Shop doch von vielen Spielern besucht und auch genutzt wird, könnte die Info durchaus interessant sein.


Über einen Exploit kann man momentan viele Kundendaten inkl. Telefonnummer UND! Bankverbindung sehen. Ich kann auch Daten einsehen, es sind wirklich enorm viele. Der Shopbetreiber ist informiert und hat die Lücke heute geschlossen. Da die Info aber wohl auch in Hacker-Foren bekannt ist, sollte man seine Daten im Auge behalten. Falls also jemand Post von der Packstation (beliebtes Anwendungsgebiet von echten Kundendaten) bekommt, am besten direkt bei DHL melden.

Zusätzliche Info
Diverses
377 Kommentare
Verfasser Admin

Danke nochmal an Horned für den Hinweis

Kein Ding. Mein Shop wurde jetzt die Tage drei mal gehackt und ich habe mich dann in das Forum eingeschleust (eigentlich nur invite only) um Infos zu sammeln, wie sie das machen konnten und was sie sichern konnten. Bin halt zufällig auf den Thread, der erst gestern eröffnet wurde, gestossen. Und habe auch sofort SG gemailt und versucht zu erreichen (Telefon usw). Am Ende wurde doch schnell reagiert, aber dennoch ist das Kind in den Brunnen gefallen. Es ist nur jetzt nass und die Daten sind jetzt unter das Hacker Volk gelangt.

Gut, dass ich niemals in dem Schuppen eingekauft habe. Günstig ist es dort ohnehin nicht mehr.

Avatar
Anonymer Benutzer

Unfassbar - ich würde Anzeige erstatten.

Bearbeitet von: "" 13. Sep 2016

Waren auch Kundenpasswörter einsehbar?

verdammt un jez?^^

Verfasser Admin

VORNAME, NAME, STRASSE, PLZ, ORT, LAND, TELEFON, GEBURTSTAG, PERSONALAUSWEIS, PERSO_NAME, KONTOINHABER, KONTO, BLZ, INSTITUT, HANDY

So ein Dreck! Spielegrotte war vor 3-4 Jahren mal gut u. günstig, hab seitdem auch nicht mehr bestellt, aber das Konto gibt's natürlich noch. -.-

Ich hab vor paar Tagen letzten ne Spam Mail von der Mailadresse die ich dort angegeben bekommen, wunderte mich schon und wollte drauf aufmerksam machen, da ich aber 2-3 Sachen dort verkauft habe bin ich von den Käufern als Quelle ausgegangen.

mail ad wurde nur für Spielegrotte verwendet.

Schön das nun alle Welt meine Daten hat.... was mach ich nun am besten? Abwarten und schauen was passiert? Bankdaten hab ich nie eingegeben, allerdings meine Perso Nummer, wegen FSK 18 kram.

Was, auch die Personalausweisßnummer??? Dann sind ja sogar gefakte Handyverträge möglich!

Hacker != Cracker. Dass die Daten in einem Scriptkiddie-Forum auftauchte, spricht nicht für den Shop. Ich würde, wenn ich zu den Beroffenen gehören würde, gucken, ob das Speichern der Daten überhaupt rechtens (sprich: mit Einverständnis des Kunden) erfolgte...
@hornedry2k: Dein Shop wurde 3x gehacked? Hast du die Kunden informiert? Evtl. solltest du dir ein anderes Beschäftigungsfeld suchen. #fail

Naa supaaa -.-
Drecksladen

Avatar
Anonymer Benutzer

der jochen hat sich 3x hintereinander hacken lassen? na ein glück hab ich da nie bestellt.

Bearbeitet von: "" 13. Sep 2016

@hornedry2k:=Betreiber eines #failshop ...... *sprachlos bin* lorem ipsum im header etc. Wer dort bestellt, ist auch selbst schuld....

Warum wurde eigentlich durch den TE = hornedy2k alle Foren in Deustchland angeschrieben, incl. der Zugänge zum Crckerforum?

Man hätte den Ball auch Flach halten können, und das betrifft auch diese Seite hier.

lol

@Student: Erzähl doch keinen Quatsch. Alle die JTL Shop 2 benutzt haben wurden gehackt oder hätten gehackt werden können, weil der JTL Shop 2 eine Sicherheitslücke hatte. Es gab dazu auch die Tage einen Newsletter von Seitens der Firma JTL Software. Also immer schön locker bleiben. Es ist nicht nur meiner gewesen.

Wir haben das Design gerade erst geändert. Wir arbeiten die ganze Zeit an dem Shop ! Ist doch egal wie er optisch aussieht. Hauptsache er funzt technisch. Die von angesprochenenen Headgrafiken werden wohl morgen ausgetauscht.



Student: @hornedry2k:=Betreiber eines #failshop …… *sprachlos bin* lorem ipsum im header etc. Wer dort bestellt, ist auch selbst schuld….

Sammelklage?^^

hallo,

ich war auch ein kunde bei spielegrotte.de und meine perso daten waren ebenso angegeben, was sollen die "betroffenen" nun tun ?

spielegrotte anzeigen oder spielegrotte mal ne mail schreiben, was die dazu sagen ?

ich möchte mein account da gelöscht haben !!

falls irgendwas mit der post kommen sollte, was nicht von mir aus bestellt wurde, was mache ich dann ?!

Gebannt

@essenz: junge les doch mal richtig bevor du hie Sachen in den Raum stellst.....

Hornedry2k's Shop wurde 3mal gehackt! Nicht die Spieelgrotte!

Verfasser Admin

@tom: Da die Lücke inzwischen geschlossen ist und somit nicht weiter ausgenutzt werden kann, ist es durchaus wichtig betroffene Kunden zu informieren. Wenn Du das anders siehst, kannst Du ja mal Name, Adresse, Personummer, Telefonnummer + Kontodaten hier in die Kommentare posten (das ist ironisch gemeint).

Boah der Service war da eh immer Scheisse und nun sowas...solch ein Dreckladen, Danke Marc...wenn meine Daten Mibraucht werden und es läst sich zurückverfolgen wer die Fahrlässig verschlampt hat, bekommste Post GRMPF

Hier ist der Link dazu:

forum.jtl-software.de/150…tml

Hat aber nichts jetzt mit Spielegrotte zu tuen. Dort ist der Schaden ja etwas grösser.

Und es gab auch von meiner Seite einen Newsletter an alle, was Spielegrotte sich wohl spart oder sparen wird.

Folgende Shops wurden in dem Forum namentlich erwähnt:

esoterik-shopping24.de
lcd-wandhaltershop.de
gamerdeals-shop.de
notetec.com/
http://shop.immerhin123.com-
led-profi.eu
wein-deele.de

Wer da seine Daten hinterlegt hat, dessen sind auch futsch.



hornedry2k: JTL Software
jedem seine meinung^^
das nicht nur dein shop betroffen war, macht es nicht besser. was fehlt ist eine meldung beim softwarehersteller an die shopbetreiber und noch viel wichtiger wäre eine meldung an die kunden der shopbetreiber. #fail


Gerri: @essenz: junge les doch mal richtig bevor du hie Sachen in den Raum stellst…..Hornedry2k’s Shop wurde 3mal gehackt! Nicht die Spieelgrotte!



Nein mein Shop wurde drei mal gehackt weil es eine Sicherheitslücke im Shop System gab und Spielegrottes Lücke gibt es seit 2008 (!!!!) !



grandem: Sammelklage?^^



Gibt es in Deutschland nicht!

@sinan: Wegen was und vor allem warum willst Du Spielegrotte denn anzeigen? Wenn bei Deinem Zahnarzt eingebrochen wird und alle Kundenkarteien gestohlen wurden zeigst Du Ihn doch auch nicht an.

Avatar
Anonymer Benutzer

Gerri: @essenz: junge les doch mal richtig bevor du hie Sachen in den Raum stellst…..Hornedry2k’s Shop wurde 3mal gehackt! Nicht die Spieelgrotte!

ja, dann les mal nochmal mein posting richtig... junge!
Bearbeitet von: "" 9. Mär

@namIKa: doch datenschutz

wenn leute im krankenhaus gekündigt werden können, wenn sie "ausversehen" daten an leute bringen, die einige dinge nicht wissen dürfen, dann könnte man bei sowas auch etwas tun.

anzeigen ist jetzt krass ausgedrückt, aber trotzdem, mich regt das im moment sehr auf, weil mein perso bei denen hinterlegt ist.

verdammte schei*e !!!

Na super ich hab da alles angegeben gehabt. Und der Betreiber der Seite schreibt nicht mal seine Kunden an das da was vorgefallen ist.Welche rechtlichen Schritte kann man den nun unternehmen?



Student: jedem seine meinung^^
das nicht nur dein shop betroffen war, macht es nicht besser. was fehlt ist eine meldung beim softwarehersteller an die shopbetreiber und noch viel wichtiger wäre eine meldung an die kunden der shopbetreiber. #fail



Du liest anscheind nur das was Du lesen willst. Die Meldung an die Softwarefirma erfolgte sofort nach dem ersten Hack:

forum.jtl-software.de/use…tml

Die Shopbetreiber kann ich alle gar nicht anmailen! Dazu fehlt mir die Info wer das ist. Es sind alle JTL Shop 2 betroffen gewesen. JTL hat selbst gestern an alle ein Newsletter geschickt.

Also ich habe jegliches versucht. Habe auch Marc von SG versucht anzurufen, habe mit seiner Mutter gesprochen die das nicht so verstanden hat. Ich habe alles versucht damit die Lücke schnellstens geschlossen wird.

Mehr kann ich nicht tuen.
Avatar
Anonymer Benutzer

also deine lücke giebt es auch zeit 2008?
das selbe system

"Gerri: @essenz: junge les doch mal richtig bevor du hie Sachen in den Raum stellst…..Hornedry2k’s Shop wurde 3mal gehackt! Nicht die Spieelgrotte!

Nein mein Shop wurde drei mal gehackt weil es eine Sicherheitslücke im Shop System gab und Spielegrottes Lücke gibt es seit 2008 (!!!!) !"

Bearbeitet von: "" 26. Sep 2016


namIKa: @sinan: Wegen was und vor allem warum willst Du Spielegrotte denn anzeigen? Wenn bei Deinem Zahnarzt eingebrochen wird und alle Kundenkarteien gestohlen wurden zeigst Du Ihn doch auch nicht an.


Wenn er fahrlässig die Tür offen gelassen hat....ja dann würde ich Ihn anzeigen !!!


Wat ist das: also deine lücke giebt es auch zeit 2008?das selbe system “Gerri: @essenz: junge les doch mal richtig bevor du hie Sachen in den Raum stellst…..Hornedry2k’s Shop wurde 3mal gehackt! Nicht die Spieelgrotte!Nein mein Shop wurde drei mal gehackt weil es eine Sicherheitslücke im Shop System gab und Spielegrottes Lücke gibt es seit 2008 (!!!!) !”



Meine Lücke gibt es nicht seit 2008. Die kam wohl mit einem der letzten Updates. Ich weiss es nicht. Aber die Lücke von der Grotte gibt es solange, denn ich zitiere aus dem Hackerforum:

Hacker 1:

"Die haben ihre Seite immernoch nicht gefixt? Die ist seit min. Juni '09 vuln

Warum liest du die Mails und Passwörter nicht aus? ´!

Hacker 2:

Die ist sogar schon seit 2008 vuln ;-)

Quote von 1: Warum liest du die Mails und Passwörter nicht aus?

Hab ich gemacht.

Ich weiss nicht was vuln ist, aber es klingt nicht gut. ^^

gibt es möglichkeit den account komplett zu löschen? Wenn wirklich Personalausweise sichtbar waren, dann gute nacht...

Spielegrotte ist mir eh suspekt. Betreiber hält sich nicht an die eignenen AGB, reagiert dann nicht mehr auf eMails. Kontaktaufnahme war ab dann quasi völlig unmöglich. Ich hab den Verbraucherschutz kontaktiert, aber das gibt sowieso nix. Nie wieder diesen Laden!

vuln ... vulnerable -> angreifbar

Moment, du willst sagen, dass die Kopien der Personalausweise nach Verifizierung nicht GELÖSCHT wurden? Das wäre ne verdammte Schweinerei!



Maxii: gibt es möglichkeit den account komplett zu löschen? Wenn wirklich Personalausweise sichtbar waren, dann gute nacht…

hahahaha ganz großes kino.. !

Avatar
Anonymer Benutzer

das ist nicht glaubwürdig tut mir leid
das kann mann auch nur so schreiben
wie du sagst zeit 2008 unsicher das system und du bist auch dabei bei dem betreiber




hornedry2k:
Meine Lücke gibt es nicht seit 2008. Die kam wohl mit einem der letzten Updates. Ich weiss es nicht. Aber die Lücke von der Grotte gibt es solange, denn ich zitiere aus dem Hackerforum:Hacker 1:“Die haben ihre Seite immernoch nicht gefixt? Die ist seit min. Juni ‘09 vulnWarum liest du die Mails und Passwörter nicht aus? ´!Hacker 2:Die ist sogar schon seit 2008 vuln
Quote von 1: Warum liest du die Mails und Passwörter nicht aus?Hab ich gemacht.
Ich weiss nicht was vuln ist, aber es klingt nicht gut. ^^

Bearbeitet von: "" 9. Mär
Dein Kommentar
Avatar
@
    Text

    Top Diskussionen

    Top-Händler