Antwort von crazy-trancer
Ein Moderator ist jemand, der moderat moderiert
Moderator
Beiträge insgesamt: 11474
Alle Beiträge anzeigen
Pos (1294) Neu (0) Neg (0)
 Meine Auktionen (7)
 Profil | | | Zitat: |
| geschrieben von Phileas am 14.02.2015 um 23:12:49.
...
Wie kann man nur so fahrlässig mit sensiblen Daten umgehen? Passwörter ungehasht speichern? Wie kann man das heute noch machen? ...
|
|
|
Und dass das so war steht wo? Bisher lese ich von Filmundo nur, dass Fehler gemacht wurden ...
Selbst wenn die Passwörter in Reinschrift auslesbar waren, letztendlich ist es immer das Risiko jedes Einzelnen, wenn man sich irgendwo anmeldet, ob´s nun hier die Filmbörse ist, der Facebook-Account oder beim Homebanking. Niemand weiß, wie die Daten verschlüsselt sind und/oder genutzt werden.
Viel mehr würde mich interessieren, welcher Vollpfosten überhaupt auf die Idee kommt, diese doch recht kleine Plattform auszuspähen und was er sich davon verspricht. O.k., theoretisch hat er nun 15.000 E-Mail-Adressen (die man sich auch sonstwo zusammensuchen könnte) und Passwörter, mit denen er sich hier spontan erst mal nicht einloggen konnte (oder ist schon irgendjemanden ein Schaden entstanden?).
Also was der Idiot davon, wenn er diese Daten hat? Genauso gut kann er sich da ein Ei drauf pellen und sich vielleicht freuen, dass er ein paar Leute hier geärgert und verunsichert hat.
Ich sehe das mit gemischten Gefühlen. Das Ganze ist zwar äußerst ärgerlich, aber es vielleicht auch gut, dass das mal passiert ist, immerhin wurde auch hier im Forum schon öfter über das veraltete System gesprochen. Zeit also nun, da mal an der Zeitschraube zu drehen und zumindest die sicherheitsrelevanten Dinge auf den neuesten Stand der Technik zu bringen.
Übrigens, wenn der Verursacher Eier hätte, würde er sich zu der Tat und den Motiven äußern ... selbst wenn es genauso anonym passiert, wie der Angriff. So ist derjenige für mich nur ein ganz armes Würstchen, das vielleicht etwas zu wenig Aufmerksamkeit in seinem Leben bekommen hat ... oder das einfach nur die falsche Mutter hatte! 
|
|
|
| am 15.02.2015 um 00:33:30 Uhr |  Zitieren  Melden |
Antwort von thaigirl
Ich lösch dann jetzt mal alles...
Beiträge insgesamt: 1450
Alle Beiträge anzeigen
Pos (4231) Neu (1) Neg (0)
Meine Auktionen (0)
Profil | |
| am 15.02.2015 um 01:13:00 Uhr | Zitieren Melden |
Antwort von Comran
Beiträge insgesamt: 4
Alle Beiträge anzeigen
Pos (5) Neu (0) Neg (1)
Meine Auktionen (0)
Profil | | | Zitat: |
| geschrieben von crazy-trancer am 15.02.2015 um 00:33:30.
Und dass das so war steht wo? Bisher lese ich von Filmundo nur, dass Fehler gemacht wurden ...
|
|
|
Filmundo hat selbst gesagt, dass die Hacker in Besitz von Mailadressen und Passwörtern gekommen sein können.
Wenn sie keine Passwörter speichern würden (wie es sich gehört), dann kann man bei einem Einbruch auch nicht in Besitz von Passwörtern gelangen. Das Zurückrechnen von einem Hash in das entsprechende Passwort ist mit vertretbarem Rechenaufwand nämlich nicht möglich.
| | Zitat: |
| Selbst wenn die Passwörter in Reinschrift auslesbar waren, letztendlich ist es immer das Risiko jedes Einzelnen, wenn man sich irgendwo anmeldet, ob´s nun hier die Filmbörse ist, der Facebook-Account oder beim Homebanking. Niemand weiß, wie die Daten verschlüsselt sind und/oder genutzt werden.
|
|
|
Gerade wenn man davon ausgeht, dass die Betreiber so eine Plattform nicht zum ersten Mal aufsetzen, unterstellt man eigentlich einen vernünftigen Umgang mit kritischen Daten. Das ist das Vertrauen, was man entgegenbringt.
| | Zitat: |
| Viel mehr würde mich interessieren, welcher Vollpfosten überhaupt auf die Idee kommt, diese doch recht kleine Plattform auszuspähen und was er sich davon verspricht. O.k., theoretisch
|
|
|
Letztendlich ist es ein Sport von Leuten mit zu viel Talent und zu viel Zeit. Auf meinem eigenen Server sehe ich täglich Angriffe. Da werden Passwortlisten durchprobiert, nach bekannten verwundbaren Produkten gesucht (Wordpress oder PHPMyAdmin sind sehr beliebt) oder auch Betriebssystemlücken genutzt (die Shellshock-Lücke wurde im September 2014 bekannt, im Oktober hatte ich bereits die ersten Angriffsversuche im Log).
Nicht jeder Einbruch ist kriminell motiviert. Was man mit einer Lücke macht, entscheidet sich immer erst danach. Spammer installieren, Daten abziehen, Defacing ...
|
|
|
| am 15.02.2015 um 13:19:19 Uhr | Zitieren Melden |
Antwort von cyberzzz
Beiträge insgesamt: 1697
Alle Beiträge anzeigen
Pos (762) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | Das ist natürlich sehr bedauerlich mit dem Hacker-Angriff. Für die Umstände, würde ich es persönlich gut finden, wenn Filmundo quasi als Wiedergutmachung wenigstens mal für ein paar Tage die Servicepauschale beim Einstellen entfallen lässt od. sich eine andere Aktion einfallen lässt, zu Gunsten der Kunden. 
|
|
|
| am 15.02.2015 um 15:37:00 Uhr | Zitieren Melden |
Antwort von crazy-trancer
Ein Moderator ist jemand, der moderat moderiert
Moderator
Beiträge insgesamt: 11474
Alle Beiträge anzeigen
Pos (1294) Neu (0) Neg (0)
Meine Auktionen (7)
Profil | 
Nun hat es amazon erwischt ... und zwar europaweit (nur .com funzt). Die Seite ist mit all seinen Diensten seit ca. einer Stunde nicht bzw. nur sporadisch erreichbar.
Lt. Kommentaren bei allestörungen.de ist das Problem so schwer, dass es bis morgen dauern könnte, bis wieder was geht.
Edit 20:34 Uhr:
Und nun geht es doch schon wieder, nachdem gerade noch Meldungen über Mails wg. Betrugsversuchen an einige User gegangen sein sollen 
|
|
|
| am 15.02.2015 um 20:27:10 Uhr | Zitieren Melden |
Antwort von Troete
Beiträge insgesamt: 23
Alle Beiträge anzeigen
Pos (517) Neu (0) Neg (1)
Meine Auktionen (0)
Profil | Große Frage:
Wie soll man sein Paßwort ändern, wenn man sofort, wenn man den entsprechenden Menüpunkt anklickt, die Meldung erhält, daß man der Seite nicht vertrauen kann?
Mit Verlaub: Das ist Murks!
Und dieser Murks findet grundsätzlich bei allen filmundo-https-Verbindungen statt ... 
|
|
|
| am 16.02.2015 um 09:08:33 Uhr | Zitieren Melden |
Antwort von filmundo
Das Filmundo-Team!
Moderator
Beiträge insgesamt: 1042
Alle Beiträge anzeigen
Pos (80) Neu (2) Neg (0)
Meine Auktionen (0)
Profil | Wir untersuchen gerade die Meldungen wegen des SSL-Zertifikats.
Auf der Startseite kann eine Meldung erscheinen, dass nicht alle Elemente verschlüsselt werden. Das ist zu erwarten, da wir beispielsweise die Bilder nicht verschlüsseln.
Die Seite zur Passwortwiederherstellung sollte diese Nachricht nicht anzeigen.
Wenn dort eine Warnmeldung erscheint, benötigen wir weitere Informationen. Wichtig sind vor allem Informationen zum verwendeten Betriebssystem und zur Browserversion.
Nach unserem bisherigen Informationsstand könnte die Meldung mit den Browsereinstellungen zusammenhängen.
|
|
|
| am 16.02.2015 um 12:57:06 Uhr | Zitieren Melden |
Antwort von okuta
Beiträge insgesamt: 2
Alle Beiträge anzeigen
Pos (66) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | | | Zitat: |
| geschrieben von Troete am 16.02.2015 um 09:08:33.
Große Frage:
Wie soll man sein Paßwort ändern, wenn man sofort, wenn man den entsprechenden Menüpunkt anklickt, die Meldung erhält, daß man der Seite nicht vertrauen kann?
Mit Verlaub: Das ist Murks!
Und dieser Murks findet grundsätzlich bei allen filmundo-https-Verbindungen statt ...
|
|
|
| | Zitat: |
| geschrieben von filmundo am 16.02.2015 um 12:57:06.
Wir untersuchen gerade die Meldungen wegen des SSL-Zertifikats.
Auf der Startseite kann eine Meldung erscheinen, dass nicht alle Elemente verschlüsselt werden. Das ist zu erwarten, da wir beispielsweise die Bilder nicht verschlüsseln.
Die Seite zur Passwortwiederherstellung sollte diese Nachricht nicht anzeigen.
Wenn dort eine Warnmeldung erscheint, benötigen wir weitere Informationen. Wichtig sind vor allem Informationen zum verwendeten Betriebssystem und zur Browserversion.
Nach unserem bisherigen Informationsstand könnte die Meldung mit den Browsereinstellungen zusammenhängen.
|
|
|
Also ich habe heute extra noch einmal mein Passwort aufgrund des Beitrags von Troete geändert. Mein aktueller FF beanstandet die sichere HTTPS-Verbindung aber nicht.
Alle sensibelen Daten, auf die ich in meinem Account zugreifen kann, scheinen wirklich HTTPS verschlüsselt übertragen zu werden. Also Passwortänderung, Bankdaten etc. FF zeigt mir jedenfalls eine verschlüsselte Verbindung an. Betriebssystem ist Mac OS 10.10.2/Yosemite.
Nach dem LogIn über den SSL-Button auf Filmundo meckert mein aktueller FF bei mir aber auch, dass die Verbindung "nicht vollständig sicher" sei, da sie "unverschlüsselte Elemente" enthalte. Ich gehe aber einmal davon aus, dass die Übertragung des Passwortes korrekt verschlüsselt stattgefunden hat. FF meckert hier natürlich, da Filmundo irgendeine GifGrafik unverschlüsselt über HTTP lädt. Das sollte der Admin mal in Ordnung bringen - verunsichert mich nämlich nur! Zumal man ein unverschlüsseltes Objekt auch austauschen kann
Und, da stimme ich Troete vollkommen zu: Das ist Murks!
Wie dem auch sei, es ist für mich wirklich nicht nachvollziehbar, warum Filmundo nicht dazu in der Lage oder willens ist, die komplette Domain über eine sichere HTTPS-Verbindung laufen zu lassen. Das sollte heutzutage einfach Standard sein!
Und ich lege noch eine Schippe drauf: Ich vermute ebenfalls, wie manch anderer hier schon geposted hat, dass unsere Passwörter nicht gehasht in der Datenbank von Filmundo abgelegt waren, sondern im Klartext. Warum sonst sollte sich der Geschäftsführer von Filmundo in der NOZ-Online vom 13.12.2015 dahingehend geäußert haben,
dass Nutzer, sollten sie ihr verwendetes Passwort bei Fimundo auch für andere Plattformen eingesetzt haben, dieses dort sofort ändern sollen? Warum sollte solch eine Empfehlung ausgesprochen werden, wenn unsere Passwörter nur als starke Hashs abgespeichert in der Datenbank vorgelegen hätten?
Das einzige, was wirklich gut gelaufen ist, ist das sehr schnelle Reagieren der Verantwortlichen nach Entdeckung des Angriffs. Aber das ist auch wohl das Mindeste, was ich als Kunde in solch einem Fall erwarten kann.
Ich bin nun mal gespannt, wie lange es dauert, bis die unverschlüsselten Elemente auf der FilmundoSeite beim sicheren Einloggen entfernt werden...
In diesem Sinne: Können alle alles lesen. Ich hab' doch nix zu verbergen. LOOOOOOOOOOOOOOOL und Spaß Off
|
|
|
| am 16.02.2015 um 13:48:07 Uhr | Zitieren Melden |
Antwort von filmundo
Das Filmundo-Team!
Moderator
Beiträge insgesamt: 1042
Alle Beiträge anzeigen
Pos (80) Neu (2) Neg (0)
Meine Auktionen (0)
Profil | Hier ein kurzes Update:
- Die Sicherheitslücke wurde direkt am Freitag Vormittag geschlossen
- Strafanzeige bei der Polizei wurde gestellt, wegen des Ausspähens von Daten gem. §202a StGB
- Weitere Sicherungsmaßnahmen und -Vorkehrungen sind in Vorbereitung.
|
|
|
| am 16.02.2015 um 17:03:13 Uhr | Zitieren Melden |
Antwort von fernsehkiller
Beiträge insgesamt: 2219
Alle Beiträge anzeigen
Pos (6067) Neu (3) Neg (25)
Meine Auktionen (1)
Profil | | | Zitat: |
| geschrieben von crazy-trancer am 15.02.2015 um 20:27:10.
Nun hat es amazon erwischt ... und zwar europaweit (nur .com funzt). Die Seite ist mit all seinen Diensten seit ca. einer Stunde nicht bzw. nur sporadisch erreichbar.
Lt. Kommentaren bei allestörungen.de ist das Problem so schwer, dass es bis morgen dauern könnte, bis wieder was geht.
Edit 20:34 Uhr:
Und nun geht es doch schon wieder, nachdem gerade noch Meldungen über Mails wg. Betrugsversuchen an einige User gegangen sein sollen
|
|
|
nein heute geht da auch nichts
|
|
|
| am 16.02.2015 um 18:43:32 Uhr | Zitieren Melden |
Antwort von Schimmel2000
Beiträge insgesamt: 29
Alle Beiträge anzeigen
Pos (400) Neu (2) Neg (1)
Meine Auktionen (0)
Profil | | | Zitat: |
| Da fragt man sich doch im ernst warum stellen die Seiten das nicht schon eher auf den Sdandart um das die Passwörter wirklich sicher sind? Da muss wohl die EU erst wieder ein Gesetz erlassen das Websites dazu zwingt immer einen Passwortverschlüsselungstandard zu nutzen der ungekackt ist.
|
|
| ungekackt ? 
|
|
|
| am 16.02.2015 um 20:32:58 Uhr | Zitieren Melden |
Antwort von Nervenzelle
Beiträge insgesamt: 3
Alle Beiträge anzeigen
Pos (43) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | Ihr habt ja jetzt einiges an Kritik einstecken müssen, und vielleicht ändert sich ja jetzt auch das Sicherheitsdenken.
Da gibt es allerdings noch eine Kleinigkeit, die nicht nur für euch interessant sein könnte.
Die meisten PanikMails von Abzockern, haben noch einen Link, der zwar echt aussieht, aber eben dorthin führt, wo sie euch haben wollen
'Die Echtheit dieser Nachricht können Sie überprüfen, indem Sie Filmundo direkt besuchen (www.filmundo.de).'
Ich würde nicht einen Link (auf meine Internetseite), in so eine Mail integrieren.
Und als User auch nie solch einen Link anklicken. Da geh ich lieber brav über meinen Browser zu der entsprechenden Seite. Hat mir auch schon erspart, mir etwas einzufangen 
|
|
|
| am 17.02.2015 um 19:32:21 Uhr | Zitieren Melden |
Antwort von Kotelettklopfer
Wer das liest kann lesen!!!
Beiträge insgesamt: 611
Alle Beiträge anzeigen
Pos (10) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | voll mies der Hacker-Angriff könnten die nicht woanders herum haken 
|
|
|
| am 19.02.2015 um 20:34:10 Uhr | Zitieren Melden |
Antwort von coolsavas
Beiträge insgesamt: 15
Alle Beiträge anzeigen
Pos (118) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | Super. War seit einem halben Jahr nicht eingeloggt. Emails lese ich auch keine. Zufall das ich es jetzt bemerkt habe. 
|
|
|
| am 24.02.2015 um 21:13:16 Uhr | Zitieren Melden |
Antwort von exvirus52
Pusher gehören an die Öffentlichkeit!
Beiträge insgesamt: 2119
Alle Beiträge anzeigen
Pos (21) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | | | Zitat: |
| geschrieben von coolsavas am 24.02.2015 um 21:13:16.
Super. War seit einem halben Jahr nicht eingeloggt. Emails lese ich auch keine. Zufall das ich es jetzt bemerkt habe.
|
|
|
Was hast Du denn erwartet bei derartigen Hackangriffen - einen Hausbesuch von filmundo um Dich zu informieren.
|
|
|
| am 25.02.2015 um 11:10:42 Uhr | Zitieren Melden |
Thema abonnieren
Antwort schreiben (63)