Autor | Hacker Angriff auf Filmundo | Beitrag von filmundo Das Filmundo-Team! Moderator Beiträge insgesamt: 1042 Alle Beiträge anzeigen Pos (80) Neu (2) Neg (0)
Meine Auktionen (0)
Profil | Liebe Filmfreunde,
wir bedauern Ihnen mitteilen zu müssen, dass Filmundo am Donnerstag den 12.02.2015 Opfer eines Hacker-Angriffs geworden ist.
Zum Sachverhalt:
Die Täter konnten folgende Daten einiger Nutzer erbeuten:
- Email-Adressen
- Passwörter
Aus diesem Grund haben wir - zur Sicherheit - alle Kunden-Passwörter zurückgesetzt.
Sie können Ihr neues Passwort direkt auf Filmundo anfordern:
https://www.filmundo.de/php/verkaufen/login.php?part=11
Sollten Sie Ihr altes Filmundo-Passwort auch auf anderen Seiten verwenden, so ändern Sie bitte - zu Ihrer Sicherheit - auch dort Ihr Passwort.
Zu keiner Zeit konnten die Hacker auf Ihren Filmundo-Account zugreifen, da ein Zugriff mit Emailadresse und Passwort nicht möglich ist.
Wir bedauern diesen Vorfall sehr und Entschuldigen uns bei Ihnen für die entstehenden Unannehmlichkeiten!
1.000,00 Euro Belohnung:
Wir bitten um Ihre Unterstützung!
Mit großer Wahrscheinlichkeit kommt der Täter aus Deutschland und hat es ganz gezielt auf Filmundo bzw. die Daten von Filmundo abgesehen. Die Polizei ist informiert. Da der Täter den Angriff aus dem Mobilfunknetz ausgeführt hat, ist eine Zuordnung anhand der IP des Täters für die Behörden jedoch nicht möglich.
Wir setzen eine Belohnung von 1.000,00 Euro aus, für Hinweise, die zur Ergreifung des Täters / der Täter führen.
1) Sollten Sie Informationen haben, die uns bei den Ermittlungen helfen können, so melden Sie sich bitte bei uns per Email: xmail@filmundo.de oder Telefon: 0541-1817886
2) Sollten Sie in den nächsten Tagen (Wochen/Monaten) ungewöhnliche Werbe-Emails erhalten, z.B. die eine Website bewirbt, mit ähnlichem Angebot wie Filmundo, so bitten wir Sie uns diese Emails weiter zu leiten, an xmail@filmundo.de!
Wir danken für Ihr Verständnis und Ihre Mithilfe!
Ihr Filmundo Team
---Update vom 16.02.2015, 17:00 Uhr---
Hier ein kurzes Update:
- Die Sicherheitslücke wurde direkt am Freitag Vormittag geschlossen
- Strafanzeige bei der Polizei wurde gestellt, wegen des Ausspähens von Daten gem. §202a StGB
- Weitere Sicherungsmaßnahmen und -Vorkehrungen sind in Vorbereitung.
|
| am 13.02.2015 um 13:37:00 Uhr
| Zitieren Melden | |
Antwort von hagbardceline23
Beiträge insgesamt: 8 Alle Beiträge anzeigen
Pos (631) Neu (0) Neg (0)
Meine Auktionen (0)
Profil | | Zitat: |
| geschrieben von exvirus52 am 25.02.2015 um 11:10:42.
Was hast Du denn erwartet bei derartigen Hackangriffen - einen Hausbesuch von filmundo um Dich zu informieren.
|
|
|
Hallo,
einen Hausbesuch nicht, immerhin kam aber eine Mail und auch ich habe diese viel zu spät gesehen weil es manchmal eine Phase des Lebens außerhalb von Filmundo geben darf (böser Fehler, ich weiß ). Wie gesagt: einen Hausbesuch kann mal wohl nicht erwarten, wohl aber würde ich erwarten, dass die Sicherheitslücke - insbesondere wenn sie nun geschlossen ist - volltransparent offengelegt und kommuniziert wird.
Also: wenn auch kein Hausbesuch, so ist ein Arzttermin evt. durchaus angesagt!
Ja, ich weiß: es ist einem dann doch irgendwie peinlich, wenn einem das selbst passiert. Andererseits kann es nur helfen, in dem Fall "die Hose runterzulassen" (fühlt sich ähnlich an wie beim Urologen ) und den Exploit in allen Details zu veröffentlichen (ok, das fühlt sich an wie beim Proktologen ), aber: es befreit von Intransparenz und schafft Vertrauen ( ). Bis hin zur proaktiven Kommunikation an heise.de u.ä. würde ich sogar gehen und das alles eher als Kunde begrüssen, als irgendeine Art von Verschwiegenheit was Lücken angeht. Ich würde ein solches Verhalten jedenfalls so banal und offen klaffend das Scheunentor auch wäre jedenfalls als User und Kunde eher befürworten und honorieren als ein geheimnisvolles "die Lücke wurde geschlossen".
Nur durch totale Offenlegung (notfalls auch technisch voll dokumentiert und für den Laien überfrachtend wirkend - Experten können es dann immerhin nachvollziehen und bestätigen, dass eine Lücke zu ist) kann ich mich m.E. darauf verlassen, dass das Ausnutzen einer Lücke in einer proprietären oder auch quelloffenen Software (in dem Fall die Plattform von Filmundo) schnellstmöglichst offengelegt, transparent gelöst und ausreichendes Sicherheitsbewusstsein gegeben ist.
Leider habe ich beim Durchblättern der vier Seiten hier zum Thema im Forum nichts davon gesehen (ich hoffe, ich habe etwas einfach beim Schnellklicken überlesen), also: gibt es eine Offenlegung der Sicherheitslücke und wie wurde diese behoben?
Vor allem wäre dann die einzig richtig kritische "> aber auch ehrlich konstruktive Frage an Filmundo zu stellen: wie wurde qualitätssichernd möglichst ausgeschlossen, dass so etwas wieder passieren kann?
Seien wir auch mal ehrlich: die Software von Filmundo wirkt recht altbacken und "webeinsnullig". Wir nutzen sie aber alle gerne, ist es doch die einzige deutschsprachige funktionierende (!!!) Plattform, die noch weitgehend unzensiert und nicht moralin-geschwängert (aka Tittenalarm bei eBay oder Facebook) den vor allem auch privaten Austausch von legalem Filmmaterial jeglicher Färbung erlaubt. Deshalb machen wir den "Spaß" mit und honorieren auch, dass die für einige Facebook-, HTML5 oder Appfetischisten doch recht retro wirkende Oberfläche immerhin laufend gepflegt wird. Am Ende sind wir auch als Auktionseinsteller zahlende Kunden, die das auch "mitmachen" und nicht wirklich einen Riesenbedarf an einer Totalerneuerung sehen, weil Filmundo etwas Einzigartiges ist und erhalten werden sollte - möglichst wie es ist -, trotz evt. Macken. Gerade deshalb können wir aber ganz sicher erwarten, dass mit unserer Sicherheit gut umgegangen wird. Dies ist auch bereits geschehen, indem User proaktiv immerhin per Mail überhaupt zeitnah informiert worden sind.
Jetzt fehlt nur noch das Schaffen von Vertrauen, indem der Exploit vollständig offengelegt, publiziert und an Medien veröffentlicht wird und vor allem dargelegt wird, wie möglichst (! - 100% schafft auch nicht Amazon, die Bucht oder die NSA... okay, letztere schaffen immerhin 99,999999% ;;) ) offengelegt wird, wie bei Filmundo künftig sicher gestellt wird, dass das nicht mehr passiert.
Grüße, hagbardceline23 (direkt aus dem goldenen Unterseeboot, ein paar 易經 werfend...)
P.S.: wer sich mit meinem alten Kennwort irgendwo versucht einzuloggen, stirbt...
P.S.S.: wer eine dann doch recht spezielle Plattform wie Filmundo hackt (und eben nicht was Breites oder Massentaugliches), der hat es eben zugleich auf etwas Schwächeres als die Multimilliardendollarkonzerne als auch auf etwas Hochspezialisiertes abgesehen. Deshalb begrüsse ich auch die Belohnungaktion, nicht weil jmd. damit reich werden soll, weil das ein klares Signal sein könnte, dass erkannt wurde, dass es jmd. in den sog. "eigenen Reihen" ist, dem sehr wohl bekannt ist, für was die Plattform üblicherweise und im Gegensatz zu o.g. Mainstreamportalen genutzt werden kann und der es speziell hierauf abgesehen hat. Es ist sicher kein üblicher Cracker, Scriptkiddy aus Asia oder Neurussland, sondern jmd. der weiß, wo er herkommt. Er sollte wissen - auch wenn es ihn wohl kaum beeindrucken wird: die Nutzer werden dieses Verhalten nicht akzeptieren:
P.S.S.S.: nach so langer Zeit und so viel Facebook u.ä. macht es mal wieder richtig Spass, Forensoftware mit den Smiley-Codes zu bedienen, sorry.
|
|
| am 27.04.2015 um 23:21:41 Uhr | Zitieren Melden | Antwort von ramon23
Beiträge insgesamt: 39 Alle Beiträge anzeigen
Pos (158) Neu (1) Neg (0)
Meine Auktionen (0)
Profil | Hi Filmundo-Gemeinde,
ich habe Post von der Polizei bekommen dass mein Packstationskonto gehackt wurde und evtl. "zum Empfang betrügerisch bestellter Waren gedient hat bzw. gedient haben könnte"
Also ich bin nicht verdächtigt oder so, ich soll nun mein Postgeheimnis entbinden damit die Polizei fahnden kann.
Habe dort angerufen und much vergewissert dass es kein Fake ist. Man weiss ja nie.
Naja, lange Rede, kurzer Sinn:
Es geht um den Zeitraum Februar 2015 und ich denke mir woher haben die meine E-Mail Adresse und meine Packstation-Daten her?
Da fällt mir ein dass Filmundo ja mal dieses Jahr gehackt wurde. Und siehe da, im Februar war es!
Hab mein Packstationkonto aber per App beinahe täglich auf dem Schirm und ich bin mir ziemlich sicher dass mit meinem kein Schindluder getrieben wurde. Aber habe es nun trotzdem sofort sperren lassen, man weiss ja nie.
Bestimmt waren es diese Hacker vom Februar, ich hab so ein Gefühl
|
|
| am 19.05.2015 um 17:45:45 Uhr | Zitieren Melden | Antwort von thaigirl Ich lösch dann jetzt mal alles... Beiträge insgesamt: 1450 Alle Beiträge anzeigen
Pos (4231) Neu (1) Neg (0)
Meine Auktionen (0)
Profil | | Zitat: |
| geschrieben von Lenilup07 am 07.08.2015 um 11:36:44.
Hallo Filmundo.
Gestern Abend fand ich komischerweise drei meiner aktuellen Artikel mit der Option Preisvorschlag ausgestattet.
Eingegeben hatte ich sie nicht !
|
|
|
Wenn du eine Auktion zum Festpreis einstellst dann ist das Häkchen bei Preisvorschlag vorgegeben. Du brauchst es also nicht einzugeben sondern mußt es entfernen wenn die Funktion nicht erwünscht ist
|
|
| am 09.08.2015 um 19:03:11 Uhr | Zitieren Melden |
|