Zum Inhalt der Seite



Informationen zum Fremdzugriff auf Backup-Server [Update] Animexx, Animexx, Datenschutz

Autor:  Yuya

Mit großem Bedauern müssen wir euch mitteilen, dass wir Fremdzugriff auf einen unserer Backup-Server festgestellt haben. Obwohl wir höchsten Wert auf Sicherheit unserer Server und eurer Daten legen, kam es nun nach 20 Jahren erstmals dazu. Wir sind sehr bestürzt darüber und haben bereits die Schwachstellen beseitigt und auch alle weiteren Server überprüft. Zum Glück betraf es nur diesen einen Server.

Nachfolgend erklären wir euch, was passiert ist und was ihr tun könnt.

Was ist passiert?

Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen eingespielt und die Firewall nicht korrekt konfiguriert worden.

Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.

Die Datenbank auf dem betroffenen Server wurde zu einem großen Teil kopiert und anschließend auf dem Server gelöscht. 
Es wurden personenbezogene Daten, verschlüsselte Passwörter, ENS (ausgenommen das ENS-Archiv), Steckbriefe, Blogs, Zirkel und so ziemlich alle Inhalte, die aus Text bestehen gestohlen. Bilder und Fotos sowie Dateien, die als ENS-Anhang oder ähnliches hochgeladen wurden, sind nicht betroffen.

Leider konnten wir euch nicht früher informieren, da wir erst die Auflagen der Datenschutzbehörde umsetzen mussten. Alle Mitglieder erhalten in den nächsten Tagen eine E-Mail zu diesem Vorfall.

Was tut Animexx als Konsequenz?

Wir werden den Fall technisch im Detail untersuchen. Der Hack wurde zur Anzeige gebracht. Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Außerdem haben wir den Fall der zuständigen Datenschutzbehörde gemeldet und sind in enger Absprache mit dieser und unserem externen Datenschutzbeauftragten. 

Der betroffene Server wurde selbstverständlich sofort abgesichert und ist nicht mehr von außen zugänglich.

Weitere Maßnahmen, die wir umsetzen sind folgende:

  • Regelmäßige Security-Audits für alle Systeme, insb. in Hinsicht auf aktuelle Patches und Firewallregeln
  • Wir prüfen, inwieweit wir besondere Daten wie die ENS oder Adressdaten in der Datenbank verschlüsseln können. Mit den derzeitigen Funktionen auf Animexx.de würden einige davon nicht mehr funktionieren. Daher müsste dies als optionale Auswahl zur Verfügung gestellt werden
  • Ein neues Loginverfahren wurde bereits implementiert, um besseren Schutz zu gewährleisten


Was wurde bisher herausgefunden?

Die Angreifenden scannen das Internet nach Servern mit bestimmten Schwachstellen ab und starten dann üblicherweise ein vorgefertigtes Programm, dass wie oben beschrieben Daten herunterlädt und anschließend löscht und eine Benachrichtigung zurück lässt.

Dieser Angriff richtete sich nicht gezielt gegen Animexx, sondern wurde breit gestreut. Es gibt also kein spezielles Interesse der oder des Angreifenden an unseren Daten - in erster Linie geht es um die Erpressung von Bitcoin/Geld. Für gewöhnlich richten sich diese Angriffe an "Live"-Datenbanken und setzen deren Opfer unter Druck, da die Website/Datenbank dann ausgeschaltet bzw. verschlüsselt wird. In unserem Fall betraf der Hack nicht die Live-Datenbank, sondern ein älteres Backup.

Die Angriffe, die sich nach diesem Schema richten und die eine gleiche, oder stark ähnliche Botschaft der Erpresser beinhalten, finden seit August/September diesen Jahres vielfach im Netz statt. 

Welche Auswirkungen hat das?

Die Datenbank hat ein älteres Backup beinhaltet, dass für den laufenden Betrieb nicht mehr benötigt wird. Es sind also keine Bestandteile der Animexx-Seite davon direkt betroffen. 

Es ist leider nicht auszuschließen, dass Teile der Datenbank in entsprechenden illegalen Bereichen des Internets veröffentlicht werden. Normalerweise werden vor allem E-Mail-Adressen und Passwörter interessant, weil man damit wiederum gezielt einzelne Personen hacken kann.
Es ist möglich, dass ihr Phishing*-Nachrichten per E-Mail erhalten werdet. Seid bitte besonders aufmerksam!
Der Aufsichtsbehörde liegen nach aktuellem Stand keine Erkenntnisse vor, dass die betroffenen Datensätze bereits missbräuchlich verwendet wurden oder werden. Wird uns oder der Aufsichtsbehörde bewusst, dass sich das ändert, informieren wir euch umgehend.

Sind die Daten verschlüsselt?

Obwohl die Adaption eines stärkeren Hash* Verfahrens zur Sicherung der Passwörter begonnen hatte, konnten wir leider feststellen, dass das ehemals benutzte SHA1-Verfahren zu Kompatibilitätszwecken weiterhin in der Datenbank verfügbar blieb. Die nicht mehr vollkommen sicheren SHA1-Passwörter sind damit dem Nutzerkonto trotz eines solideren, aktuelleren Hashes zuordenbar. Die Gefahr der Entschlüsselung von Passwörtern ist gegeben. Wir empfehlen allen Mitgliedern ihre Passwörter zur Sicherheit zu ändern und nirgends die gleichen Passwörter zu verwenden.
Mitglieder, die TOFU nutzen, haben die Möglichkeit, für eine Bank-Lastschrift ihre Kontodaten zu hinterlegen. Die Kontodaten sind auf dem Server nur verschlüsselt hinterlegt und können nur in der Buchhaltung lokal entschlüsselt werden. 

Für alle anderen Daten bieten wir kein verschlüsseltes Verfahren an, diese könnten also ggf. in falsche Hände geraten. Betroffen sind hiervon unter anderem Adressdaten oder ENS. 

Was ist nicht betroffen?

Es wurden ausschließlich Daten die in der Datenbank gespeichert waren entwendet. Nicht betroffen sind also alle Arten von Bildern/Fotos/Dateien. 

Alle Daten, die nach dem 30. Juli 2019 angelegt wurden, sind ebenfalls nicht betroffen.

Was könnt/müsst ihr tun?

Wie immer bei ähnlichen Vorfällen sind diese Punkte zu nennen:

  • Das Animexx-Passwort zeitnah ändern
  • Passwörter auf keinen Fall mehrfach für verschiedene Websites und/oder Apps verwenden. Bereits kleine Abwandlungen helfen
  • Keine kurzen und einfachen Passwörter verwenden (es wird oft dazu geraten, dass Passwörter mindestens 15 Zeichen enthalten sollen und eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen beinhalten sollen)
  • Der persönliche E-Mail-Account ist zentral wichtig und sollte besonders gut abgesichert werden. Solltet ihr das gleiche Passwort bei Animexx und eurem E-Mailaccount verwenden, ändert umgehend das Passwort eures E-Mailaccounts!

Haben die Loginprobleme vor kurzem damit zu tun?

Nein, das steht nicht im Zusammenhang. Es bestand hierbei zu keiner Zeit eine Sicherheitslücke.

Wohin kann ich mich bei Fragen wenden?

Wir werden versuchen alle eure Fragen zu beantworten. Bitte habt Verständnis dafür, dass wir nicht jedem sofort antworten können. Schreibt uns bitte direkt an die für diesen Fall eingerichtete Helpdesk-Box, damit nichts untergeht: https://www.animexx.de/helpdesk/?pre_bereich=dsgvo oder per E-Mail an info@animexx.de

Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des Animexx e.V. ist:

 

a.s.k. Datenschutz e.K.

Schulstraße 16a

91245 Simmelsdorf

Deutschland

Tel.: +49 9155 263 99 70

E-Mail: extdsb@ask-datenschutz.de

Website: www.ask-datenschutz.de

 

Jede betroffene Person kann sich jederzeit bei allen Fragen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.

[Update 17.12.19]

Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.

Was kann ich tun, wenn ich keinen Zugriff mehr auf meine E-Mailadresse habe?

Meldet euch bitte direkt im Helpdesk oder per E-Mail an info@animexx.de mit eurem Benutzernamen, einer neuen E-Mailadresse und einem Scan/Foto von eurem Ausweis. Die Daten werden dann mit euren Angaben auf dem Account verglichen. Sind sie identisch, wird die neue E-Mailadresse eingetragen. Die Ausweisscans/Fotos werden von uns anschließend zeitnah gelöscht.

Das neue Passwort wird nicht angenommen, was kann ich tun?

Klappt die Eingabe des Passwortes nicht, obwohl ihr es schon mehrfach versucht habt und sicher seid, dass sich kein Vertipper eingeschlichen hat: Versucht es bitte einzutippen und nicht zu kopieren und einzufügen. Das kann in manchen Fällen helfen. Bitte habt etwas Geduld, sollte es mit dem Eintippen nicht funktioniert haben. Unser Technik-Team versucht weiterhin eine Lösung zu finden. 

Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das? 

Wir bearbeiten die Anfragen schnellstmöglich. Aufgrund der Menge kann die Bearbeitungszeit variieren. Solltet ihr innerhalb von 24 Stunden keine Antwort erhalten haben, meldet euch bitte nochmal bei uns. Die Nachricht kam dann vermutlich nicht bei uns an. Über die Feiertage können wir leider nur eingeschränkt eure Anfragen bearbeiten. Bitte habt Verständnis dafür, dass sich die Bearbeitungszeit also deutlich erhöhen kann. Wir versuchen dennoch euch so schnell es geht weiterzuhelfen.

[Update 24.12.19]

Ergänzung zu "Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?": Bearbeitungszeit über die Feiertage wird erhöht sein, wir bitten um Verständnis.

Die E-Mail um das Passwort zurückzusetzen kam zweimal an, ist das Phishing?

Nein, wir versenden diese E-Mails von zwei Providern aus, um die Zustellung an euer Mail-Postfach sicherzustellen. Es ist also alles in Ordung, wenn ihr die gleiche Mail zweimal erhaltet. Solltet ihr dennoch unsicher sein, könnt uns gerne die betreffenden Mails weiterleiten, damit wir sie einmal prüfen können. Ihr erreicht uns über die oben genannten Kontaktwege.

*Phishing: Beschaffung persönlicher Daten anderer Personen mit gefälschten E-Mails oder Websites, um bspw. das Konto zu plündern. Siehe https://de.wikipedia.org/wiki/Phishing

*Hash: Unter einem Hash versteht man ein kryptographisches Einwegverfahren welches erlaubt Daten miteinander zu vergleichen, ohne den Inhalt zu kennen. Das Verfahren ist dabei nicht umkehrbar. Sozusagen eine Verschlüsselung ohne Umkehr. Im Fall von einem Passwort vergleichen wir immer jeweils nur die Hashes und nicht das Passwort selbst. Siehe https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion

[1...10] [11] [12] [13] [14] [15] [16]
/ 16


Datum: 29.01.2020 13:22
Perfekt! Vielen Dank. Wird gut sein ihn endlich wieder hier zu haben :D
Avatar
Datum: 30.01.2020 15:26
GibsonGirl

Dieses Mal liegts leider daran, weils noch nicht bearbeitet worden ist.
Wir sind dran, aber die 24h können wir wohl erst ab nächster Woche wieder einhalten. :/
Ich würde dir kurz schreiben, sobald die Mail an ihn rausgegangen ist?
The light behind your eyes.
Datum: 30.01.2020 16:07
Perfekt! Lieben Dank!
Avatar
Datum: 30.01.2020 19:15
Hallo zusammen :)

Ich möchte im Namen einer Freundin auch mal nachhören, ob ihre Anfrage an den Helpdesk ankam? Ihr Nickname ist Ranulf, sie hat ein paar Anfragen gestellt, aber bisher nichts gehört :/ Sie weiß leider nicht mehr das Passwort zu der Emailadresse, die sie hier registriert hat ^^"
Chrom wants you!
Avatar
Datum: 18.02.2020 22:40
Hallo :)

Ich muss leider noch mal wegen meiner Freundin Merian nachfragen.
Sie hat nach wie vor keine Antwort via Email oder vom Helpdesk erhalten. Sie hat keine andere Email-Adresse, mit der sie eine Email schreiben könnte, ihre bisherigen Emails sind offenbar nicht angekommen.
Sie hat es am 13.2. noch einmal via Email, Helpdesk und sogar Facebook versucht, aber sie bekommt nach wie vor keine Antwort.

Was kann sie tun, um sich wieder anmelden zu können?

C'est le bien qui fait mal
Quand tu aimes tout à fait normal
Ta haine prend le plaisir
C'est si bon de souffrir, succombe au charme, donne tes larmes
Avatar
Datum: 19.02.2020 10:24
Ich verlinke mal Goetterspeise, weil sie glaube ich auch den Erst-Kontakt damals hatte. Zumindest lese ich gerade hier unter dem Thread.
 
Falls bisher gar keine Antworten vom HD durchkamen, dann muss wirklich ein Fehler bei der Kommunikation vorliegen. Wenn es sich nicht anders händeln lässt, dann versuchen wir es nochmal über ENS.
Lebe nie ohne zu Lachen, denn es gibt Menschen die von deinem Lachen leben.
Avatar
Datum: 19.02.2020 20:37
Hinatara:
Seltsam- ich hab ihr auch vor kurzem nochmal geantwortet :/
Ich schick die Mail nochmal raus, ansonsten kannst du ihr mitteilen, dass die Mailadresse, die sie wollte, eingetragen ist. Sie kann ihr PW beantragen.
Wenn es nicht klappt, soll sie nochmal über Mail schreiben und wir versuchen eine andere Mailadresse. :)
~[Zitat von Shishio Makoto; Rurouni Kenshin]
"Der Mensch ist von Natur aus teuflisch und die Welt ist eine Hölle." ♥
[Zitat Ende]~
Avatar
Datum: 19.02.2020 20:41
Josey

Mach ich, vielen Dank :)
C'est le bien qui fait mal
Quand tu aimes tout à fait normal
Ta haine prend le plaisir
C'est si bon de souffrir, succombe au charme, donne tes larmes
Datum: 11.03.2020 01:13
wann klappt das denn wieder mit der Gerade Online anzeige?
Datum: 13.04.2020 11:24
Schreib im Auftrag „Panda“:

“Seit Dezember wurde ein Tofu Paket für unser rpg erworben, und seit dem ist das login nicht mehr möglich.

Die erste Rückmeldung fand ganze 2 Monate später Statt! Und darin hieß es, die Email sei nicht registriert (was auch stimmt, allerdings hat die richtige Email bis heute noch keine Antwort erhalten!)

Ich bekomme die Mail nicht mehr um das Passwort zurück setzten zu können, und es hieß im Februar dass es nun funktionieren wird.
- tat es nicht, und jede weitere Mail wird von euch jetzt ignoriert.

Es dauert jetzt fast 5 Monate dass ihr eine Mail raus schicken sollt, die mein Passwort zurück setzt? Kann ja nicht euer Ernst sein XD
Das Geld für Pakete habt ihr aber schnell genommen...
( [Ticket#: 974785] )“
Datum: 13.04.2020 12:36
Panda:
„das Problem wird nicht gelöst.
Es wird darauf hingewiesen, man solle doch bitte von der anderen Email aus probieren - die wohlgemerkt seit Dezember keine Antworten auf 3 Mails bekommen hat.

Zumal grade bei eurem sehr lückenhaften Sicherheitsausführungen einen Ausweis zu verlangen? Nachdem ihr gehackt worden seid??

Ähm... Nein? Das wäre glaub nicht sehr schlau...“
Datum: 14.10.2021 11:37
Servus,

das Thema ist ja schon ein wenig älter... ist schon bekannt, ob die Daten irgendwo veröffentlicht worden sind?
Meine nächste Frage (und der Grund warum ich mir den Account hier erstellt habe) wäre, ob die Daten eines Accounts, der im Dezember 2018 gelöscht wurde, im besagten Datenbackup enthalten sein könnten? Es heißt ja, dass die Daten bis zu einem Jahr gespeichert werden können.

Wäre froh, wenn jemand zeitnah antworten könnte!
Avatar
Datum: 15.10.2021 12:38
abgemeldet:
> das Thema ist ja schon ein wenig älter... ist schon bekannt, ob die Daten irgendwo veröffentlicht worden sind? 
 
Bisher gibt es keine Hinweise darauf. Es war dort u.a. eine Mailadresse von mir enthalten, die ich sonst nirgends benutze, und bisher kam dort weder Spam an noch ist sie zB in https://haveibeenpwned.com/ zu finden.
Dazu kommt, dass die Daten (Zuordnung Mailadressen-Passworthashes-Namen) so "speziell" gespeichert waren, so dass sich jemand vom Fach wirklich hinsetzen und ein paar Stunden Mühe geben müsste da eine sinnvolle Liste zu extrahieren.
=> ich gehe davon aus, dass nichts geleakt wurde.
 
> Meine nächste Frage (und der Grund warum ich mir den Account hier erstellt habe) wäre, ob die Daten eines Accounts, der im Dezember 2018 gelöscht wurde, im besagten Datenbackup enthalten sein könnten? Es heißt ja, dass die Daten bis zu einem Jahr gespeichert werden können.
 
Wenn dann nur noch Reste des Accounts wie z.B. frühere Mailadressen oder ähnliches, aber ohne Zuordnung zueinander. Ich denke also hier besteht keine Gefahr, wenn der Account wirklich im Dezember 2018 gelöscht wurde. Allerdings an der Stelle ohne Garantie.
 
Ja mata,
Tobias/Galileo
Datum: 15.10.2021 14:19
Super, das ist ja beruhigend =)
Hoffen wir mal, dass es dann so bleibt. Hätte eigentlich nach so langer Zeit gedacht, dass man die Datenbank auf einschlägig bekannten Foren wiederfindet.
Datum: 18.04.2023 18:53
Wenn es heißt ältere Datenbank, was ist mit nem gelöschten Account vor 2019? Sind Daten bei Animexx generell für immer gelöscht oder besteht die Gefahr, dass da auch noch Daten geholt werden können?
[1...10] [11] [12] [13] [14] [15] [16]
/ 16




Zum Weblog