Informationen zum Fremdzugriff auf Backup-Server [Update]
Yuya Mit großem Bedauern müssen wir euch mitteilen, dass wir Fremdzugriff auf einen unserer Backup-Server festgestellt haben. Obwohl wir höchsten Wert auf Sicherheit unserer Server und eurer Daten legen, kam es nun nach 20 Jahren erstmals dazu. Wir sind sehr bestürzt darüber und haben bereits die Schwachstellen beseitigt und auch alle weiteren Server überprüft. Zum Glück betraf es nur diesen einen Server.
Nachfolgend erklären wir euch, was passiert ist und was ihr tun könnt.
Was ist passiert?
Der Server wurde vor Wochen aufgrund einer defekten Festplatte repariert, war jedoch noch nicht wieder vollständig in Betrieb genommen worden. Dadurch waren auch nicht alle Aktualisierungen eingespielt und die Firewall nicht korrekt konfiguriert worden.
Der unbefugte Zugriff wurde abends, am 20. November bemerkt und unser Team hat sich sofort daran gemacht die Situation zu analysieren, den Server umgehend zu sichern und auch alle übrigen Server zu überprüfen. Die ausgenutzte Sicherheitslücke bestand nur auf diesem System, d.h. wir können auszuschließen, dass auch andere Server auf diesem Weg angegriffen wurden.
Die Datenbank auf dem betroffenen Server wurde zu einem großen Teil kopiert und anschließend auf dem Server gelöscht.
Es wurden personenbezogene Daten, verschlüsselte Passwörter, ENS (ausgenommen das ENS-Archiv), Steckbriefe, Blogs, Zirkel und so ziemlich alle Inhalte, die aus Text bestehen gestohlen. Bilder und Fotos sowie Dateien, die als ENS-Anhang oder ähnliches hochgeladen wurden, sind nicht betroffen.
Leider konnten wir euch nicht früher informieren, da wir erst die Auflagen der Datenschutzbehörde umsetzen mussten. Alle Mitglieder erhalten in den nächsten Tagen eine E-Mail zu diesem Vorfall.
Was tut Animexx als Konsequenz?
Wir werden den Fall technisch im Detail untersuchen. Der Hack wurde zur Anzeige gebracht. Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Außerdem haben wir den Fall der zuständigen Datenschutzbehörde gemeldet und sind in enger Absprache mit dieser und unserem externen Datenschutzbeauftragten.
Der betroffene Server wurde selbstverständlich sofort abgesichert und ist nicht mehr von außen zugänglich.
Weitere Maßnahmen, die wir umsetzen sind folgende:
- Regelmäßige Security-Audits für alle Systeme, insb. in Hinsicht auf aktuelle Patches und Firewallregeln
- Wir prüfen, inwieweit wir besondere Daten wie die ENS oder Adressdaten in der Datenbank verschlüsseln können. Mit den derzeitigen Funktionen auf Animexx.de würden einige davon nicht mehr funktionieren. Daher müsste dies als optionale Auswahl zur Verfügung gestellt werden
- Ein neues Loginverfahren wurde bereits implementiert, um besseren Schutz zu gewährleisten
Was wurde bisher herausgefunden?
Die Angreifenden scannen das Internet nach Servern mit bestimmten Schwachstellen ab und starten dann üblicherweise ein vorgefertigtes Programm, dass wie oben beschrieben Daten herunterlädt und anschließend löscht und eine Benachrichtigung zurück lässt.
Dieser Angriff richtete sich nicht gezielt gegen Animexx, sondern wurde breit gestreut. Es gibt also kein spezielles Interesse der oder des Angreifenden an unseren Daten - in erster Linie geht es um die Erpressung von Bitcoin/Geld. Für gewöhnlich richten sich diese Angriffe an "Live"-Datenbanken und setzen deren Opfer unter Druck, da die Website/Datenbank dann ausgeschaltet bzw. verschlüsselt wird. In unserem Fall betraf der Hack nicht die Live-Datenbank, sondern ein älteres Backup.
Die Angriffe, die sich nach diesem Schema richten und die eine gleiche, oder stark ähnliche Botschaft der Erpresser beinhalten, finden seit August/September diesen Jahres vielfach im Netz statt.
Welche Auswirkungen hat das?
Die Datenbank hat ein älteres Backup beinhaltet, dass für den laufenden Betrieb nicht mehr benötigt wird. Es sind also keine Bestandteile der Animexx-Seite davon direkt betroffen.
Es ist leider nicht auszuschließen, dass Teile der Datenbank in entsprechenden illegalen Bereichen des Internets veröffentlicht werden. Normalerweise werden vor allem E-Mail-Adressen und Passwörter interessant, weil man damit wiederum gezielt einzelne Personen hacken kann.
Es ist möglich, dass ihr Phishing*-Nachrichten per E-Mail erhalten werdet. Seid bitte besonders aufmerksam!
Der Aufsichtsbehörde liegen nach aktuellem Stand keine Erkenntnisse vor, dass die betroffenen Datensätze bereits missbräuchlich verwendet wurden oder werden. Wird uns oder der Aufsichtsbehörde bewusst, dass sich das ändert, informieren wir euch umgehend.
Sind die Daten verschlüsselt?
Obwohl die Adaption eines stärkeren Hash* Verfahrens zur Sicherung der Passwörter begonnen hatte, konnten wir leider feststellen, dass das ehemals benutzte SHA1-Verfahren zu Kompatibilitätszwecken weiterhin in der Datenbank verfügbar blieb. Die nicht mehr vollkommen sicheren SHA1-Passwörter sind damit dem Nutzerkonto trotz eines solideren, aktuelleren Hashes zuordenbar. Die Gefahr der Entschlüsselung von Passwörtern ist gegeben. Wir empfehlen allen Mitgliedern ihre Passwörter zur Sicherheit zu ändern und nirgends die gleichen Passwörter zu verwenden.
Mitglieder, die TOFU nutzen, haben die Möglichkeit, für eine Bank-Lastschrift ihre Kontodaten zu hinterlegen. Die Kontodaten sind auf dem Server nur verschlüsselt hinterlegt und können nur in der Buchhaltung lokal entschlüsselt werden.
Für alle anderen Daten bieten wir kein verschlüsseltes Verfahren an, diese könnten also ggf. in falsche Hände geraten. Betroffen sind hiervon unter anderem Adressdaten oder ENS.
Was ist nicht betroffen?
Es wurden ausschließlich Daten die in der Datenbank gespeichert waren entwendet. Nicht betroffen sind also alle Arten von Bildern/Fotos/Dateien.
Alle Daten, die nach dem 30. Juli 2019 angelegt wurden, sind ebenfalls nicht betroffen.
Was könnt/müsst ihr tun?
Wie immer bei ähnlichen Vorfällen sind diese Punkte zu nennen:
- Das Animexx-Passwort zeitnah ändern
- Passwörter auf keinen Fall mehrfach für verschiedene Websites und/oder Apps verwenden. Bereits kleine Abwandlungen helfen
- Keine kurzen und einfachen Passwörter verwenden (es wird oft dazu geraten, dass Passwörter mindestens 15 Zeichen enthalten sollen und eine Kombination aus Zahlen, großen und kleinen Buchstaben sowie Sonderzeichen beinhalten sollen)
- Der persönliche E-Mail-Account ist zentral wichtig und sollte besonders gut abgesichert werden. Solltet ihr das gleiche Passwort bei Animexx und eurem E-Mailaccount verwenden, ändert umgehend das Passwort eures E-Mailaccounts!
Haben die Loginprobleme vor kurzem damit zu tun?
Nein, das steht nicht im Zusammenhang. Es bestand hierbei zu keiner Zeit eine Sicherheitslücke.
Wohin kann ich mich bei Fragen wenden?
Wir werden versuchen alle eure Fragen zu beantworten. Bitte habt Verständnis dafür, dass wir nicht jedem sofort antworten können. Schreibt uns bitte direkt an die für diesen Fall eingerichtete Helpdesk-Box, damit nichts untergeht: https://www.animexx.de/helpdesk/?pre_bereich=dsgvo oder per E-Mail an info@animexx.de
Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Animexx e.V. ist:
a.s.k. Datenschutz e.K.
Schulstraße 16a
91245 Simmelsdorf
Deutschland
Tel.: +49 9155 263 99 70
E-Mail: extdsb@ask-datenschutz.de
Website: www.ask-datenschutz.de
Jede betroffene Person kann sich jederzeit bei allen Fragen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.
[Update 17.12.19]
Ergänzung zu Abschnitt "Was ist passiert?": Das ENS-Archiv wurde nicht gestohlen.
Was kann ich tun, wenn ich keinen Zugriff mehr auf meine E-Mailadresse habe?
Meldet euch bitte direkt im Helpdesk oder per E-Mail an info@animexx.de mit eurem Benutzernamen, einer neuen E-Mailadresse und einem Scan/Foto von eurem Ausweis. Die Daten werden dann mit euren Angaben auf dem Account verglichen. Sind sie identisch, wird die neue E-Mailadresse eingetragen. Die Ausweisscans/Fotos werden von uns anschließend zeitnah gelöscht.
Das neue Passwort wird nicht angenommen, was kann ich tun?
Klappt die Eingabe des Passwortes nicht, obwohl ihr es schon mehrfach versucht habt und sicher seid, dass sich kein Vertipper eingeschlichen hat: Versucht es bitte einzutippen und nicht zu kopieren und einzufügen. Das kann in manchen Fällen helfen. Bitte habt etwas Geduld, sollte es mit dem Eintippen nicht funktioniert haben. Unser Technik-Team versucht weiterhin eine Lösung zu finden.
Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?
Wir bearbeiten die Anfragen schnellstmöglich. Aufgrund der Menge kann die Bearbeitungszeit variieren. Solltet ihr innerhalb von 24 Stunden keine Antwort erhalten haben, meldet euch bitte nochmal bei uns. Die Nachricht kam dann vermutlich nicht bei uns an. Über die Feiertage können wir leider nur eingeschränkt eure Anfragen bearbeiten. Bitte habt Verständnis dafür, dass sich die Bearbeitungszeit also deutlich erhöhen kann. Wir versuchen dennoch euch so schnell es geht weiterzuhelfen.
[Update 24.12.19]
Ergänzung zu "Ich habe noch keine Antwort vom Helpdesk erhalten, wie lang dauert das?": Bearbeitungszeit über die Feiertage wird erhöht sein, wir bitten um Verständnis.
Die E-Mail um das Passwort zurückzusetzen kam zweimal an, ist das Phishing?
Nein, wir versenden diese E-Mails von zwei Providern aus, um die Zustellung an euer Mail-Postfach sicherzustellen. Es ist also alles in Ordung, wenn ihr die gleiche Mail zweimal erhaltet. Solltet ihr dennoch unsicher sein, könnt uns gerne die betreffenden Mails weiterleiten, damit wir sie einmal prüfen können. Ihr erreicht uns über die oben genannten Kontaktwege.
*Phishing: Beschaffung persönlicher Daten anderer Personen mit gefälschten E-Mails oder Websites, um bspw. das Konto zu plündern. Siehe https://de.wikipedia.org/wiki/Phishing
*Hash: Unter einem Hash versteht man ein kryptographisches Einwegverfahren welches erlaubt Daten miteinander zu vergleichen, ohne den Inhalt zu kennen. Das Verfahren ist dabei nicht umkehrbar. Sozusagen eine Verschlüsselung ohne Umkehr. Im Fall von einem Passwort vergleichen wir immer jeweils nur die Hashes und nicht das Passwort selbst. Siehe https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion
Danke!
Wäre sonst mega schade :(
Ich hatte meine Adresse mal aus dem System genommen und erst vor kurzem für den Adventskalender wieder eingetragen.
Jetzt wüsste ich nur gerne, ob meine Adressdaten sicher waren oder evtl noch in dem Backup.
> Frage: wenn man ewig lange kein ToFu aufgeladen hat, also GELT, sind da die Daten weiterhin da und stehlbar?
Mit Daten meinst du die Bankverbindung für die Lastschriften, oder? Die sind weiterhin da und verschlüsselt hinterlegt und können nur in der Buchhaltung entschlüsselt werden.
> Wie alt war das Backup?
>
> Ich hatte meine Adresse mal aus dem System genommen und erst vor kurzem für den Adventskalender wieder eingetragen.
> Jetzt wüsste ich nur gerne, ob meine Adressdaten sicher waren oder evtl noch in dem Backup.
Das Backup hatte den Stand vom 30. Juli 2019.
> Das Backup hatte den Stand vom 30. Juli 2019.
Da war also nix 'altes' mehr bei...
Gut, dann scheint wenigstens meine Adresse nicht betroffen zu sein.
> Überlege echt ob ich nach dem vorfall...hier weiter bleiben möchte.
So etwas kann dir bei jeder Seite passieren. In Europa gibt es härtere Maßnahmen wenn ein Datenschutzproblem aufkommt.
Da gleich Animexx zu verteufel ist ja schon recht arg..
Ich bin seit 2005(!) dabei und so etwas gab es noch nie!
Also sei beruhigt, so etwas ist zwar leider passiert, aber es heisst noch lange nicht, dass es in Zukunft vorkommen wird.
Es waren ja nicht nur Animexx davon betroffen, sondern auch andere Seiten die rein gar nichts mit Animexx zu tun hatten.
Momentan geht leider auch ein Crypto-Virus umher, der alles verschlüsselt, was er in die Finger bekommt...
Ich jedenfalls stehe Animexx bei und hab auch meine Kontakte über andere Plattformen informiert, ihre Passwörter zu checken.
Deswegen:
Bitte Leute, nehmt nicht ein(1) Passwort doppelt! Wenn ihr auf Animexx euch einloggt und das gleiche Passwort auch für eure gleiche Email verwendet.
Ich wünsche den Animexx Teammitgliedern jedenfalls viel Gute und nicht den Kopf hängen lassen. Zwar ist es ärgerlich, was passiert ist, aber wir wurden alle informiert und jetzt gehts wieder bergauf!
Meet me where the sky touches the sea. Meet me where the world begins.
haltet mich für verrückt, aber vorher hab ich mal alle Jubeljahre ne eMail bekommen wo sie versuchen mich auf Amazon, ebay oder was auch immer zu bekommen über einen Link "Wir haben Probleme/Ihren Account gesperrt und hier über diesen link können wir das ändern" - gequatscht von unseriösen Versenderadressen. Aber seit Wochen mindestens einmal die Woche, manchmal im Tagesabstand. 🤔 Gut dann weiß ich ja nun woran es liegt.
Passwort ändern hat sofort ohne Probleme funktioniert.
Auf der Arbeit, auf der Arbeit sitzt ne kleine Lanze
Seht euch mal die Lanze an, wie die Lanze arbeiten kann
Wer sich sorgen macht, ob seine E-Mail sicher ist oder irgendwo zirkuliert, der kann das auf Seiten wie dieser hier überprüfen: https://haveibeenpwned.com
Bei den Apps hakelt das wohl etwas. Wenn du ein neues PW hast, dann aus der App einmal aus- und dann wieder einloggen und dann ist das wieder passend synchronisiert.
Die RPG-App, die ich noch hab, hat mich übrigens ausgeloggt tatsächlich. Lediglich die aktuelle Animexx-App nicht.
> Auf Wunsch der zuständigen Behörde, möchten wir euch bitten von einer privaten Anzeige abzusehen, da dies hinderlich wäre.
Geht es hier um eine Anzeige gegen unbekannt, oder eine gegen das Animexx? :p
Für mich, als jemand der für eine Weile Servertechniker spielte, liest sich eure Beschreibung nämlich so, als wäre der Fehler hier auf eurer Seite gewesen.
Wie lange lief der Server denn, ohne das jemand Updates einspielte oder die Firewall aktivierte? Es sollte zu den ersten Dingen überhaupt gehören, beides kurz nach dem Booten des Servers in die Gänge zu leiten.
Also mir, von einem ehemaligen "Server-Techniker" zu euren "Server-Technikern" hier, fehlt hier das Verständnis für diesen Vorfall. Das ist ein absolutes Unding, und je länger der Server ohne Updates und Firewall in seinem ominösen "nicht Vollbetrieb" online war, desto schlimmer machts das doch nur. Entweder stellt man die Sicherheitsvorkehrungen unverzüglich wie benötigt ein, oder man entfernt die personenbezogenen Daten vom Server und spielt sie erst wieder auf, sobald der Server "sicher" ist.
Aber vielen Dank, Animexx. Es ist doch immer schön, wenn vermutlich tausende von E-Mail Adressen, Passwörtern etc. im Darkweb verteilt werden. All diejenigen, die daraufhin nun von Phishing-Mails betroffen wurden und ggf. sogar darauf reinfielen.. denen schuldet ihr weit mehr als nur eine Entschuldigung.
Ich würde auch mal empfehlen eine E-Mail an die Betroffenen rauszuschicken. Eure Datenbank beinhaltet weit mehr User, als die hier aktiven. Ich bin hier relativ aktiv, aber hätte ich nicht zufällig auf "Weblogs" geklickt, dann hätte ich von dieser News hier dennoch nichts erfahren. Die Info muss so verteilt werden, dass sie alle betroffenen erreicht, nicht nur diejenigen, die sich in regelmäßig die Blogübersicht ansehen.
Da kann man echt nur den Kopf schütteln, wenn man sowas hier liest.
> Ich würde auch mal empfehlen eine E-Mail an die Betroffenen rauszuschicken. Eure Datenbank beinhaltet weit mehr User, als die hier aktiven. Ich bin hier relativ aktiv, aber hätte ich nicht zufällig auf "Weblogs" geklickt, dann hätte ich von dieser News hier dennoch nichts erfahren. Die Info muss s verteilt werden, dass sie alle betroffenen erreicht, nicht nur diejenigen, die sich in regelmäßig die Blogübersicht ansehen.
>
> Da kann man echt nur den Kopf schütteln, wenn man sowas hier liest.
Das läuft bereits, wird aber einige Zeit in Anspruch nehmen, weil Mails an 200k Adressen. Mögen die Spamfilter von verschiedenen Providern nicht so. Also der E-Mail-Versand läuft bereits.
> Das läuft bereits, wird aber einige Zeit in Anspruch nehmen, weil Mails an 200k Adressen. Mögen die Spamfilter von verschiedenen Providern nicht so. Also der E-Mail-Versand läuft bereits.
In Zukunft solltet ihr euch dann eventuell mal mit dem Thema "Whitelisting" befassen. Ein Massenversand an knapp 200.000 E-Mail Adressen sollte eigentlich kein allzu großes Ding sein. Da gibt es einige Unternehmungen da draußen, die stündlich weit mehr verschicken ;-)
Und wenn Spamfilter das Problem sind, dann stellt ein Whitelisting hin und wieder die Lösung dafür dar. Die CSA (Köln) könnte "euch" beispielsweise prüfen und whitelisten, die sind wenn ich mich richtig erinnere für Anbieter wie Gmx und Hotmail (?) zuständig.. nagel mich daran aber jetzt nicht fest. Andere E-Mail Anbieter haben andere Firmen, bei denen man sich prüfen und whitelisten lassen kann.
Je nachdem wer euer Provider ist kann unter Umständen sogar der Support das Whitelisting in Angriff nehmen.
Ein mal bei allen Internetgrößen auf der Whitelist und ihr könnt mailen wie ihr lustig seid. Zur User-Rückgewinnung könntet ihr das übrigens auch nutzen, "Schau doch nochmal vorbei :p"-Mails sind effektiver als viele glauben mögen. Das würde dem Animexx sicherlich nicht schaden. Im selben Atemzug wie diese dubiose Datenbankgeschichte sollte man das aber natürlich nicht machen. Aber.. das ist halt mal ein kleiner Tipp von mir, zu einer seperaten Problematik. Probleme sind dafür da um gelöst zu werden ^^
> Im Text war gar nichts von Reset-Emails zu lesen, müssen wir auf diese Email warten bevor wir unser Passwort ändern können? Ich versuch es gerade zu ändern, bekomme aber nur die Fehlermeldung dass die Passwörter nicht übereinstimmen. (und ja, capslock ist aus, und ich habs mehr als 5 mal probiert *shrug*)
Es gab ein Problem in der Passwort ändern Funktion. Der Passwort Reset war nicht betroffen.
Sollte behoben sein.
Motome Subs - Purikura
Schreib uns dein Feedback doch noch einmal an den normalen HD-Support, damit er nicht verloren geht. Hier unter einem WB kann das schnell unter gehen.
Bei mir hat zum Glück jede Seite (natürlich auch die E-Mail-Accounts) ein komplett anderes Passwort, ich hatte nämlich schon mal ein Problem mit Hackern (was allerdings eine andere Person zu verschulden hatte, nicht ich selber), seitdem bin ich da sehr vorsichtig geworden (nicht nur was die Passwörter betrifft, sondern allgemein).
Na dann werd ich wohl bald meinen ersten 'Eintrag' auf https://haveibeenpwned.com/ finden. 'Toll'
Ja, es ist mir bewusst das es keine 100%ige Sicherheit gibt. Deshalb halte ich mich auch mit persönlichen Daten zurück.
Ich frage mich nur
1. Warum wurde der seit Jahren kaputte SHA1 verwendet?
2. Was macht der Backup Server am Netz? Backup heisst nicht umsonst so denn wenn der GAU kommt ist ein Backup die Rettung. Darum sollte dieser Teil der Infrastruktur stärker gesichert sein als das 'laufende System'. Also mit aktueller Krypto und nicht dauerhaft am Netz. Und wenn veraltet dann komplett weg.
Keine schöne Situation. Weder für euch noch für die User. Viel Erfolg
PS: Ich hoffe das mittlerweile eine aktuellere Krypto benutzt wird.
> PS: Ich hoffe das mittlerweile eine aktuellere Krypto benutzt wird
Eine stärkere Verschlüsselung war Auflage der Behörde und wurde von uns nun implementiert.
Im Code war zu entnehmen, dass die Adaption einer stärkeren Verschlüsselung begonnen hatte und der alte SHA1 nur aus Kompatibilitätsgründen blieb. Der Wechsel wurde nur leider nie vollständig abgeschlossen.
Die Situation ist nicht schön, das stimmt.
<( ' ' )>
(> ”)>
Frage für eine Freundin, die nun nicht mehr reinkommt und mittlerweile sehr verzweifelt ist.
Veröffentliche Geheimnisse werden billig; und das Entweihte verliert seine Anmut.
Bzw. werden Abend diese beantwortet oder erst wieder morgen?
Habe auch jemand, der hierbezüglich nicht mehr weiß, mit welcher E-Mail sie sich angemeldet hat.
Da sie auch nur noch 2 aktive Adressen hat. Die es aber scheinbar nicht sind.
> Zum Glück blogge ich hier auf der Seite nicht. Ich könnte kaum ruhig schlafen, wenn ich wüsste, dass z.B. meine autistischen Anal-Anekdoten auf der Festplatte eines mir unbekannten Menschen gespeichert wären!
Was das angeht ist es eh schon zu spät, keine Sorge! XD
Ich steh zu dem was ich schreibe und bin für sexuelle Themen nicht zu prüde. Da sind noch ganz andere Dinge im Umlauf, aber das ist nicht Thema hier.
> Was kann man tun, wenn die Mail zum ändern des Passworts nicht ankommt? Es gibt nur drei Emailadressen und es kommt einfach nichts an.
> Frage für eine Freundin, die nun nicht mehr reinkommt und mittlerweile sehr verzweifelt ist.
Deine Freundin soll sich am besten an das HD wenden (https://www.animexx.de/helpdesk/?pre_bereich=dsgvo) oder eine E-Mail an info@animexx.de schicken. Wenn du nachweisen kannst, dass der Account zu dir gehört kann man eine aktuelle E-Mail Adresse hinterlegen an die der Code dann gesendet wird.
> Wie lange dauert es, bis mann eine Antwort auf eine versandte E-Mail zu dem Problem erhält?
> Bzw. werden Abend diese beantwortet oder erst wieder morgen?
>
> Habe auch jemand, der hierbezüglich nicht mehr weiß, mit welcher E-Mail sie sich angemeldet hat.
> Da sie auch nur noch 2 aktive Adressen hat. Die es aber scheinbar nicht sind.
Es wird natürlich versucht alle Anfragen heute noch zu beantworten. Dennoch müssen wir um Verständnis bitten, wenn sich gewisse Dinge vielleicht noch bis morgen ziehen sollten. Die Anfragen werden alle einzeln bearbeitet.
Weil für diese User wäre diese Information durchaus wichtig.
Ich bin leider eine von den Kandidaten, die Passwörter mehrfach verwendet, weil ich sie mir schlecht merken kann und nicht immer alles aufschreiben will. Nun waren also mehrere Zugänge von mir auf Websites fast einen Monat ungeschützt... (da hätte ich mir echt eine frühere Info gewünscht!) Wie wahrscheinlich ist es, dass da bereits was passiert ist? Was genau kann passiert sein? Ich habe nichts bemerkt bisher, habe auch keine dubiosen Mails bekommen. Aber ich kenne mich mit sowas nicht wirklich aus.
Ob jemand meine ENS oder Weblogs liest, ist mir herzlich egal. Es geht eher darum, wie ich merke, ob andere Accounts von mir bereits gehackt wurden. Natürlich hab ich auf allen betroffenen Seiten jetzt bereits das Passwort geändert, aber wie gesagt... ein Monat?!
Kann, da meine E-Mailadresse UND mein Passwort geklaut wurden und ich beides zusammen auch woanders verwendet habe, bereits Schaden entstanden sein, ohne dass ich es merke?
Nein, das ist (bis jetzt) nicht geplant. Deswegen wurden die Passwörter von allen Usern zurück gesetzt und wie im obigen Weblog beschrieben ist jeder dazu angehalten alte PW zu aktualisieren, sollten diese mit dem alten Animexx-PW überein stimmen.
Und zwar, da ja auch ENS betroffen sind, würde mich interessieren, wie lang/alt/zurückreichend das BackUp von dem Server ist. o___O'
Hintergrund meiner Frage.... ich hab eben meine ENS grob durchgeflogen, weil ich wusste, dass ggf. noch was darunter ist, wo mal bei einem Privatverkauf einer Con-Karte Kontodaten + Adressdaten ausgetauscht wurden. >___<'
Ich hatte den ENS-Verlauf dazu auch eben bei mir gefunden... *bestürzt im Kreis roll*
Who fear music is dangerous.
> RedFlash Anders gefragt: ab wann wurde das neue Verfahren angewendet? Also ab wie weit liegt es zurück dass das stärkere Hash-Verfahren eingeführt wurde?
Für diese Frage muss ich an