diese Nachricht erreichte uns gerade. Weil wir wissen das auch hier viele User bei Marc gerne kaufen, sollte sie wissen das es am Sonntag einen erfolgreichen Hackangriff auf Spielegrotte gab. Man war zwar in der Lage das Problem innerhalb kürzester Zeit zu schliessen, doch die Entwendung von Adress- und Bankdaten kann leider nicht ausgeschlossen werden.
Spielegrotte wird den Fall auf jeden Fall zur Anzeige bringen und hoffen das die Sachverhalte schnell aufgeklärt werden. Zurzeit ist die Seite nicht erreichbar. Ihr könnt euch sicher sein das alle Spuren gesichert wurden und sie bestimmt schon bei der Auswertung der Serverlogs sind.
Anmerkung:
Es hat keinen Sinn nachträglich seine Daten bei Spielegrotte zu editieren oder zu löschen, denn der vermeindliche Datendiebstahl hat bereits stattgefunden.
Ihr solltet nur euer Passwort ändern und überlegen ob ihr die Kombination "Usernamen / Emailadresse / Passwort" noch irgendwo anders einsetzt.
Die Passwörter lagen natürlich verschlüsselt auf dem Server, können aber ohne großen Aufwand nicht entschlüsselt werden. Doch wenn jemand Passwörter wie Hund, Katze, Maus, Schnucki & Co dort verwendet hat, dann kann es gefährlich werden.
Also denkt noch mal über eure Mail, Amazon und Ebay Accounts nach ... nicht das euch noch ein größerer Schaden daraus erwächst.
Anbei die Stellungnahme von Spielegrotte.de
Zitat:
Sehr geehrte Kunden,
wie manch einer vielleicht schon mitbekommen hat, müssen wir leider mitteilen, dass es in unserem System eine Sicherheitslücke gab, die dazu ausgenutzt wurde an Kundendaten zu gelangen. Wir sind derzeit noch dabei uns einen wirklich genauen und detailierten Überblick zu verschaffen, es könnten aber leider Daten wie Name, Adresse,E-Mail Adresse und teilweise auch Bankverbindung betroffen sein. Passwörter sind verschlüsselt gespeichert und von daher an sich unlesbar, Ausweisdaten werden von uns nur offline gehandhabt, diese sind definitiv NICHT betroffen.
Wir möchten daher allen Kunden raten, auf E-Mails zu achten, in denen nach einem Passwort gefragt wird, sowas wird es von keiner Firma auf dieser Welt je geben, das gilt nicht nur für diese Situation, sondern allgemein bitte immer Vorsicht bei Mails, wo darum gebeten wird, einen Link anzuklicken um dort dann sein Passwort anzugeben. Weiterhin, falls leider wirklich auch Bankdaten entwendet worden sind, sollte jeder bitte ein Auge auf seine Kontoauszüge haben, sollte dort etwas unbekanntes auftauchen, könnt Ihr bei Eurer Bank diese Buchung ohne Fragen oder Aufwand einfach 6 Wochen lang zurückbuchen lassen. Ein solcher Fall ist aber bisher nicht bekannt, da jede Rückbuchung denjenigen auch Geld kosten würde, der versucht hat das Geld abzubuchen, wird es sicherlich auch unattraktiv sein, es überhaupt zu versuchen. Ansonsten sind Bankdaten ohne eure PIN Nummer für jeden nutzlos und die habt natürlich nur Ihr.
Passwörter können wie gesagt aufgrund der Verschlüsslung nicht einfach gelesen werden, allerdings gilt hier, je einfacher Euer Passwort ist, desto einfacher ist es auch diese Verschlüsslung zu knacken. Speziell wer also ein sehr kurzes oder einfaches Passwort hat, sollte dieses bitte auf jeden Fall ändern, auch bei komplexeren Passwörtern wäre ein Wechsel zur Sicherheit natürlich nicht verkehrt, auch wenn hier eine Entschlüsselung sehr unwahrscheinlich ist. Empfehlenswert sind (sollte auch allgemein unabhängig von dieser Situation immer beherzigt werden) Passwörter mit mindestens 6 Zeichen, verschiedener Groß- und Kleinschreibung und Zahlen darin.
Wir können uns natürlich nicht genug für diesen Vorfall entschuldigen, so was darf natürlich nicht passieren, aber wir sind "leider" alle nur Menschen und machen Fehler. Wir haben das Thema Sicherheit stets Ernst genommen und stets Vorkehrungen zum Schutz gegen bekannte Angriffsmaßnahmen getroffen, leider wurde dabei eine kleine Stelle übersehen, diese wurde natürlich sofort geschlossen, das Geschehene lässt sich leider aber nicht mehr rückgängig machen. Die Tatsache, dass praktisch aber jeden Monat mindestens ein Fall von Datenklau selbst bei bedeutend größeren Unternehmen oder öffentlichen Institutionen bekannt wird, zeigt wie schwierig bzw. nahezu unmöglich es selbst mit deutlich größeren Geldmitteln ist, ein System 100% sicher zu machen. Wir werden natürlich dennoch unseren Shop nochmals einer kompletten Überprüfung unterziehen.
Ich kann mich nur nochmals für den Vorfall zutiefst entschuldigen und bitte die Ratschläge zu beherzigen, um weitere Probleme zu vermeiden. Antworten auf diese Nachricht versuchen wir natürlich zu beantworten, allerdings ist davon auszugehen, dass die Anzahl der Anfragen unsere Möglichkeiten weit übersteigen wird, es sollte aber in dieser Mail jegliche Art von Frage geklärt worden sein.
Einige Kunden gehen nun seit Bekanntwerden her und löschen Ihre E-Mail Adresse oder gar Ihre ganzen Daten aus unserem System, ich kann die Verunsicherung natürlich verstehen, allerdings ist die Lücke wie gesagt geschlossen und der Klau der bisher eingetragenen Adresse leider nicht mehr rückgängig zu machen. Es bringt also an sich leider nichts. Sicherlich verstehe ich natürlich, dass irgendwo das Vertrauen nun zerbrochen ist, aber ich kann nur noch mal wiederholen, dass solche Fälle mindestens monatlich bei den verschiedensten Firmen auftauchen, nirgendwo hat man die 100% Sicherheit, viele die Ihre Mail Adresse nun gelöscht haben, sind garantiert in vielen Foren und Seiten angemeldet, wo dies auch jederzeit passieren könnte. Wie gesagt, wir nehmen das Thema Ernst und haben es immer Ernst genommen.
Natürlich werden wir auch umgehend Anzeige gegen Unbekannt erstatten und in Zusammenarbeit mit den Behörden versuchen den Täter ausfindig zu machen. Im Falle einer großen Social Community, wo es vor kurzem auch zum Datenklau gekommen ist, hatte dies zum Erfolg geführt.
Abschließend möchte ich gerne noch einen Kommentar zu der Gerüchteküche die entstanden ist abgeben, denn es gibt Gerüchte, wonach wir angeblich seit bis zu 2 Jahren von dieser Lücke gewusst hätten.
Sowas ist natürlich wirklich absoluter Unsinn, warum sollten wir so verrückt sein, eine Sicherheitslücke 2 Jahre bestehen zu lassen, welchen Nutzen sollte das für uns haben, außer Ärger? In Wirklichkeit ist es so, dass die Angriffsmethode die genutzt wurde, vor ca. 2 Jahren allgemein (nicht jetzt uns betreffend) bekannt geworden ist. Wir sind damals sofort hergegangen und haben natürlich Sicherheitsvorkehrungen gegen diese Art Angriff getroffen und nachträglich in unseren Shop implementiert. Leider ist dabei trotz sorgfältiger Vorgehensweise eine einzige Stelle übersehen worden. Das ist natürlich keine Entschuldigung, aber wir sind halt alle nur Menschen, wir haben damals (also vor 2 Jahren) mit mehreren Leuten alle verwundbaren Punkte im Shop abgesucht und wie gesagt vorsorglich abgesichert, dabei wurde wie gesagt leider wirklich eine Stelle übersehen. Die Tatsache, dass die Angriffsmethode seit 2 Jahren bekannt ist und es erst jetzt zu einem derartigen Eklat kommt, beweist auch, dass diese Stelle nicht einfach offensichtlich zu finden war und wir Sicherheit Ernst nehmen, denn sonst wäre längst vorher etwas derartiges passiert. Zum Thema Reaktionsgeschwindigkeit in diesem Fall, möchte ich gerne die Geschichte erzählen, wie sie wirklich war. Ich, als Geschäftsführer, war nämlich, dass erste mal seit Gründung des Shops vor 7 Jahren, für eine Woche im Urlaub. 5-10 min nachdem meine Mitarbeiter von dem Vorfall Kenntnis erlangt haben (und das wohlgemerkt an einem Sonntag!), bekam ich eine SMS, dass es ein Problem gibt und ich mir das anschauen müsste, woraufhin ich wiederum in ca. 5 min den nächsten Internetzugang gesucht habe und die Lücke nach weiteren 10 min geschlossen habe. Sprich statt der Gerüchteweise 2 Jahre, hat es in Wirklichkeit 20-25 min nach Bekanntwerden des Problems gedauert, bis reagiert und die Lücke geschlossen wurde und das trotz Urlaub in einem fernen Land!
Das macht es natürlich nicht besser, dennoch ist es mir wichtig zu zeigen, dass das Thema natürlich Ernst genommen wird und wurde und höchste Priorität hat.
An sich bin ich vom Service ja sehr zufrieden mit der Spielegrotte, was mich hier jedoch sehr ärgert:
GT231 hat gestern schon davon gehört? Bei mir kam bis jetzt noch keine Mail von der Spielegrotte. Wenn sowas passiert, erwarte ich vom Händler direkt und umgehend informiert zu werden!
Mit dem Finger auf andere zu zeigen und das Problem relativieren zu wollen, indem man sagt, dass auch große Firmen solche Probleme hatten - was soll das?! Schlechter Stil.
Dass ich das alles hier nun auf Evo-X lese, ist echt nur ein "glücklicher" Zufall. Diese mangelhafte Informationspolitik von der Grotte ist grottenschlecht. Das erschüttert mein Vertrauen mehr, als die Tatsache, dass es ein Leck gab.
Original von real_Yboy
An sich bin ich vom Service ja sehr zufrieden mit der Spielegrotte, was mich hier jedoch sehr ärgert:
GT231 hat gestern schon davon gehört? Bei mir kam bis jetzt noch keine Mail von der Spielegrotte. Wenn sowas passiert, erwarte ich vom Händler direkt und umgehend informiert zu werden!
Mit dem Finger auf andere zu zeigen und das Problem relativieren zu wollen, indem man sagt, dass auch große Firmen solche Probleme hatten - was soll das?! Schlechter Stil.
Dass ich das alles hier nun auf Evo-X lese, ist echt nur ein "glücklicher" Zufall. Diese mangelhafte Informationspolitik von der Grotte ist grottenschlecht. Das erschüttert mein Vertrauen mehr, als die Tatsache, dass es ein Leck gab.
Stimme dir da zu. Die Informationspolitik von denen ist unter aller Sau. Man findet einzig einen Thread in dem Spielegrotte Forum, auf der Seite jedoch nichts.
Original von GT231
Ich habe auch keine Mail bekommen. Allerdings wurde im Netz heftig drüber diskutiert, daher wusste ich es.
Das meine ich und das habe ich mir gedacht. Soll ja auch Leute geben, die nicht die Zeit haben ständig im Netz überall mitzudiskutieren. ;-)
Grottenschlechte Infopolitik - und das im Zeitalter der digitalen Zwangskommunikation, wo sonst jeder verbale Dünnpfiff als so wertvoll erachtet wird, dass man ihn 'unbedingt' durch's Netz drücken muss...
Bin auch nur durch Zufall drauf gestoßen und war schockiert. Aber jetzt ist es eh zu spät. Wenigstens haben sie nicht die Persos. Mit den Bankdaten kommen sie auch nicht weit.
Bin dort auch Kunde und habe aus dem Netz darüber erfahren. Bisher auch keine Mail erhalten, finde es ein wenig schwach das viele Kunden nicht von der Grotte informiert wurden. Passwort habe ich sofort geändert, hoffe das nichts mit den Daten angestellt wird.
aber sogesehn was soll schon groß passieren, wenn geld abgebucht wird gibt man der bank bescheid und die holen es einfach zurück. sollen sich die firmen damit rumstreiten. ware die nicht an meine adresse kommt wird auch nicht bezahlt
__________________ Er spricht fließend Deutsch und macht fast keine Fehler, die Ursache des Unglücks war ein technischer Fehler...
Klar möchte eine Firma solche Probleme nicht großartig anprangern, aber ich als vertrauender Kunde erwarte wenigstens in solchen einem Fall eine Benachrichtigung an meine angegebene Kontaktadresse. Dabei ist es egal ob per E-Mail oder SMS, aber das ganze schweigend unter den Tisch kehren zu wollen ist defenitiv der falsche Weg! Ich lösche mein Kundenkonto dort sofort!
Einen großen dank richte ich an Oliver, ohne diesen eröffneten Thread hätte ich davon nichts mitbekommen, danke!
MfG
RealStriker
__________________
Dieser Mann das bin ich und seine Geschichte ist meine. Aber heute fange ich dieses Leben nochmal von vorne an. Ja meine Damen und Herren, heute stelle ich den Zähler wieder auf Null!
Danke für die Info, habe eben meine gesamten Passwörter für wichtige Accounts geändert! Komischerweise habe ich die E-Mail aber nicht direkt von Marc bekommen.. Ist das normal?
stimmt ich hätte auch nichts mitbekommen. lustig find ich dass die stellungnahme selbst im spielegrottethread nur als zitat drin steht, so wirklich offiziell find ich das nicht, aber jeder kann sich auch denken was eine betroffene firma sagen würde.
freundlich hätte ich nur gefunden wenn es als startseite drin gestanden wäre oder wären der downtime.
ob ich ne email erhalten habe kann ich nicht sagen, weil gmx ja spamfilterprobs hatte/hat und den spamordner beachte ich solange ich nichts erwarte überhaupt nicht.
__________________ Er spricht fließend Deutsch und macht fast keine Fehler, die Ursache des Unglücks war ein technischer Fehler...
GAM
