Datenklau bei Gameware?

nfin1te

nuttiest knifenut

Registered: May 2002
Location: Wien
Posts: 7763

25.08.2011 - 14:06

Zitat
Sehr geehrte/r xxx,
wir haben vorsorglich Ihr Kennwort zurückgesetzt. Wir bitten Sie, sich schnellstmöglich Ihr zurückgesetztes Passwort auf folgender Seite anzufordern: https://www.gameware.at/info/shop/f...curityResetMail

Auf unserem Webserver stellten wir einen nicht authorisierten Zugriff fest. Unsere Sicherheits-Experten haben ihre Nachforschungen abgeschlossen und die Lücke geschlossen. Der Hacker konnte eine vollständige Datenbank, mit den von Ihnen in Ihrem Kundenkonto hinterlegten Daten, kopieren. Alle ermittlungsrelevanten Daten wurde bereits dem Bundeskriminalamt übergeben.

Wir empfehlen Ihnen, sollten Sie dasselbe Kennwort auf anderen Webseiten einsetzen, auch diese zu ändern. Hacker versuchen, einmal erspähte Daten, auch auf anderen Webseiten zu verwenden. Wir empfehlen Ihnen ebenso, Ihr Konto in den nächsten Tagen regelmäßig zu überprüfen, um zu gewährleisten, dass der Hacker sich keinen Zugriff verschuf.
Sollten Sie noch weitere Fragen betreffend Ihrer Daten haben, wenden Sie sich bitte gerne an protected.
Wir möchten uns für dieses Geschehen entschuldigen. Wir versichern Ihnen, alle nötigen Schritte für Ihre aktuelle und zukünftige Datensicherheit unternommen zu haben. Wir garantieren Ihnen, keine Kosten und Mühen zu scheuen, um die Sicherheit Ihrer Daten zu gewährleisten.
Mit freundlichen Grüßen aus Innsbruck
Ihr Gameware-Team

Juhuu! Nochmal meine Daten weg. :bash:

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12100

25.08.2011 - 14:12

Haben die die Userpasswoerter denn etwa im Klartext gespeichert?

Wenn ja, dann gehoert der Laden behoerdlich zugedreht. So etwas wuerde ich generell in die allgemeine Gesetzgebung aufnehmen.

Camper

Addicted

Registered: Nov 2002
Location: VIE
Posts: 546

25.08.2011 - 14:15

Was ich toll finde ist die Tatsache, dass die Zahlungsdaten zwar optional sind, aber man trotzdem eine Mail schreiben muss um sie löschen zu lassen.

Jetzt scheint es mich auch erwischt zu haben. Naja, Kontoauszüge kontrolliere ich ohnehin regelmäßig...nerven tut es trotzdem.

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

25.08.2011 - 14:16

hab das mail auch bekommen. zach. eine der wenigen seiten, wo meine daten aktuell sind.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

25.08.2011 - 14:16

Vielleicht habens die PWs ja MD4 gehasht?

dethspank

the wall

Registered: Dec 2005
Location: Mödling
Posts: 3780

25.08.2011 - 14:39

Na sehr super

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

25.08.2011 - 14:44

Zitat von Kakarott
Was ich toll finde ist die Tatsache, dass die Zahlungsdaten zwar optional sind, aber man trotzdem eine Mail schreiben muss um sie löschen zu lassen.

Jetzt scheint es mich auch erwischt zu haben. Naja, Kontoauszüge kontrolliere ich ohnehin regelmäßig...nerven tut es trotzdem.

jetzt brauchst sie eh nicht mehr löschen ;D

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12100

25.08.2011 - 14:54

Zitat von EvilGohan
Vielleicht habens die PWs ja MD4 gehasht?

Wenn der md4-Hash eines Strings mit dem md4-Hash eines echt verschiedenen anderen Strings kollidiert, dann tut er das nur mit sehr, sehr geringer Wahrscheinlichkeit ebenso unter Verwendung eines moderneren Hash-Algrithmus. Insofern waer' das egal (bzw. schon mal gut genug), so lange Angreifer nur einen aequivalenten aber nicht identen Wert zu einem Passwort errechnen koennten - da man sich damit nicht anderswo einloggen wird koennen.

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13504

25.08.2011 - 15:09

Hm, hatte auch mal dort bestellt aber keine E-Mail bekommen.

DerBrandy

My SSD Rocks!

Registered: Dec 2003
Location: 2232
Posts: 2623

25.08.2011 - 15:11

Nachdem man das Passwort über die Passwort vergessen funktion im Klartext zugeschickt bekommt wird da nicht viel mit verschlüsselung sein würd ich mal sagen.

deleted428578

Bloody Newbie

Registered: Jul 2024
Location:
Posts: 0

25.08.2011 - 15:13

und wenn ich mich einloggen mit meinen account daten seh ich natürlich meine gespeicherten KK daten. auf anfrage dazu ob diese auch weg sind:

Zitat
Sehr geehrter Herr xxxx,
die Kreditkartendaten sind mehrfach verschlüsselt. Das der Hacker diese verwenden kann, ist aus Sicht unserer Sicherheits-Experten höchst unwahrscheinlich.

Beste Grüße aus Innsbruck
xxxx

das kann noch so sehr verschlüsselt sein, gw kann mir meine daten im shop ja anzeigen und müssen somit einen key haben, den der angreife nun wohl auch hat.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12100

25.08.2011 - 15:38

"mehrfach verschluesselt" - sicher Quad-ROT13

scarabeus

...

Registered: Jul 2000
Location: vienna
Posts: 3753

25.08.2011 - 15:45

ganz toll..

Gott sei dank nur alte CC-Daten gespeichert gehabt.

Mail habe ich von GW aber keines bekommen.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

25.08.2011 - 17:28

Zitat von COLOSSUS
Wenn der md4-Hash eines Strings mit dem md4-Hash eines echt verschiedenen anderen Strings kollidiert, dann tut er das nur mit sehr, sehr geringer Wahrscheinlichkeit ebenso unter Verwendung eines moderneren Hash-Algrithmus. Insofern waer' das egal (bzw. schon mal gut genug), so lange Angreifer nur einen aequivalenten aber nicht identen Wert zu einem Passwort errechnen koennten - da man sich damit nicht anderswo einloggen wird koennen.

Ach MD4 kannst schon relativ leicht brechen.

Vor allem im Hinblick auf die aktuell verfügbare Rechenleistung.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19764

25.08.2011 - 20:53

Langsam wirds langweilig ... kotzt mich schon an

nfin1te nuttiest knifenut Registered: May 2002 Location: Wien Posts: 7763	25.08.2011 - 14:06 Zitat Sehr geehrte/r xxx, wir haben vorsorglich Ihr Kennwort zurückgesetzt. Wir bitten Sie, sich schnellstmöglich Ihr zurückgesetztes Passwort auf folgender Seite anzufordern: https://www.gameware.at/info/shop/f...curityResetMail Auf unserem Webserver stellten wir einen nicht authorisierten Zugriff fest. Unsere Sicherheits-Experten haben ihre Nachforschungen abgeschlossen und die Lücke geschlossen. Der Hacker konnte eine vollständige Datenbank, mit den von Ihnen in Ihrem Kundenkonto hinterlegten Daten, kopieren. Alle ermittlungsrelevanten Daten wurde bereits dem Bundeskriminalamt übergeben. Wir empfehlen Ihnen, sollten Sie dasselbe Kennwort auf anderen Webseiten einsetzen, auch diese zu ändern. Hacker versuchen, einmal erspähte Daten, auch auf anderen Webseiten zu verwenden. Wir empfehlen Ihnen ebenso, Ihr Konto in den nächsten Tagen regelmäßig zu überprüfen, um zu gewährleisten, dass der Hacker sich keinen Zugriff verschuf. Sollten Sie noch weitere Fragen betreffend Ihrer Daten haben, wenden Sie sich bitte gerne an protected. Wir möchten uns für dieses Geschehen entschuldigen. Wir versichern Ihnen, alle nötigen Schritte für Ihre aktuelle und zukünftige Datensicherheit unternommen zu haben. Wir garantieren Ihnen, keine Kosten und Mühen zu scheuen, um die Sicherheit Ihrer Daten zu gewährleisten. Mit freundlichen Grüßen aus Innsbruck Ihr Gameware-Team Juhuu! Nochmal meine Daten weg.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12100	25.08.2011 - 14:12 Haben die die Userpasswoerter denn etwa im Klartext gespeichert? Wenn ja, dann gehoert der Laden behoerdlich zugedreht. So etwas wuerde ich generell in die allgemeine Gesetzgebung aufnehmen.
Camper Addicted Registered: Nov 2002 Location: VIE Posts: 546	25.08.2011 - 14:15 Was ich toll finde ist die Tatsache, dass die Zahlungsdaten zwar optional sind, aber man trotzdem eine Mail schreiben muss um sie löschen zu lassen. Jetzt scheint es mich auch erwischt zu haben. Naja, Kontoauszüge kontrolliere ich ohnehin regelmäßig...nerven tut es trotzdem.
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	25.08.2011 - 14:16 hab das mail auch bekommen. zach. eine der wenigen seiten, wo meine daten aktuell sind.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	25.08.2011 - 14:16 Vielleicht habens die PWs ja MD4 gehasht?
dethspank the wall Registered: Dec 2005 Location: Mödling Posts: 3780	25.08.2011 - 14:39 Na sehr super
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	25.08.2011 - 14:44 Zitat von Kakarott Was ich toll finde ist die Tatsache, dass die Zahlungsdaten zwar optional sind, aber man trotzdem eine Mail schreiben muss um sie löschen zu lassen. Jetzt scheint es mich auch erwischt zu haben. Naja, Kontoauszüge kontrolliere ich ohnehin regelmäßig...nerven tut es trotzdem. jetzt brauchst sie eh nicht mehr löschen ;D
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12100	25.08.2011 - 14:54 Zitat von EvilGohan Vielleicht habens die PWs ja MD4 gehasht? Wenn der md4-Hash eines Strings mit dem md4-Hash eines echt verschiedenen anderen Strings kollidiert, dann tut er das nur mit sehr, sehr geringer Wahrscheinlichkeit ebenso unter Verwendung eines moderneren Hash-Algrithmus. Insofern waer' das egal (bzw. schon mal gut genug), so lange Angreifer nur einen aequivalenten aber nicht identen Wert zu einem Passwort errechnen koennten - da man sich damit nicht anderswo einloggen wird koennen.
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13504	25.08.2011 - 15:09 Hm, hatte auch mal dort bestellt aber keine E-Mail bekommen.
DerBrandy My SSD Rocks! Registered: Dec 2003 Location: 2232 Posts: 2623	25.08.2011 - 15:11 Nachdem man das Passwort über die Passwort vergessen funktion im Klartext zugeschickt bekommt wird da nicht viel mit verschlüsselung sein würd ich mal sagen.
deleted428578 Bloody Newbie Registered: Jul 2024 Location: Posts: 0	25.08.2011 - 15:13 und wenn ich mich einloggen mit meinen account daten seh ich natürlich meine gespeicherten KK daten. auf anfrage dazu ob diese auch weg sind: Zitat Sehr geehrter Herr xxxx, die Kreditkartendaten sind mehrfach verschlüsselt. Das der Hacker diese verwenden kann, ist aus Sicht unserer Sicherheits-Experten höchst unwahrscheinlich. Beste Grüße aus Innsbruck xxxx das kann noch so sehr verschlüsselt sein, gw kann mir meine daten im shop ja anzeigen und müssen somit einen key haben, den der angreife nun wohl auch hat.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12100	25.08.2011 - 15:38 "mehrfach verschluesselt" - sicher Quad-ROT13
scarabeus ... Registered: Jul 2000 Location: vienna Posts: 3753	25.08.2011 - 15:45 ganz toll.. Gott sei dank nur alte CC-Daten gespeichert gehabt. Mail habe ich von GW aber keines bekommen.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	25.08.2011 - 17:28 Zitat von COLOSSUS Wenn der md4-Hash eines Strings mit dem md4-Hash eines echt verschiedenen anderen Strings kollidiert, dann tut er das nur mit sehr, sehr geringer Wahrscheinlichkeit ebenso unter Verwendung eines moderneren Hash-Algrithmus. Insofern waer' das egal (bzw. schon mal gut genug), so lange Angreifer nur einen aequivalenten aber nicht identen Wert zu einem Passwort errechnen koennten - da man sich damit nicht anderswo einloggen wird koennen. Ach MD4 kannst schon relativ leicht brechen. Vor allem im Hinblick auf die aktuell verfügbare Rechenleistung.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19764	25.08.2011 - 20:53 Langsam wirds langweilig ... kotzt mich schon an

Datenklau bei Gameware?

Forum Index > Real Life > Offtopic

nfin1te

COLOSSUS

Camper

Cuero

EG

dethspank

Cuero

COLOSSUS

Spikx

DerBrandy

deleted428578

COLOSSUS

scarabeus

EG

daisho