ND-Passwörter gestohlen!

[Sunblind]

Die real betroffenen Accounts wurden definitiv gestern Abend angeschrieben. Wenn Du gestern Abend nichts bekommen hast, dann waren Deine Details nicht in dem Hacker-Post dabei.


Alex

Ok, vielen Dank Alex!

Beste Grüße

 

[Alex W.]

Wie konnte so etwas passieren? Was wird dagegen unternommen, dass das nicht wieder passiert?

Hi, Steve. Ich weiß, das klingt blöd, aber das sind genau die Maßnahmen, die man öffentlich nicht erläutern kann, ohne ihre Wirksamkeit zu untergraben, oder? Ich sehe auch wenig Sinn darin, die Methode des Angriffs zu erläutern, auch wenn diese Lücke natürlich geschlossen ist.

Inwiefern bezieht sich das jetzt auf die 700? Es sind 700 Kunden von 70.000(?) oder 7 von 700 betroffen?

Es gab eine Liste mit 700 Kombinationen von Email / Passwort. Einige der Accounts waren nicht aktiv. Die aktiven 500 Accounts machen knapp 1% unseres Kundenstamms aus.

Dem scheint ja nicht so, sonst wäre hier doch keine (berechtigte) Aufregung.

Doch. Alle 700 betroffenen Accounts wurden gestern Abend angeschrieben. Ich bin im Moment nicht gerade in einer Lage, darüber zu urteilen, welche Aufregung "berechtigt" ist. Aber die Leute, die gestern keine Mail von uns bekommen haben, waren nicht direkt betroffen.

Tu mir leid, aber das ist doch Kindergarten. Ehrlich gesagt würde ich darauf Wetten, dass es ohne diesen Hinweis zu keinerlei "Stellungnahme" gekommen wäre, oder?

Auch dies ist inkorrekt. Die Liste der betroffenen Accounts wurden von einem Forenbetreiber im Interesse der Kunden-Sicherheit an alle relevanten Parking-Betreiber verteilt, was auch naheliegend ist. Meinst Du, unter diesen Umständen würde sowas "under wraps" gehalten?? Ein Wettbewerber hat sich entschieden, nicht nur die Kunden anzuschreiben, die sich im eigenen Kundenstamm mit der Liste decken, sondern alle Kunden. Bzw. nur die wichtigen, also Sedo Pro. So unangenehm die entstandene breitere Diskussion für uns ist, belegt sie doch ein paar wichtige Grundlagen sicheren Verhaltens: z.B., das gleiche Passwort nicht mehrfach, z.B. bei Accounts bei Konkurrenten, zu verwenden.

Das ist ein Witz? Du brüstest dich doch nicht wirklich damit, dass es 60 Minuten gedauert hat? Da wo ich herkomme, sagt man dazu "Wir wollen uns doch jetzt keine Scheiße schön reden!"

Es gibt an der ganzen Geschichte nichts, womit wir uns brüsten könnten. Ich habe nur faktisch dargelegt, dass innerhalb von 60 Minuten, nachdem ein Sicherheits-Problem aufgetaucht war, alle direkt Betroffenen angemailt waren, und vorsichtshalber alle Accounts neue Passwörter hatten. Dämlich war es, nicht alle Nutzer anzuschreiben, sondern darauf zu bauen, dass sie das schon merken würden, wenn sie sich einloggen wollen.

Und das wars jetzt? Ach, hör auf..... du verarscht uns!?
Wie wärs mit:
Leute, was da heute vorgefallen ist, ist im Grunde nicht zu entschuldigen, aber auch uns passieren mal Fehler. Um unser Bedauern auszudrücken, gehen für die nächsten 2 Monate die Einnahmen zu 100% an euch, sowie der nächste Stammtisch, an dem wir diese ganze Geschichte nochmal in Ruhe erklären. Wir bitten nochmals um Entschuldigung und hoffen in Zukunft weiter auf euer Vertrauen.

Das ist eine Spitzen-Idee. Wir zahlen 100% aus, und in zwei Monaten verkaufen wir auch noch unsere Server, um den Alkoholbedarf beim nächsten Stammtisch zu sponsorn. Und dann leben alle wieder glücklich in einem Markt mit einem Quasi-Monopol.

Gute Nacht,


Alex

 

[dealer01]

Hallo Alex,


erstmal Danke für deine ausfürliche Antwort.

Wie wir festgestellt haben, ist unsere Betrachtungsweise in einigen Punkten unterschiedlich, was m.E. absolut in Ordnung geht. Einige Umstände sind für euch vielleicht etwas ungünstig ausgegangen, nichtsdestrotz halte ich nicht viel davon, wenn mir mein Parkinganbieter 6 Stunden (!) später als die Konkurrenz mitteilt, dass Passwörter entwendet wurden. Du wirst mir doch sicher zustimmen, dass eine Mitteilung an die Kunden (ALLE) besser gestern Abend schon hätte rausgehen müssen! ...oder?

Das auch ihr Fehler macht ist das normalste auf der Welt, nur erwarte ich doch als Kunde ein bischen mehr Tiefgang als in deinem ersten Posting / der ersten Stellungnahme seitens des Parkinganbieters.

Das ist eine Spitzen-Idee. Wir zahlen 100% aus, und in zwei Monaten verkaufen wir auch noch unsere Server, um den Alkoholbedarf beim nächsten Stammtisch zu sponsorn. Und dann leben alle wieder glücklich in einem Markt mit einem Quasi-Monopol.

Ein bischen Sarkusmus hat die Stimmung schon immer gelockert

Sicher ein extremes Beispiel meinerseits, bewusst.
Aber komm, ein bischen mehr als "Sorry" muss da schon kommen. Das weißt du genauso gut wie ich

Gute Nacht,

Alex

Wünsche ich dir auch!
LG
Steve


PS: Zusammengefasst: Mit einer Nachricht gestern Abend und einer sofortigen Stellungnahme heute morgen, hättet ihr nicht nur Sedo den Wind aus dem Segel genommen, es wäre erst gar nicht zu einer solchen Diskussion gekommen.

 

[Helldunkel]

Aber komm, ein bischen mehr als "Sorry" muss da schon kommen. Das weißt du genauso gut wie ich

Meine Fresse.. was erwartest du denn?

 

[Alex W.]

Hallo Alex,

Wie wir festgestellt haben, ist unsere Betrachtungsweise in einigen Punkten unterschiedlich, was m.E. absolut in Ordnung geht. Einige Umstände sind für euch vielleicht etwas ungünstig ausgegangen, nichtsdestrotz halte ich nicht viel davon, wenn mir mein Parkinganbieter 6 Stunden (!) später als die Konkurrenz mitteilt, dass Passwörter entwendet wurden. Du wirst mir doch sicher zustimmen, dass eine Mitteilung an die Kunden (ALLE) besser gestern Abend schon hätte rausgehen müssen! ...oder?

Ja, ich glaube, dieses Versäumnis habe ich im Post davor auch schon als "dämlich" bezeichnet. Die irrige Annahme war, dass die Leute, die NameDrive nutzen, sofort auf die neuen Passwörter (und die begleitende Erklärungsmail) stoßen, wenn sie sich einloggen, und dass es niemanden sonst interessiert. Und die 700 direkt Betroffenen waren ja sowieso informiert.

Da schwingt natürlich auch eine gewisse Feigheit mit, diesen peinlichen Security-Leak mit Leuten zu diskutieren, die es eigentlich "nichts angeht". Die Community war über DNForum, Acorn, DomainNameWire etc. gestern Abend informiert, aber es ist nochmal eine ganz andere Dimension, 50.000 diesbezügliche Emails zu verschicken. Nur richtig, am Ende hat uns dieses Zögern als PR-Desaster wieder eingeholt.


Alex

 

[dealer01]

Meine Fresse.. was erwartest du denn?

Eine angemessene und rechtzeitige Stellungnahme seitens des Anbieters hätte dort kommen müssen, keine Häppchen mit nem Sorry dran.


Ich denke ND / bzw. wir alle haben aus diesen Fehlern gelernt, in Zukunft wird es bei ähnlichen Problemen anders ablaufen, fertig.


Das du dich noch Mitternachts dazu äußerst und Fehler offenkundlich einräumst finde ich gut, das spricht für dich/euch.


LG
Steve

 

[JS Service]

Eine angemessene und rechtzeitige Stellungnahme seitens des Anbieters hätte dort kommen müssen, keine Häppchen mit nem Sorry dran.


Ich denke ND / bzw. wir alle haben aus diesen Fehlern gelernt, in Zukunft wird es bei ähnlichen Problemen anders ablaufen, fertig.


Das du dich noch Mitternachts dazu äußerst und Fehler offenkundlich einräumst finde ich gut, das spricht für dich/euch.


LG
Steve

Laver nicht ALTER!

 

[McDot]

Nur ein Gedanke:

Gibt es irgendeine Verbindung zu den jüngsten geschehnissen hier?

 

[AlexP]

domainers.fm

 

[stain]

domainerspub.de

 

[STEPHAN]

@MCDot: Eher nicht. Registriert seit: 05.02.2009


@Alex W: Passwörter im Klartext zu speichern (und nicht nur den Hash Wert) ist nunmal sehr unprofessional. Ich hätte es von Namedrive nicht erwartet. Und ... wenn man Mist baut, ist Angriff die beste Verteidigung.

Ich kann noch nicht sehen, daß Ihr wirklich sicher seit, daß die anderen Passwörter nicht auch entwendet wurden. Das nur ein paar veröffentlich wurden, bedeutet ja noch nicht, daß nicht alle entwendet wurden, oder ?

Wurden TaxIDs gestohen ?

 

[hadou]

Wurden TaxIDs gestohen ?

Das interessiert mich auch, da ich betroffen bin und eure Mails bekommen hab.

 

[Mane]

Na prima,

ich bin bei namedrive noch mit einer Mailadresse angemeldet, die ich seit einigen Monaten nicht mehr nutze, da diese zuviel Spam abbekommen hat. Hab die Mailadresse auf meinem Server gelöscht.

Jetzt werden die Passwörter zurückgesetzt und die Mail mit dem neuen Passwort geht an die Mailadresse, auf die ich keinen Zugriff mehr habe...

Und nu ??

 

[Alex W.]

@Alex W: Passwörter im Klartext zu speichern (und nicht nur den Hash Wert) ist nunmal sehr unprofessional. Ich hätte es von Namedrive nicht erwartet. Und ... wenn man Mist baut, ist Angriff die beste Verteidigung.

Hallo Stephan, das ist ein Fall von sich verselbständigenden Nachrichten und geschickten Andeutungen. Fakt ist, 700 Mail / PW Kombinationen wurden in Plaintext gepostet. Dann kommt ein Wettbewerber daher, und redet davon, wie sicher seine Passwörter verschlüsselt sind und er sie nicht in Plaintext speichert. Und daraus leitet dann jeder ab, unsere wären in Plaintext gespeichert gewesen. Es verbietet sich von selbst, genau zu erklären, wie wir kodiert haben, und was sich aus dem Leak an weiteren Sicherheitsmaßnahmen ergibt. Jedenfalls: zu glauben, dass eine Verschlüsselung mit hinterlegtem Hash nicht zu knacken ist, ist offensichtlich inkorrekt.

Ich kann noch nicht sehen, daß Ihr wirklich sicher seit, daß die anderen Passwörter nicht auch entwendet wurden. Das nur ein paar veröffentlich wurden, bedeutet ja noch nicht, daß nicht alle entwendet wurden, oder ?

Es gibt keine 100% Sicherheit. Wenn jemand 700 Passwörter knackt/ausliest, kann er auch weitere geknackt haben. Deswegen haben wir vorsichtshalber alle Passwörter zurückgesetzt. Und deswegen ist es vernünftig zu schauen, ob Ihr ein Passwort von NameDrive noch anderswo verwendet habt, und es vorsichtshalber dort auch zu ändern. Wir haben aber keinerlei Hinweise darauf, dass auch andere Accounts betroffen sein könnten.

Wurden TaxIDs gestohen ?

Es ging hier ausschließlich um das Auslesen von Login / Passwort - Kombinationen, nicht um die Daten in den entsprechenden Accounts. Das Hacker-Posting hat nicht einmal einen Bezug zu NameDrive (d.h., einem externen Leser, der die Liste findet, ist nicht mal klar, WO er sich damit genau einloggen könnte), und die betroffenen Accounts zeigten keinerlei unübliche Login-Aktivität / Data Pulls etc.


Alex

 

[domainhengst]

Und daraus leitet dann jeder ab, unsere wären in Plaintext gespeichert gewesen. Es verbietet sich von selbst, genau zu erklären, wie wir kodiert haben, und was sich aus dem Leak an weiteren Sicherheitsmaßnahmen ergibt. Jedenfalls: zu glauben, dass eine Verschlüsselung mit hinterlegtem Hash nicht zu knacken ist, ist offensichtlich inkorrekt.

Sorry Alex,

ich mag mich nicht an einem ND-Bashing beteiligen, aber es ist doch offensichtlich, dass Ihr die Passwörter ungeschickt gehandhabt habt. Man speichert einen Hash oder ähnliches des Passworts und vergleicht dann immer nur das Ergebnis der Verschlüsselungsroutine basierend auf der Usereingabe mit dem gespeicherten String. Eine Umkehrung der Verschlüsselungsroutine sollte aber nicht möglich sein. (dass das mit viel Rechenkraft dennoch erreicht werden könnte ist klar).

Da Namedrive aber beim Neusetzen des Passwortes, das alte Passwort mit in das neue Passwort integriert hat, zeigt, dass ihr eine umkehrbare Routine benutzt, und das ist nunmal falsch und zu Recht von der Konkurrenz kritisiert worden.

Security by obscurity funktioniert - wie gesehen - nicht.

vg,
martin
spyware.de

 

[STEPHAN]

Wenn Ihr keine Passwörter im Klartext gespeichert habt, dann kann auch kein Hacker eine Liste von Euch bekommen habe. Wer etwas anderes sagt, versteht HASH nicht.

Vor Jahren hat sich Hugh Grant mal bei einem BJ erwischen lassen. Er ist dann später von sich aus ins Fernsehen gegangen und hat alles zugegeben und sich entschuldigt. Heute spricht niemand mehr davon ...

Und dann gab es Bill Clinton ....

Die Wahrheit zu sagen, führt zu Verstehen und löst Dinge auf.

Das die "Marktbegleiter" das eigene Versäumnis aufgreifen ist doch ganz normal.

 

[Paul_Kuhn]

Hat es namedrive schon wieder erwischt?
Habe gerade wieder ein neues Passwort erhalten und der Login klappt auch nicht.

Ahoi!