Zitat von Benji McKenzie

Halli Hallo,
ich wollte mal fragen, vielleicht bin ich ja zu doof. Ich habe eben mal google angeschmissen. Habe auch ein paar Ergebnisse bekommen. Zudem habe ich eine txt heruntergeladen um zu schauen ob ich unter den 22.000 Leuten bin, bin ich leider auch.
Nur finde ich meine ganzen Daten. Namen, Anschrift etc. Aber überhaupt kein MD5 Hash Daten, also das "verschlüsselte" Passwort.
Muss ich mir jetzt Gedanken machen, das es irgendwo eine Datei gibt, wo die Daten ausführlicher stehen?

lg Benji

Hi Benji,

es gab eine veröffentlichte (Text-)Datei in der nur die Namen, Adresse, Email und Telefonnummern zu finden waren. Daneben gab es eine weitere Datei die man mit ein wenig suchen finden konnte. Darin waren ca. 22.000 Datensätze bestehend aus Benutzername, MD5 Hash und ggf bei schwachen Passwörtern noch die Klartext Passwörter. Von den Crackern gab es die Aussage, dass sie die 22.000 Datensätze zur freien Verfügung stellen, die restlichen für "private" Zwecke behalten wollen. Des weiteren sind sie wohl dran die Passwörter soweit möglich weiter zu entschlüsseln, Info stammt vom Twitter Account. Auf ihrem Twitteraccount gab es zudem noch die Aussage, dass die Bankdaten ebenfalls vorhanden sind. Gesehen habe ich davon in keiner der Files etwas. Da ja anscheinend alle Daten aus der DB gezogen wurden, schätze ich die Wahrscheinlichkeit dass die Bankdaten da ebenfalls dabei waren als recht hoch ein. Ich gehe davon aus entweder nutzen sie die selbst oder sie verkaufen sie...

Ist zwar nervig, aber man sollte in nächster Zeit seine Kontoauszüge regelmäßig genaustens prüfen (was man ja eh macht, Falschabbuchungen kommen vor), dann kann man Überweisungen rückgängig machen. Tja, Spamaufkommen könnte sich erhöhen, aber dazu gibt's ja Filter und was die Handynummer angeht, bitte, bei Prepaid können sie gerne mein Konto vertelefonieren.

Aber der FW-Shop ist nicht der einzige wo sowas passiert ist... solang die verwendete SW aktuell war und Lücken vom Hersteller zeitnah gefixt werden, kann man da kaum mehr machen. Gut, MD5 wäre noch verbesserungswürdig. Die Kundendaten hätte man ggf. noch verschlüsseln können. Wobei ich ehrlich gesagt kein Experte bin und nicht weiß wie performant sowas ist bzw. ob die Möglichkeiten vom System angeboten werden.

Zitat von Onkel01

ja schon - aber die hacker waren fleißig und haben es gleich entschlüsselt soweit ich das richtig gesehen habe

Blind ich bin... die PW stehen hinter dem Hash ok, ich habs echt übersehen. Ich vermute mal die haben da einfach mal die Hashs durch irgendwelche Rainbowtables oder ähnliches gejagt...

Zitat von Onkel01

Doch - leider sind auch diverse Passwörter im Klartext auf genau dieser Liste nachzulesen.... Nicht alle aber einige!

Ungünstig... wieso frag ich mich. Sollte die Shop-Software nicht alles hashen?

Es gibt neben der Liste mit Namen/Adressen und Email noch eine weitere Liste mit knapp 22.000 Einträgen. Dort sind die Paswörter allerdings nicht im Klartext sonder als Hash hinterlegt. Was für ein Algorithmus der Shop verwendet hat weiß ich nicht. Bankdaten sind angeblich auch vorhanden, tauchen aber in keiner der beiden Listen auf.

*EDIT* Es ist MD5