Hacker kopieren Kundendatenbank von Rewe

Der Handelskonzern Rewe hat am Wochenende mitgeteilt, dass man Opfer eines Hacker-Angriffs geworden ist. Unbekannte Täter seien in das Netzwerk des Unternehmens eingedrungen und konnten zwei Kundendatenbanken kopieren. Sie enthalten unter anderem ... mehr... Rewe Rewe

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
...schon wieder ein "Datenskandal"... Ich bin langsam der Meinung, dass nicht nur "Hacker" zur Verantwortung gezogen werden sollten, sondern auch Diejenigen, die ihre Datenbanken unzureichend schützen!
 
@mobby83: Vorschlag: pro Datensatz 50 Euro Schadenersatz für den betroffenen User. Das wäre zumindest ein Anfang. Wenn dann noch Kreditkarten oder ähnliche Daten betroffen wären 100 Euro. Da wäre schnell schluss mit Datenlecks da die Strafe höher wäre als der Aufwand diese effektiv zu schützen.
 
@mobby83: Und dann kannst du sicherlich auch ganz einfach beantworten, wann denn Datenbanken unzureichend geschützt sind? Wenn die Software nicht aktuell ist? Was, wenn die Software im aktuellen Zustand aber eine Lücke hat, die in der Vorgängerversion nicht vorhanden war, dafür aber eine andere bis dahin unbekannte Lücke in der Vorgängerversion für einen Hack genutzt wird? Was, wenn eine Lücke bekannt ist, aber noch kein Patch verfügbar ist? Was, wenn es einen Workaround gibt, dieser sich jedoch inkompatibel mit Drittsoftware gestaltet? ... Ich bitte um Antworten, immerhin scheint das ja alles ganz einfach zu sein.
 
@LostSoul: Stimme Dir soweit zu, ganz so einfach ist es nicht - aber zB mindestens Emailadressen und Kundennamen getrennt voneinander zu speichern/sichern wäre schonmal ein Anfang.
 
@Gizmor575: Kundennamen und Mail-Adressen getrennt aufbewahren bringt nur soweit etwas, wenn nicht beide Datensätze gestohlen werden. Andernfalls sind sie ja miteinander verknüpft und bringt wie viel? Gar nichts!
 
@LostSoul: Wenn die Website im aktuellen Zustand eine SQL-Injektion zulässt, dann ist da schlampig gearbeitet worden.
In anderen Fällen muss man halt sehen. Sind alle Sicherheitsvorkehrungen im Rahmen der aktuellsten Sicherheitspatches sowie in der Programmierung der Schnittstelle getroffen worden, so hat man sich da nichts vorzuwerfen.
 
@doubledown: Es ist vollkommen egal, ob die Sicherheitslücke nun in einem Datenbanksystem selbst gegeben ist oder nur diese nur mittelbar, aufgrund einer Schwachstelle im Frontend, erreichbar ist. Ob du nun beispielsweise den Fehler im MySQL-Server selbst hast oder in Joomla, spielt von technischer Seite her zwar eine Rolle, im Ergebnis ist es aber gleichgültig und somit auch mein obiger Beitrag auch in diesem Fall mit exakt der gleichen Fragestellung immer noch offen. - - - - - -- - - - Außerdem geht es hier nicht um die Frage, ob man "sich da nichts vorzuwerfen hat", sondern darum, dass der Originalbeitragsersteller jedenfalls eine Strafe für die Verantwortlichen fordert.
 
@LostSoul: Ja, die paar Zeilen waren auch wirklich schwer zu verstehen. Wenn die Verantwortlichen ihr System so absichern, dass jede eingesetzte Software auf dem aktuellsten Stand ist und auch entsprechende Frontends "vernünftig" implementiert sind, was jeder Sachverständige sofort erkennen kann, dann hat der Verantwortliche alles nötige getan und man kann ihm keine Fahrlässigkeit unterstellen.

Bei bis zu dem Zeitpunkt des Einbruchs unbekannten Sicherheitslücken bzw. nicht bekannten Nebenwirkungen in Verbindung mit Drittsoftware ist der Verantwortliche so oder so schuldlos.
 
@doubledown: Bei einem Datenleck sollten unabhängige Sachverständige prüfen, wer nun Mist gebaut hat. War es der Webapplikations-Programmierer der sein Frontend nicht gut genug abgesichert war oder war es die Datenbanksoftware im Backend? Die Folgen so einer Attacke sind ziemlich kritisch deswegen sollten die Methoden den Schuldigen am Datenleck auszufinden auch ziemlich drakonisch sein. Derjenige sollte trotzdem nicht öffentlich angeprangert werden.
 
@LostSoul: Ich finde, da gibt es eine klare Kette der Verantwortlichkeit. Rewe hat die Verantwortung, meine Daten sicher aufzubewahren. Schaffen sie das nicht, müssen sie mich entschädigen. Rewe hat dagegen Anspruch gegenüber dem Software-Hersteller, dass die Software sicher ist. Ist sie das nicht, kann Rewe den Schaden dort wieder einklagen. Wenn eine Lücke bekannt ist, hat man die Datenbank vom Netz zu nehmen, ganz einfach. Sicherheit der Kundendaten geht über Bequemlichkeit der Firma.
 
@LostSoul: man sollte damit anfangen das Passwörter gesalzen gespeichert werden müssen. Das sollte Standard sein, wird als selbtverständlich angesehen, aber viele Firmen interessiert es anscheinend nicht. Das ist grobe Fahrlässigkeit die kein menschlicher Fehler ist, sondern meistens von der Chefetage her führte...
 
Wie können die behaupten die Daten seien geschützt. Es wird gesagt das E-Mails und PW gestohlen worden...für mich genauso schlimm als wenn es Kreditkartendaten wären...solang sich jetzt der User nicht selber kümmert, PW ändert, E-Mail Postfach prüft usw. ist hier garnichts sicher!!!
 
@BuzzT.Ion: kreditkarten-daten genauso schlimm wie e-mail ... du kannst nur durch eingabe deiner e-mail-adresse also im online shop bezahlen. wie das!?
 
@McNoise: Paypal? ;) Wer dann so doof ist und auch noch bei PayPal das gleiche PW wie bei seiner Mail und seinem REWE-Account hat, der könnte ein Problem bekommen.
 
@cronoxiii: Nirgends steht ob die Passwörter nicht gesalzen und gehashed wurden. Das heißt es könnte genau so gut sein dass die immer noch kein Passwort haben :)
 
@sinni800: Genau, es steht nirgends, und das aus gutem Grund, wie ich denke... ich mein... hallo, das ist REWE, - da is zu 99% nix mit Salt-Passwörtern!
 
@sinni800: eben, KÖNNTE ^^ - Aber in einigen der letzten unzähligen "Hacker kopieren Daten"-News war ab und zu einer dabei der das nicht gemacht hat (warum auch immer man etwas derartiges tun sollte ....). In der Hinsicht würde ich mir in solchen News auch eine Info wünschen (sofern überhaupt vorhanden) ob die Passwörter nun im Klartext vorhanden waren oder "nur" als Prüfsumme.
 
@McNoise: Nicht dein ernst jetzt oder...gibt mir mal bitte deine E-Mail und das PW dazu und ich zeig dir wie ich einkaufen kann damit. Viele Leute im Netz verwenden eine E-Mail für fast alles. Meinetwegen in diesem Fall...REWE, ebay, Paypal...nun hab ich deine E-Mail und das PW....ich geh auf Ebay...geh auf PW vergessen....besorg mir die Daten indem ich deine E-Mail eingebe...änder es nach meinem belieben um nachdem ich mich eingeloggt habe zu bestellen...da du auch bei paypal die selbe E-Mail hast mach ich da das selbige um ans PW zu gelangen...schon kann ich auch bezahlen und hab sogar noch deine bankdaten die hinterlegt sind....bitte bitte nicht so naiv sein und denken man kann nichts damit machen....es ist defenitv genauso schlimm...denn findige leute wissen wie sie es machen müssen....nur die E-Mail selber ist egal...aber es wird ja gesagt das E-Mail und PW gestohlen wurden!!!
 
Also sind Bank- oder Kreditkartendaten auch mit dabei gewesen !!!
 
@bild1: wer lesen kann ...
 
nichts im internet ist wirklich sicher...
wahrscheinlich lagen die passwörter noch im klartext vor zumindest steht da nichts von einer verschlüsselung grob fahrlässig würd ich sagen
 
@DNFrozen: Und was passiert mit uns normalen Bürgern wenn wir grob fahrlässig handeln...wir bekommen mächtig Ärger!!! Ist dir das bei den Unternehmen schonmal auf gefallen. Da passiert nie was. Deutschland schreit immer so laut nach Datenschutz usw., wenn dann aber mal Daten weg sind ist der Staat der letzte der den Datenschutz durch setzt oder diese grobe Fahrlässigkeit bestraft...immer nur die kleinen Bürger sind dran!
 
Wissen die jetzt auch, dass ich meine Hackwurst da kaufe oder wie...?
 
hm, ich hab samstag morgen die e-mail an winfuture weiter geleitet, in der "wir" informiert wurden (news einsenden), daher kann "Der Handelskonzern Rewe hat am Sonntagabend mitgeteilt [...]" nicht stimmen. ^^ die e-mail kam freitag gegen 23 uhr von rewe.
 
ich schätze 95% der leute tauchen in mehreren datenbanken auf die gehackt, gestolen, verloren, oder unrechtmäßig weitergegeben wurden
 
Als "kleiner" Admin hat man stets etwas Angst, dass irgendetwas passieren kann. Wenn ich aber sehe, was hier reihenweise bei "grossen" IT-Abteilungen geschieht, kann ich nur noch den Kopf schütteln, wenn es nicht so traurig wäre. M.E. ist das sowieso nur die Spitze des Eisbergs.
 
@Arroganzza: Du als kleiner Admin sorgst bestimmt auch dafür das du eine Datenbank mit verschlüsselten Daten hast usw. denn du als kleiner Admin legst noch Wert auf Datenschutz. Große Firmen legen kaum Wert auf ihre eigenen Mitarbeiter die das Unternehmen erst groß machen, da kann man doch net verlangen das die sich um wildfremde Leute kümmern...hauptsache die lassen Geld da, der Rest juckt net....Aber schön zu wissen das es noch Leute wie dich gibt...vll. sollten wir uns mal bewerben, dann wären die Daten vll. nicht vorm hacken sicher, aber auf jeden Fall verschlüsselt usw. P.S. passt vll. net ganz zum REWE Text, denn da wissen wir ja noch net wie sie dalagen! Aber ich geh von aus unverschlüsselt, war bis jetzt ja meistens so! :-)
 
@Arroganzza: Große Firmen haben auch keine Admins mehr. Das wurde vor Jahren an einen externen Dienstsklaven "outgesourced". Und der bekommt nun die Hucke voll, obwohl er mit dem knappen Budget gar nicht die Möglichkeit hatte, Sicherheit zu schaffen. Und nächstes Jahr wird dann ein neuer Dienstleister mit noch weniger Budget sein Glück versuchen und dessen Mitarbeiter sind nur noch billige Studenten... (IT darf nichts kosten!!!)
 
Kompliment für die Überschrift! Endlich mal "kopieren" statt das falsche "stehlen Daten"! Die Datenbank dürfte bei REWE noch vorhanden sein. Es existiert nun wohl eine weitere Kopie, die ihren neuen Besitzer nichts angeht.
 
@Kobold-HH: Das würde ich in dem Fall, wie beim "Raubkopieren" auch, nicht so eng sehen.
 
Da sag ich nur eins: EPIC FAIL!! :D

http://www.gulli.com/news/16602-rewede-schwere-sqli-sicherheitsluecke-bleibt-trotz-hinweis-bestehen-2011-07-14
 
@scroach: oh man, das ist heftig. vor allem war ich damals bei der wm dort angemeldet. echt mies zu wissen...
// schreibe denen jetzt mal ne e-mail, mit der bitte um information, wie man mich nun entschädigen möchte. -.- ^^
 
@scroach: Soviel zu dem Thema =) Am 3.7 wurden sie schon über die Lücke informiert... Schön zu sehen wie scheißegal REWE das anscheind war.
 
@KaOz: Tja, wer nicht hören will muss fühlen :) Leider sinds in dem Fall dann halt meistens die Kunden, die fühlen müssen...
 
@KaOz: Nicht nur Rewe sondern auch potenzielle Hacker wurden spätestens am 14.07 über die Sicherheitslücke informiert. Hätte man nur Rewe informiert wäre es vielleicht nicht zu dem Hack gekommen. Klar hat Rewe einen großen Fehler gemacht, aber da hätte das Team von blocklist vielleicht auch gucken sollen wem sie die Informationen geben.
 
@slimshady322: Hast du falsch verstanden/gelesen.REWE wurde am 03.07.2011 per Mail über die Sicherheitslücke informiert.Hatten also genügend Zeit sich drum zu kümmern,wenn sie die Lücke nicht hätten schliessen können in 10 Tagen so hätten sie die Daten wenigstens Offline nehmen können.
 
Ich wunder mich da nicht. Ich hab mal zum Spaß in einem Rewe Markt geschaut was dort für Funknetze sind. Und es gab unsichtbare verschlüsselte WEP Netze. Wenn der Rest den ihrer Infrastruktur so aufgebaut ist, ist es kein Wunder das irgendwann mal so etwas passiert.
 
@granworld: bitte auch kommentieren was an meinem beitrag falsch ist das er minuse verdient
 
@granworld: Verstehe nicht ganz, was ein REWE Markt mit der REWE Webseite zutun hat... das wird doch eh alles outgesourced!
 
And here we go again!
Bei den WF Lesern sind es nicht die Hacker, sondern die dummen Kunden und die Admins von Rewe die bestraft werden sollten. Diese Auffassung des Rechtssystems sollte komplett für alle Straftaten eingeführt werden, dann ist in Zukunft der bestohlene zur Verantwortung zu ziehen und nicht der Dieb und in einem weiteren Schritt die Vergewaltigte und nicht der Vergewaltigter. -- Ihr solltet euch langsam mal selbst anhören --
 
@Kartoffelteig: Dämlicher Vergleich mit der Vergewaltigung.Ausserdem wird der bestohlene zur Verantwortung gezogen wenn er grob fahrlässig handelt.Wenn du dir Kommentar 10 mal durchliest wirst du wissen was ich mit fahrlässig in diesem Fall meine.
 
@Kartoffelteig: Wie war das vor ein paar Jahren mal? Das Mädel hatte nen kurzen Rock an, die braucht sich nicht zu wundern, dass sie vergewaltigt worden ist. Als ich das damals las, ging mir die Hutschnur hoch.
 
@Kartoffelteig: Bei grober Fahrlässigkeit ist meistens das Opfer nochmals Opfer! Ein Beispiel. Schließ mal nicht deine Haustür ab,auf einmal bricht einer bei dir ein. Meinst du die Versicherung zahlt einen Cent wenn die durch die unabgeschlossene Tür rein kommen.Hätten ja abschließen können sagen die dann.Grob fahrlässig.Und genauso ist es mit unverschlüsselten Passwörtern.Wie gesagt,die ganze Welt schreit nach Datenschutz aber PW verschüsseln...ach ne, zählt wahrscheinlich net dazu.Ich könnte die so viele Beispiele nennen wo du als Opfer leer ausgehst!!!Als erstes müssten die Unternehmen zur Rechenschaft gezogen werden und dann die Hacker, denn dank der Hacker kommt der ganze Sch.... ans Tageslicht!
 
@Kartoffelteig: Es geht darum das hier grobfahrlässig mit Daten von dritten umgegangen wird und dies gehört sehr wohl bestraft, da Unternehmen die sensible Daten von Kunden sammeln (Kreditkartendaten, Bankverbindung, Emailadresse, kennwörter, usw.) auch für die Sicherheit der Daten haften sollten. Ein einfaches Beispiel: Du hast ein Bankschließfach, in der Bank wird eingebrochen, dein Schließfach geplündert. Nun muss die Bank dir den Wert deines Schließfaches ersetzen, da diese dafür die Verantwortung trägt.
 
@Kartoffelteig: Es ist ganz einfach: Server Admins haften! http://goo.gl/zgYko Das gilt auch für Firmen, die meinen einen Server ins Internet stellen zu wollen und dann etwa so was von sich geben könnten: "Hey, ich bin auf der Autobahn und fahre krasse 180 KM/h, aber wo war nochmal die Bremse? War das das in der Mitte?" [Zitat von Serverzeit.de]
 
Dieses ganze "Hacken" (für unsere hohlen Politiker ist es das nun mal) ist zur Zeit, wo es so ziemlich jeden dieser nutzlosen, überbezahlten Säcke in den Fingern juckt, eine Vorratsdatenspeicherung durchzudrücken, eher kontraproduktiv.

Es ist natürlich auch wichtig, die Leute wachzurütteln, und auf Seiten der Datenspeicherer auf ein gängiges Maß an Sicherheit zu bestehen, aber mit einer VDS im Nacken ist das eine sehr dumme Idee.
 
mittlerweile wird jeden tag irgendetwas gehackt....man sollte ne neue Page erstellen hackfuture oder so ..wo jeden tag die Hacks aufgelistet werden....
 
Firmen und Behörden muss das Datensammeln streng verboten werden! Immer wieder zeigen Behörden und Firmen wie persönliche Daten bei ihnen in den falschen Händen sind.
 
@Feuerpferd: Nicht ganz. Denn da, auf diesen Servern zu (finden) zu sein war freiwillig. Hat jemand die Leute gezwungen beim einkaufen diese "Rewe-Bildchen" mitzunehmen? Hat sie jemand gezwungen diese Art des "Kundenbindung-Fischfangs" mitzumachen ? Hat jemand Schuld dran, das sie sich freiwillig in die "Fänge" davon begeben haben ? Ich glaub nicht. Klar ist es nicht toll, das das angreifbar war. Aber so ein ganz klein wenig, sollte man auch mal über die Leichtsinnigkeit und Gier (Tauschbörse) der dahinter stehenden Menschen sprechen. Wer sich freiwillig in Gefahr begibt, kommt eben manchmal drin um. Alles und jedes (mit)machen, dürfen und können wollen und wenn es dann "auf einmal" an eine gewisse Menge Oberflächlichkeit und Leichtsinnigkeit ausbaden geht, dann laut schreiend die Verantwortung 100% von sich wegschieben wollend mit dem "Finger" auf jemand passenden zeigen, dem man es gerne zuschustern wollen würde, das kommt erstaunlich oft vor.
 
@DerTigga: Das führen die Hacker ja genau vor, dass 1.) die Leute leichtsinnig ihre persönlichen Daten raus rücken falls es freiwillig war und 2.) die persönlichen Daten in schlechten Händen sind.
 
Es wundert mich, dass die Leute noch nicht eingesehen haben, dass die Hackerszene uns schadet. Klar ist auch eine Firma dafür verantwortlich, dass die Daten sicher aufbewart werden, aber das wahre Verbrechen begehen immer noch die, die unerlaubt in ein System einbrechen. Wenn ich Zuhause mal vergessen habe abzuschliessen, gibt das noch keinem das Recht einfach in mein Haus zugehen. Natürlich muss man auch die Firmen hinterfragen, ob es sich dabei auch um Grobfahrlässigkeit handelt, oder einfach nur ein Fehler ist, aber egal welche Fehler die Firmen machen, das Hauptproblem sind und bleiben die Hacker/Cracker.
 
hier ist ein statement von uns dazu ;)

http://nopaste.info/9b02cfaf08.html
 
Bald schließt sich der Kreis. Neue Markting- Strategie der Firmen.

Wir sind überfallen worden von den bösen Hackern.

Mir kommt es wirklich so vor, da waren keine Hacker am Werk sondern

einfach unfähige Mitarbeiter. Will da nichts unterstellen, aber klingt bald

schon wie ein regelrechtes Alibi.
 
Man kann sich ja bald nirgends mehr registrieren lassen, ohne befürchten zu müssen, daß die Daten irgendwie in falsche Hände gelangen!
 
@Roy Bear: Guten Morgen, auch schon wach? Das ist schon lange so!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles