Hackerangriff: Kickstarter Account-Daten betroffen

Die bekannte Crowfunding-Plattform Kickstarter ist einem Hackerangriff zum Opfer gefallen. Das Unternehmen wurde darüber selbst am Mittwoch von US-Behörden informiert, heißt es in einem öffentlichen Statement. mehr... Hacker, Kryptographie, Hex-Code Bildquelle: Public Domain Hacker, Kryptographie, Code, Hex-Code Hacker, Kryptographie, Code, Hex-Code Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Naja, 5-6 Mio. e-Mail-Adressen soll kein Schaden sein? Ich sehe das etwas anders...
 
Kann mir mal bitte jemand erklären, warum die Betreiber der Plattform erst von den Behörden darüber verständigt werden müssen, damit die das merken ?
 
Ich wurd nicht per Mail informiert. Schwach. Auch dass die erst extern informiert werden müssen und fünf Tage lang die Nutzer nicht warnen find ich nicht grade professionell.
 
@lutschboy: Wir wissen an sich nichts darüber, wie die Sache wirklich ablief, zumindest obige News ist recht vage. Wieso Strafverfolgungsbehörden als erste davon wissen... möglicherweise sind diese sonstwo auf Spuren des Datenabgriffs gestoßen (jemand prahlt in einem Forum, bietet Daten zum Verkauf an, ...). Und dass fünf Tage lang nicht informiert wurde... tja... zum einen muss erst mal herausgefunden werden, was wirklich Sache ist - panikerzeugende Alarmmeldungen helfen auch nicht weiter, und zum anderen müssen die Entscheider sich erst mal durchringen, wie sie es formulieren (letzteres ist natürlich an sich traurig, aber wenn ich schaue wie bei so manchen Unternehmen die Kommunikation läuft...). Was die Mail angeht: Schau mal in Deinen Spamfilter, evtl. fängt der ja Mails die etwas über "wichtige Sicherheitsinformationen" enthalten (etliche Spammails lesen sich ja ähnlich).
 
@lutschboy: Also ich habe am Samstag eine Mail von Kickstarter bekommen mit dem entsprechenden Hinweis. Und zwar bevor die Nachricht durch die Presse ging.
 
@lutschboy: Kennst du den genauen Sachverhalt? Nein? Also dann mal nicht so schlecht reden. Klar ist sowas immer schei*e. Aber erstmal muss geschaut werden, WAS das Problem ist, dann das Problem beheben und DANN kann man informieren. Was bringt es zu informieren, wenn das Problem weiterhin noch besteht? Klar ist das immer doof, aber unnoetig Panik machen ist auch die falsche Art und bringt am Ende nicht viel.
 
Tip: Passwortmanager verwenden (z.B. LastPass), dann ist das - für die Site individuelle und nirgendwo sonst verwendete - Passwort sehr schnell geändert. Andere Accounts, die die selbe eMailadressen / Passwortkombination haben, gibt es dann nicht.
 
@Thunderbyte: Und dazu benötigst Du ein extra Programm? Und dann noch ein kommerzielles? Dann lieber Keepass.
 
@iPeople: Ein "extra Programm" braucht man ja wohl schon bei hunderten einmaligen/zufälligen Passwörtern. Aber ich bevorzuge da auch lieber KeePass als zum einen OpenSource, und zum anderen Offline-Lösung. Weil was macht man wenn mal bei LastPass die ganzen Daten entfleuchen? ;)
 
@lutschboy: In der Tat braucht man bei dutzenden bis hunderten Accounts ein separates Programm. In der Basisversion ist LastPass kostenfrei, mit LP Premium bekommt man schlicht einige nette Features hinzu. Ein Vorteil ist die nahtlose Einbindung in alle gebräuchlichen Browser per Plugin und der Onlinesync, der es einem auch ermöglicht, am Tablet / Smartphone auf die Passwörter zuzugreifen. Die Daten lagern bei LastPass verschlüsselt auf deren Servern und werden nur lokal entschlüsselt, ohne das eigene Passwort kann nicht mal der Provider da was machen. Wenn man über mehrere Rechner hinweg synchronisiert arbeiten will, bleibt auch bei Keepass und ähnlichen Services kaum etwas anderes übrig, als z.B. per Dropbox zu syncen. Und dann hat man potentiell auch das genannte Problem.
 
@Thunderbyte: Da ich nichtmal ein Schmartfon hab bin ich da nicht so bewandert drin, aber KeePass bietet schon auch Synchronisation an und zwar auch unabhängig von Diensten wie Dropbox direkt über FTP oder WebDAV - muss man halt manuell einrichten aber dann sollte es auch recht komfortabel sein. Ich nutz für die Browsereinbindung in Firefox KeeFox und das funktioniert prima, aber ich glaub bei Chrome oder Opera etc ist das nicht so komfortabel. Wie sicher/unsicher LastPass die Daten speichert - wer weiß das schon, sind ja erstmal nur Lippenbekentnisse, im NSA-Zeitalter denk ich kann man da niemandem mehr vertrauen (aber über den Punkt kann man sich streiten immerhin hab ich hier Windows am Start und hab damit eh auch schon verloren ;D)
 
@lutschboy: Naja, wenn man das Misstrauen auf die Spitze treibt kann man auch KeePass misstrauen - denn dank OpenSource kann dessen Quellcode zwar unabhängig geprüft werden, aber wird das auch gemacht? Wird dabei nichts übersehen? Basiert das herunterladbare Executable auf dem selben Code, der auch zu Verfügung gestellt wird? usw. - mit hinreichendem Misstrauen lässt sich auch da die Möglichkeit der Spionage hineininterpretieren. Und wie Du schon sagst, wer Windows nutzt hat ja schon mal ganz grundlegend US-Software auf seinem Rechner :) KeePass vs LastPass: Stimmt, mit KeePass kann man sich seine eigene Synchronisation auch hinbasteln, aber eben genau das ist der Vorteil von LastPass - die Synchronisation kommt "out of the box", kein Konfigurieren mit Fachwissen erforderlich. Und es ist auch schön geräteübergreifend und man muss sich keinen Kopf machen, wie man die Sync nun auf seinem Smartphone/Tablet möglichst elegant löst. Somit ist LastPass also komfortabler (ich nutze übrigens selbst KeePass).
 
@FenFire: Wer sagt dass ich Misstrauen auf die Spitze treib? Find's irgendwie traurig dass man selbst jetzt nach den ganzen NSA-Skandalen immernoch als paranoid hingestellt wird, wenn man seine privatesten Daten wie Passwörter nicht auf fremden Servern speichern möchte. Ist ja auch nicht "mißtrauen auf die Spitze treiben" wenn ich meinen Wohnungsschlüssel nicht bei Fremden hinterlege sondern lieber am Schlüsselbund bei mir selbst trage, oder? :) Etwas detaillierter liegt das Problem auch einfach darin dass LastPass die Daten entwendet werden könnten und wer weiß schon, wie sicher die verschlüsselt sind falls überhaupt tatsächlich etc. Muss ja nichtmal der NSA sein. Und zu LastPass: Klar, halt das alte Komfort vs Sicherheit-Lied - muss jeder selbst abwägen. Ich will hier ja auch garkeinen runtermachen oder so. Aber noch kurz zum Thema Fachwissen: Ich gehe verrückterweise immer davon aus dass etwas IT-Wissen bei IT-News-Seiten-Usern vorhanden ist :D
 
@lutschboy: LastPass speichert die Daten zentral mit AES 256Bit. Dieses Verfahren gilt derzeit als sicher und nur mit extraordinärem Aufwand knackbar. Die Plugins (die zugegebenermaßen vom gleichen Anbieter stammen) speichern das Passwort zum Entschlüsseln nur lokal, LastPass hat diese Passwörter also nicht. Selbst wenn LP geknackt würde und die AES verschlüsselten Daten abgegriffen würden, bräuchte es PRO LP ACCOUNT einen derart langen Zeitraum zum Entschlüsseln der Daten, dass man wohl derzeit von "Sicherheit" ausgehen kann. In der Tat ist Sicherheit vs Komfort immer eine Sache, die jeder einzelne abwägen muss. Als Nutzer von Chrome, Firefox und Safari über Betriebssystemgrenzen hinweg brauche ich jedoch eine Lösung, die da mitkommt. KeePass ist das offensichtlich nicht. Daher verwende ich schon lange LastPass und Xmarks und bezahle sogar für die LP Premium Variante, die z.B. auch zwei Faktor Authentifizierung mit biometrischen Verfahren bieten würde.
 
@Thunderbyte: Warst du vor Ort und hast überprüft wie sie speichern? Oder glaubt man da nur Marketingversprechungen? Und klar, AES mag sicher sein, aber ist auch die Passphrase sicher? Die Schnittstelle über die Passwörter transferiert und auf sie zugegriffen werden? Wurd ja zb im Rahmen des NSA-Themas endgültig bewiesen dass auch SSL angreifbar ist. Und doch KeePass hat doch wie gesagt Sync und läuft auch mit Mono also auch unter Linux und OSX... . Biometrie würd ich persönlich von mir auch keiner Firma schenken wollen ^^ Aber um's nochmal zu sagen: Ich möcht hier niemandem ans Bein pinkeln und bin auch garnicht in der Position dazu. :)
 
@lutschboy [zu re:6]: Ich hatte Dir doch gar nicht unterstellt, das Misstrauen auf die Spitze zu treiben :) Da hast Du etwas hineininterpretiert, das ich gar nicht ausdrücken wollte (ich schrieb ja auch, dass mit auf die Spitze getriebenem Misstrauen selbst KeePass als vertrauensunwürdig zu sehen wäre, Du vertraust KeePass, also hast Du das Misstrauen nicht auf die Spitze getrieben - q.e.d. ;)). Ich wollte lediglich darauf hinweisen, dass man irgendwo die Grenze zu "ab hier vertraue ich" setzen muss, und diese Grenzziehung zumindest teilweise etwas willkürliches an sich hat, es lassen sich immer (mehr oder minder valide) Argumente finden, um die Grenze noch etwas weiter zu verschieben. Am Ende ist es auch eine Abwägungssache "Komfort vs Sicherheit", wie in sehr vielen Bereichen des Lebens (man denke nur an Autofahren). Die einen mögen hier LastPass noch als vertrauenswürdig einstufen, die anderen nicht. Wer letztendlich "Recht hat" werden wir entweder nie erfahren (hoffentlich), oder die Zeit wird es zeigen (falls LastPass kompromittiert werden sollte). Und wie, Fachwissen bei Lesern von IT-News-Seiten? Du unerschütterlicher Optimist ;) (und so Tools wie LastPass sollten ja eigentlich einen möglichst weit gefassten Nutzerkreis erreichen, nicht nur IT-News-Seiten-Leser :)).
 
@lutschboy [zu re:9]: Passwörter transferiert? Nach [re:3] "nur lokal entschlüsselt" würde ich vermuten, dass das Passwort zum verschlüsselten Safe lokal bleibt und nicht transferiert wird, lediglich der bereits verschlüsselte Safe wird mit den Servern von LastPass ausgetauscht. Es sei denn Du meinst das Hantieren mit dem Passwort lokal im Speicher des Rechners. Wer hier jedoch bereits eine Schadsoftware am Rechner hat, die mitschnüffelt, hat wohl schon etwas mehr Probleme.
 
@FenFire: Er (lutschboy) hat schon Recht. Die Angaben (AES256Bit, Passwort zum Safe bleibt lokal, Plugins für Browser etc.) kommen von LastPass und man muss ihnen vertrauen (oder eben nicht). Eine interessante Sache, die bei Lastpass gerade als Beta eingeführt wird: Transferierung der LP Daten NACH EUROPA, genauer auf einen Server in Deutschland ( https://lastpass.com/use_eu.php ). Ist aktuell noch nicht fertig für die "Prime Time", aber an sich schon mal ein begrüßenswerter Schritt.
 
@lutschboy: Ich bezog mich aufs "ändern" des Passwortes, nicht auf die Speicherung. Denn darum gib es eigentlich in 04. Davon ab, nicht nur wegen dem Offline ... ich speicher meine Passwörter nicht irgendwo auf einer Wolke ... mir gehts ja noch gut.
 
Ich verstehe nicht, warum immer noch verschlüsselte Passwörter gespeichert werden. State of the Art ist das Passwort zu salzen und dann nur den Hash zu speichern und nahezu jedes System bietet das auch so.
 
@karstenschilder: Ich hatte bisher drei Fälle wo ich Passwörter nicht hashen/salzen konnte. Fall 1: Zertifikatsschlüssel. Fall 2: Emailpasswörter. Fall 3: Datenbankkennwörter.
 
@karstenschilder: Laut Aussage von Kickstarter waren die Passwörter verschlüsselt und gesalzen.
 
Super, grade mal eine Woche bei Kickstarter dabei und schon sowas. Blöderweise hab ich da meine gute Mailadresse angegeben, jetzt darf ich mich da wohl auf ne Menge Spam freuen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.