Kickstarter: Kundendaten durch Hacker-Angriff erbeutet

Bild von mrkhfloppy
mrkhfloppy 32279 EXP - 22 AAA-Gamer,R10,S10,C4,A10,J10
News-Redaktion: Hat von der Redaktion weitere Rechte für das News-Redigieren erhaltenDieser User unterstützt GG seit einem Jahr mit einem Abonnement.Gold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreichtDieser User hat uns an Weihnachten 2017 mit einer Spende von 5 Euro unterstützt.Alter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertIdol der Massen: Hat mindestens 10.000 Kudos bekommenSilber-Jäger: Hat Stufe 10 der Jäger-Klasse erreichtSilber-Archivar: Hat Stufe 10 der Archivar-Klasse erreichtDieser User hat uns an Weihnachten 2016 mit einer Spende von 5 Euro unterstützt.Silber-Schreiber: Hat Stufe 10 der Schreiber-Klasse erreichtSilber-Reporter: Hat Stufe 10 der Reporter-Klasse erreicht

16. Februar 2014 - 15:13 — vor 3 Jahren zuletzt aktualisiert

Die Crowdfunding-Plattform Kickstarter ist Opfer einer Hacker-Attacke geworden, dies teilte Yancey Strickler, CEO des Unternehmens, auf dem offiziellen Firmen-Blog und via Email an alle Benutzer mit. Am Abend des 12. Februar haben amerikanische Strafverfolgungsbehörden die Firma über den Angriff informiert. Die verantwortliche Sicherheitslücke sei daraufhin umgehend geschlossen und entsprechende Untersuchungen eingeleitet worden, so Strickler.

Durch die Attacke haben die Kriminellen Zugriff auf Namen, Postanschriften, Email-Adressen und verschlüsselte Passwörter der registrierten Nutzer erhalten, Kreditkarteninformationen sind jedoch nicht betroffen. Ohnehin speichert Kickstarter nur die letzten vier Ziffern der Kartennummer, sowie deren Ablaufdatum für Projekte außerhalb der Vereinigten Staaten. Trotz der Verschlüsselung können die Passwörter – die entsprechenden Kenntnisse und Rechenkapazitäten vorausgesetzt – im Klartext wiederhergestellt werden, dies gilt insbesondere für kurze und einfache Schlüsselwörter. Es ist euch daher dringend geraten, eure Zugangsdaten zu ändern. Die hinterlegten Zugangsberechtigungen via Facebook-Account wurden sicherheitshalber zurückgesetzt, gespeichert wurden die entsprechenden Daten von vornherein nicht – diese liegen nur in den Datenbanken der sozialen Plattform vor. Laut Firmenauskunft gibt es derzeit nur für zwei Benutzerkonten Hinweise auf irreguläre Aktivitäten.

Am Ende der Erklärung entschuldigt sich Kickstarter für den Vorfall und versichert, dass die Schutzvorkehrungen bereits verbessert wurden und in den kommenden Wochen und Monaten weitere Maßnahmen geplant sind, damit sich so ein Vorfall nicht wiederholt. Wenn ihr Probleme, Fragen oder Bedenken habt, könnt ihr euch per Email an die Serviceabteilung für Kontosicherheit wenden.

Refardeon 12 Trollwächter - 842 - 16. Februar 2014 - 10:37 #

Hat noch jemand die Email erstmal als Phishing-Email abgetan?

NedTed 18 Doppel-Voter - - 11862 - 16. Februar 2014 - 11:39 #

Nein, weil die News vor der e-mail kamen...

firstdeathmaker 17 Shapeshifter - P - 6890 - 16. Februar 2014 - 11:52 #

Ich hab die News aufgrund der Mail vorgeschlagen, nachdem ich diese genau durchgelesen und drüber nachgedacht habe. Sie kam mir nicht wie eine Phishing Mail vor, da ja keine Links etc. drin war. Daher hatte ich dann eher an eine Mail zur Rufschädigung gedacht. Ansonsten war der Inhalt ja plausibel. Aber so richtig Rufschädigend war es ja dann doch nicht, wenn Kickstarter wenigstens allen Kunden sofort Bescheid gibt und so detailliert darlegt, was passiert ist. IT-Systeme kann man einfach nicht 100% Sicher kriegen (siehe Chaos Computer Club Hack letzte Woche). Aber wenn etwas passiert ist, muss man das auch kommunizieren. Daher bin ich dann zum dem Schluss gekommen, dass es keine Phishing-Mail ist. Auch weil sehr viele unterschiedliche Email-Addressen für Dienste benutze, dadurch kann ich sehen ob jemand die weitergegeben hat etc. und die Mail wurde an die richtige zu Kickstarter gehörende Addresse geschickt. Und auf dem Firmenblog kam es ja dann auch.

Grimwood 12 Trollwächter - 863 - 16. Februar 2014 - 12:24 #

Nein, Phising-Mails sehen etwas anders aus ;)
Und ich habe nichtmal mein Passwort geändert, oh Schreck!

Kenner der Episoden 19 Megatalent - P - 16789 - 16. Februar 2014 - 12:53 #

Ja, in einer waschechten Phishing-Mail hätte das Unternehmen wohl höchst überzeugen "Kiffstarter" oder so geheißen.^^

Slaytanic 23 Langzeituser - P - 40769 - 16. Februar 2014 - 15:15 #

Nee, ich hatte sie eigentlich gleich für real gehalten.

Koffeinpumpe 15 Kenner - 3396 - 17. Februar 2014 - 9:31 #

Hier, ich.
Fast täglich trudeln Phishingmails zu angeblich suspendierten, gefährdeten oder gesperrten Konten ein. Ich hab die Mail ungelesen gelöscht.
Zum Glück war das ein einzigartiges Passwort, aber meinen Kickstarter-Account habe ich gerade gelöscht.

NeoTheThird 11 Forenversteher - 567 - 16. Februar 2014 - 10:41 #

Kleiner Schreibfehler in den Quellen: "Kickstarter-Block"
So klingt's aber auch lustig! ^^

Onkel Erika (unregistriert) 16. Februar 2014 - 11:07 #

Anmerkung: Wer die gleiche Mailadresse mit dem gleichen Passwort auch auf anderen Seiten verwendet muss es natürlich auch dort ändern.

NickL 13 Koop-Gamer - 1726 - 16. Februar 2014 - 12:34 #

Haben die auch das Passwort wenn man per Facebook Login sich dort eingeloggt hat?
Es wird doch immer mehr angeboten sich auf Webseiten per Facebook Login zu registrieren.

Muss dann nun das Facebook Passwort geändert werden?

Stonecutter 19 Megatalent - - 16007 - 16. Februar 2014 - 12:49 #

nein, haben sie nicht, laut FAQ Update auf der KS Seite.

mrkhfloppy 22 AAA-Gamer - P - 32279 - 16. Februar 2014 - 13:12 #

Ich habe den entsprechenden Absatz um diese Information ergänzt.

Icy 12 Trollwächter - 1033 - 16. Februar 2014 - 14:41 #

Verschlüsselte Passwörter? Gut das auf dem Blog steht was sie damit meinen:

----
How were passwords encrypted?

Older passwords were uniquely salted and digested with SHA-1 multiple times. More recent passwords are hashed with bcrypt.
----

Also Hash + Salz (und später dann bcrypt, auch wenn der Schwierigkeit Faktor nicht angegeben ist ...).

Ein Hash ist aber keine Verschlüsselung! Verschlüsselung => Klartext in Geheimtext welcher wieder in Klartext umgewandelt werden kann. Bei einem Hash wandelt man den Klartext in ein Ergebnis von dem man aber nicht wieder auf den Klartext kommt.

Wenn man wirklich Passwörter verschlüsselt muss der Schlüssel zum ver- und entschlüsseln ja auch auf den Servern liegen (sonst kann man keine neuen Passwörter erstellen oder sich einloggen...). Wenn das so wäre, ist davon auszugehen das der Schlüssel direkt mit abhanden kommt. Damit wären die Passwörter sofort* im Klartext beim Angreifer.

* Entschlüsseln mit Schlüssel geht schnell genug um von sofort zu reden.

firstdeathmaker 17 Shapeshifter - P - 6890 - 16. Februar 2014 - 19:40 #

Im Newsvorschlag hatte ich extra "gehashte" Passwörter geschrieben, wurde wohl leider falsch übernommen.

mrkhfloppy 22 AAA-Gamer - P - 32279 - 16. Februar 2014 - 21:58 #

Ich habe das extra weggelassen. Das ist eine Gaming-Seite und kein IT-Magazin. Die wenigsten Leser werden mit Hash-Summen vertraut sein. Sie werden aber wissen, dass eine verschlüsselte Zeichenkette nicht mehr der originalen entspricht. Für das prinzipielle Verständnis ist diese ungenaue Formulierung ausreichend.

Starslammer 15 Kenner - 2772 - 16. Februar 2014 - 14:41 #

Irgendwie habe ich das Gefühl, dass die Meldungen mit den geknackten Passwörtern in letzter Zeit immer öfters vorkommen (BSI, Adobe, etc.).

Akte X-Melodiepfeiff...das ist bestimmt von den Herstellern der Passwortgeneratoren initiiert... :-)

SpookyM (unregistriert) 16. Februar 2014 - 15:10 #

I don't want to believe

firstdeathmaker 17 Shapeshifter - P - 6890 - 16. Februar 2014 - 19:41 #

Naja, passiert ist das glaube ich schon immer. Ist aber gut, dass inzwischen damit offen umgegangen wird, sonst hat man als User ja gar keine Chance.

crackajack 11 Forenversteher - 589 - 17. Februar 2014 - 8:24 #

Wenn digitale Downloads schon die unvermeidbare Zukunft sind, und absolute Sicherheit wohl gar nicht möglich ist, dann sind die alle miteinander hoffentlich so fair einem immer zu informieren wenn was mit unseren Daten passiert.

Elton1977 19 Megatalent - P - 15675 - 16. Februar 2014 - 15:32 #

Ist ja inzwischen nix neues mehr, das irgendwann sämtliche Seiten im Internet gehackt werden/worden sind.

direx 16 Übertalent - P - 5529 - 16. Februar 2014 - 15:58 #

Hab mein Passwort sicherheitshalber geändert ...

Slaytanic 23 Langzeituser - P - 40769 - 16. Februar 2014 - 17:06 #

Das habe ich in der Nacht auch gleich gemacht.

Labrador Nelson 28 Endgamer - - 107006 - 16. Februar 2014 - 16:11 #

Hab die Mail auch bekommen.

Claus 30 Pro-Gamer - - 147667 - 16. Februar 2014 - 21:28 #

Die wichtige Nachricht hier ist nicht das Kickstarter gehackt wurde, sondern dass Kickstarter seinen Mitgliedern DRINGEND rät, die Passwörter sofort zu ändern.

Wie man das besser macht, zeigt hier Gamerstar:
http://www.gamestar.de/hardware/news/internet/3032732/hackerangriff.html

Wenn auf Gamersglobal die Newstitel länger wären, dann hätte die Info auch Platz in der Newsüberschrift gehabt. Platz im Sinne von: lies die Info auf der Startseite, ohne dafür die News öffnen zu müssen.

Tr1nity 28 Endgamer - 101379 - 16. Februar 2014 - 21:30 #

"Wenn auf Gamersglobal die Newstitel länger wären, dann hätte die Info auch Platz in der Newsüberschrift gehabt. Platz im Sinne von: lies die Info auf der Startseite, ohne dafür die News öffnen zu müssen."

Naja, demnach braucht GG gar keine News mehr zu machen, sondern nur noch Twitter-Meldungen ;).

Slaytanic 23 Langzeituser - P - 40769 - 16. Februar 2014 - 21:47 #

Also das ist aus der gestrigen E-Mail von Kickstarter :
"On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.

No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account. ..."

Ich denke schon das die Überschrift passt. Warum sollte ich ansonsten das Passwort ändern?

Benjamin Urban 18 Doppel-Voter - 9405 - 16. Februar 2014 - 21:32 #

Eigentlich ein vorbildliches Verhalten und scheinbar hat man sich auch über die Sicherheit Gedanken gemacht, weswegen wohl keine Zahlungsinformationen kopiert wurden. Das Einzige was einen faden Beigeschmack hinterlässt ist, dass Kickstarter nicht selbst auf den Angriff aufmerksam wurde.

blobblond 19 Megatalent - 18595 - 17. Februar 2014 - 12:09 #

Ein hoch auf die NSA!;)
Also hatte die Überwachung auch mal was gutes.;)

Ferengi_Quark 12 Trollwächter - 889 - 17. Februar 2014 - 6:58 #

Steht ja auch auf der Kickstarter-Seite. Ist also kein Phishing.

Lorin 16 Übertalent - P - 4190 - 17. Februar 2014 - 11:12 #

1 Tag nach meiner Erstanmeldung bei Kickstarter passiert sowas :-/ Das schafft Vertrauen.

Slaytanic 23 Langzeituser - P - 40769 - 17. Februar 2014 - 13:45 #

Bei war es so mit dem PSN, gut es war in den ersten 2 Wochen und das als Konsolenneuling. ;)

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit