Gerade Mail von einem Webshop bekommen
Hallo,
Da ist eine Sicherheitslücke ausgenutzt worden. Habe dort im genannten Zeitraum auch Bestellungen getätigt.
Passwort habe ich nun geändert. Allerdings sind höchstwahrscheinlich meine persönlichen Daten abgegriffen worden.
Schon ein komisches Gefühl. Es ist das erste Mal, dass ich so eine Mail erhalte.
Text:
Liebe Kunden,
wir sind Samstag den 23.03.2019 um 21:38 Uhr per Mail durch die Softwareagentur Kreativkonzentrat GbR kontaktiert worden.
Wir setzen in unserem Webshop das Plugin „Dropper“ von Kreativkonzentrat ein. Hierbei handelt es sich um ein Content-Management System für unseren Webshop. Kreativkonzentrat teilte uns mit, dass ihr Plugin eine kritische Sicherheitslücke aufweisen würde. Es wurde zu einem sofortigen Update in der Mail geraten, da diese Sicherheitslücke bereits von Angreifern genutzt wird.
Wir von XXX haben erst um 0:05 am 24.03.2019 die Mail von Kreativkonzentrat gelesen und umgehend das besagte Update eingespielt und alle sicherheitsrelevanten Dinge vollzogen, um die Sicherheit des Servers wieder herzustellen. Leider wurde diese Sicherheitslücke zu diesem Zeitpunkt bereits aktiv ausgenutzt. Auf dem Webspace von XXX wurde Schadcode eingebracht, der es ermöglichte Zugriff auf die SQL-Datenbank von XXX zu erhalten. Der eigentliche Angriff fand bereits am 11.03.2019 statt. Uns von XXX war es leider nicht möglich in Log-Dateien den genauen Verlauf des Angriffs nachzuvollziehen, da wir aus datenschutzrechtlichen Vorgaben Access-Logs (in diesen werden die IP-Adresse sowie die aufgerufenen Seiten sowie Programme aufgezeichnet) nur 24 Stunden speichern. Bei einigen anderen betroffenen Shops, nach Auswertung von Access Logs, wurden trotz des Einbruchs auf den Webspace keine Daten entwendet.
Wir gehen, ohne Einsicht in Log-Files, aber leider aktuell davon aus, dass der Angreifer sich Einblick in die Kundendaten verschaffen konnte. Ob die Daten auch entwendet worden sind, können wir nicht mit Sicherheit sagen, jedoch muss hier von dem größtmöglichen Schaden ausgegangen werden. Gewisse Kundendaten liegen verschlüsselt in unserer Kundendatenbank vor, jedoch könnte der Angreifer auch den nötigen Key für die Entschlüsselung bei dem Angriff entwendet haben.
Betroffen wären folgende Kundendaten:
- Vorname
- Nachname (verschlüsselt)
- Straße (verschlüsselt)
- Hausnummer
- Ort
- PLZ
- E-Mail Adresse
- Telefonnummer (falls im Shop angegeben)
- Geburtsdatum (falls im Shop angegeben)
- Passwort (verschlüsselt)
Wir empfehlen daher allen unseren Kunden ihr Passwort bei uns zu ändern und falls das gleiche Passwort auf anderen Plattformen genutzt worden ist, es auch gleich dort abzuändern.
Zahlungsinformationen wie Bankverbindung oder Kreditkartendaten werden bei uns nicht gespeichert und sind somit auch nicht von dem Angriff betroffen.
Wir möchten uns aufrichtig für diesen Vorfall entschuldigen. Wir haben das gesamte Wochenende an der Behebung und Rekonstruktion des Vorfalls gearbeitet und bedauern alle damit verbundenen Unannehmlichkeiten zu tiefst.
Wir haben bereits das LKA-Niedersachsen kontaktiert und werden Strafanzeige gegen die Angreifer stellen. Auch werden wir umgehend nach dem Versand dieser Mail die Datenschutzbehörden über den Vorfall informieren.
Mit traurigen Grüßen
XXX
Da ist eine Sicherheitslücke ausgenutzt worden. Habe dort im genannten Zeitraum auch Bestellungen getätigt.
Passwort habe ich nun geändert. Allerdings sind höchstwahrscheinlich meine persönlichen Daten abgegriffen worden.
Schon ein komisches Gefühl. Es ist das erste Mal, dass ich so eine Mail erhalte.
Text:
Liebe Kunden,
wir sind Samstag den 23.03.2019 um 21:38 Uhr per Mail durch die Softwareagentur Kreativkonzentrat GbR kontaktiert worden.
Wir setzen in unserem Webshop das Plugin „Dropper“ von Kreativkonzentrat ein. Hierbei handelt es sich um ein Content-Management System für unseren Webshop. Kreativkonzentrat teilte uns mit, dass ihr Plugin eine kritische Sicherheitslücke aufweisen würde. Es wurde zu einem sofortigen Update in der Mail geraten, da diese Sicherheitslücke bereits von Angreifern genutzt wird.
Wir von XXX haben erst um 0:05 am 24.03.2019 die Mail von Kreativkonzentrat gelesen und umgehend das besagte Update eingespielt und alle sicherheitsrelevanten Dinge vollzogen, um die Sicherheit des Servers wieder herzustellen. Leider wurde diese Sicherheitslücke zu diesem Zeitpunkt bereits aktiv ausgenutzt. Auf dem Webspace von XXX wurde Schadcode eingebracht, der es ermöglichte Zugriff auf die SQL-Datenbank von XXX zu erhalten. Der eigentliche Angriff fand bereits am 11.03.2019 statt. Uns von XXX war es leider nicht möglich in Log-Dateien den genauen Verlauf des Angriffs nachzuvollziehen, da wir aus datenschutzrechtlichen Vorgaben Access-Logs (in diesen werden die IP-Adresse sowie die aufgerufenen Seiten sowie Programme aufgezeichnet) nur 24 Stunden speichern. Bei einigen anderen betroffenen Shops, nach Auswertung von Access Logs, wurden trotz des Einbruchs auf den Webspace keine Daten entwendet.
Wir gehen, ohne Einsicht in Log-Files, aber leider aktuell davon aus, dass der Angreifer sich Einblick in die Kundendaten verschaffen konnte. Ob die Daten auch entwendet worden sind, können wir nicht mit Sicherheit sagen, jedoch muss hier von dem größtmöglichen Schaden ausgegangen werden. Gewisse Kundendaten liegen verschlüsselt in unserer Kundendatenbank vor, jedoch könnte der Angreifer auch den nötigen Key für die Entschlüsselung bei dem Angriff entwendet haben.
Betroffen wären folgende Kundendaten:
- Vorname
- Nachname (verschlüsselt)
- Straße (verschlüsselt)
- Hausnummer
- Ort
- PLZ
- E-Mail Adresse
- Telefonnummer (falls im Shop angegeben)
- Geburtsdatum (falls im Shop angegeben)
- Passwort (verschlüsselt)
Wir empfehlen daher allen unseren Kunden ihr Passwort bei uns zu ändern und falls das gleiche Passwort auf anderen Plattformen genutzt worden ist, es auch gleich dort abzuändern.
Zahlungsinformationen wie Bankverbindung oder Kreditkartendaten werden bei uns nicht gespeichert und sind somit auch nicht von dem Angriff betroffen.
Wir möchten uns aufrichtig für diesen Vorfall entschuldigen. Wir haben das gesamte Wochenende an der Behebung und Rekonstruktion des Vorfalls gearbeitet und bedauern alle damit verbundenen Unannehmlichkeiten zu tiefst.
Wir haben bereits das LKA-Niedersachsen kontaktiert und werden Strafanzeige gegen die Angreifer stellen. Auch werden wir umgehend nach dem Versand dieser Mail die Datenschutzbehörden über den Vorfall informieren.
Mit traurigen Grüßen
XXX