Du bist nicht angemeldet. [Anmelden]
Optionen
Thema bewerten
Vorsichtsmaßnahme Passwortsicherheit *** - #2916081 - 07.09.2018, 07:03:30
Ampelmännchen+wForumssprecher
​how's the heart?

Registriert: 08.04.2003
Beiträge: 11.451

Hallo ihr Lieben,

wenn ihr euch im Chat einloggt, werdet ihr aktuell gebeten euer Passwort zu ändern.
Das ist eine Vorsichtsmaßnahme.
Es wurden Accountdaten von Knuddels im Internet ver√∂ffentlicht. Auch wenn uns derzeit keine Fremdnutzung bekannt ist, haben wir diese Accounts zu ihrer Sicherheit vorl√§ufig deaktiviert. Wir pr√ľfen aktuell, ob eine Sicherheitsl√ľcke bei uns auf der Plattform vorliegt. Sobald uns weitere Informationen vorliegen, sagen wir euch nat√ľrlich Bescheid. Bei Problemen und Fragen steht unser Support unter community@knuddels.de zur Verf√ľgung.

Bitte nutzt zur Sicherheit den Hinweis beim Login und ändert euer Passwort.

Cheerio,
das Knuddelsteam
_________________________
if you never try anything new, you'll miss out on many of life's great disappointments.

[zum Seitenanfang]  
Re: Vorsichtsma√ünahme Passwortsicherheit [Re: Ampelmännchen+w] - #2916150 - 07.09.2018, 16:56:46
PlexxAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 126
Hallo,

wie wir bereits heute morgen schrieben, sind Accountdaten von Knuddels im Internet ver√∂ffentlicht worden. Als wir von der Ver√∂ffentlichung erfahren haben, haben wir umgehend Sicherheitsma√ünahmen eingeleitet, wie zum Beispiel die Aufforderung zur √Ąnderung des Passworts.
Wie uns mittlerweile bekannt ist, wurden die Daten der Nutzer veröffentlicht, die am 20.07.2018 einen Account bzw. Nick bei Knuddels.de hatten.

Was solltet ihr jetzt tun?
Der wichtigste, erste Schritt ist, dass ihr eure Passwörter ändert. Habt ihr das heute schon getan, ist alles in Ordnung. Habt ihr das bisher nicht getan, erledigt das bitte sofort. Loggt euch bitte einfach in den Chat ein und folgt den dortigen Anweisungen.
Solltet ihr dasselbe oder ein sehr ähnliches Passwort auch auf anderen Seiten verwenden, ändert es bitte umgehend auch dort.

Was wurde veröffentlicht?
Die veröffentlichten Daten enthalten neben Nick und Passwort auch (wenn vorhanden) e-Mail-Adresse (in 57% der Fälle), Stadt (in 30% der Fälle) und Name im Profil (in 41% der Fälle).

Was tun wir?
Wir haben unmittelbar Sicherheitsmaßnahmen eingeleitet und arbeiten auch weiterhin daran herauszufinden, wie diese Daten veröffentlicht werden konnten. Sollte es ein Sicherheitsproblem geben, werden wir dieses schnellstmöglich beheben.

Liebe Gr√ľ√üe,
Plex

[zum Seitenanfang]  
Datenleak: Wir bitten unsere Mitglieder nach Hacker-Attacke um Entschu [Re: Ampelmännchen+w] - #2916245 - 08.09.2018, 12:38:27
HolgiAdministrator
​Knuddelsteam

Registriert: 02.02.2003
Beiträge: 1.502
Ort: Karlsruhe
Liebe Knuddelsfreunde,


Wir bitten euch nach einer Hacker-Attacke um Entschuldigung.

Knuddels.de ist 19 Jahre nach ihrer Gr√ľndung erstmals Opfer eines erfolgreichen Hackerangriffs geworden. Dabei wurden in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (sog. Nicknamen) und Passw√∂rter auf der Filesharing-Seite ‚Äúmega.nz‚ÄĚ ver√∂ffentlicht. Wichtig: Noch eine wichtige Information zur Emailadresse: 330.000 Emailadressen waren verifiziert, das sind die verschiedenen, eindeutigen Personen die betroffen sind.

‚ÄúWir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Beh√∂rden informiert. Der Schutz der Nutzerdaten hat f√ľr uns h√∂chste Priorit√§t‚ÄĚ, so Holger Kujath, Gr√ľnder und Gesch√§ftsf√ľhrer von Knuddels.de. ‚ÄúInsbesondere bitten wir unsere User herzlich um Entschuldigung. Um jeden weiteren m√∂glichen Schaden abzuwenden, haben wir sie wenige Stunden nach dem Hackerangriff √ľber das Datenleck via Facebook, Instagram und unser √∂ffentliches Forum in Kenntnis gesetzt. Transparenz steht f√ľr Knuddels an erster Stelle.‚ÄĚ

Nicht ermittelt werden konnte bislang, woher oder von wem die ver√∂ffentlichten Mitgliederdaten stammen. Knuddels.de hat seine bereits sehr hohen Sicherheitsstandards in den vergangenen Stunden nochmals verst√§rkt. ‚ÄúUns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein m√ľssen. Wir werden alles in unserer Macht stehende daf√ľr tun, die Dinge aufzukl√§ren und das Vertrauen zur√ľck zu gewinnen,‚ÄĚ so Kujath weiter.

Am 5. September hatten bislang unbekannte T√§ter zun√§chst 8.000 Mitgliederdaten auf der Dokument-Plattform ‚ÄúPastebin‚ÄĚ ver√∂ffentlicht. Der Eintrag dort besteht aus den Pseudonymen, Passwort, der Email-Adresse (in 57% der F√§lle), einer Angabe zum Vornamen (41%), sowie einer Angabe zum Wohnort (30%).

Am Freitag 7. September erreichte Knuddels dann die Informationen, dass ein weiterer Beitrag auf der Webseite ‚Äúmega.nz‚ÄĚ ver√∂ffentlicht wurde. Hierbei handelt es sich um einen Datensatz mit 1.872.000 Pseudonymen. Aufgrund der ver√§nderten Situation beschlossen Knuddels.de weitere Ma√ünahmen. Diese waren u.a.:

Alle Mitglieder schnellstmöglich per E-Mail zu informieren
Alle Mitglieder zu verpflichten, beim Login ein neues Passwort setzen
Mitglieder, die sich nicht √ľber ein von uns bekanntes Ger√§t einloggen, bekommen einen Link per E-Mail oder SMS zum setzen eines neuen Passworts



Die Chronologie der Ereignisse:

Mittwoch, 5. September

21.06 Uhr
Ein unbekannter Täter veröffentlichte 8.000 Mitgliederdaten auf Pastebin. Der Eintrag besteht aus Pseudonymen, Passwort, Email-Adresse (in 57% der Fälle), einer Angabe zum Vornamen (in 41% der Fälle), sowie einer Angabe zum Wohnort (in 30% der Fälle).

Ein IT-Sicherheitsmitarbeiter, welcher ein ehemaliges Mitglied von Knuddels ist, bemerkt die Veröffentlichung und wendet sich per E-Mail an Knuddels.de.

Donnerstag, 6. September

Gegen 10.40 Uhr
Die E-Mail wird vom Knuddels.de-Supportteam gelesen und die Informationen unverz√ľglich im Unternehmen geteilt.

13.45 Uhr
Bis zu diesem Zeitpunkt √úberpr√ľfung des Datensatzes auf Authentizit√§t sowie erste Direktma√ünahmen zum Schutz der betroffenen 8.000 Mitglieder. Zudem wurden weitere Sofortma√ünahmen f√ľr alle Nutzer beschlossen:
  • Die L√∂schung der Daten auf Pastebin
  • Vorl√§ufige Deaktivierung aller bekannten, betroffenen Zugangsdaten
  • Das Entfernen von noch unverschl√ľsselten Passw√∂rtern in allen Datens√§tzen
  • Die Erarbeitung einer Komponente, die alle Mitglieder direkt nach dem Login auf eine Seite zur Neusetzung des Passworts f√ľhrt
  • √úberpr√ľfung der Server auf m√∂gliche Angriffsvektoren
  • Benachrichtigung des Datenschutzbeauftragen von Knuddels.de

Freitag, 7. September

1.30 Uhr
Fertigstellung der o.g. Maßnahmen

2 Uhr
Der Server von Knuddels.at wird aktualisiert.

7 Uhr
Mit dem Update von Knuddels.de gehen alle Ma√ünahmen auch hier live. Gleichzeitig werden alle Mitglieder in unserem √∂ffentlichen Forum sowie √ľber Facebook und Instagram √ľber die Ma√ünahmen und den uns zu dem Zeitpunkt bekannten Datenleak informiert.

14.24 Uhr
Knuddels.de wird von einem Community-Mitglied ein Link zum Forum ‚Äěnulled.to‚Äú zugeschickt, in dem zus√§tzlich zu dem uns bekannten Pastebin-Leak ein weiterer Link zu Pastebin mit 8.000 weitere Datens√§tzen verlinkt war. Zudem enth√§lt der Beitrag einen Link zu ‚Äěmega.nz‚Äú, unter dem ein Datensatz mit 1.872.000 Pseudonymen ver√∂ffentlicht ist.

Aufgrund der veränderten Situation beschließen wir weitere Maßnahmen:
  • Alle Mitglieder schnellstm√∂glich per E-Mail zu informieren
  • Alle Mitglieder m√ľssen beim Login ein neues Passwort setzen
  • Mitglieder die sich nicht √ľber ein von uns bekanntes Ger√§t einloggen bekommen einen Link per E-Mail oder SMS zum setzen eines neuen Passworts
  • Logfiles, die m√∂glicherweise Mitgliederdaten enthalten k√∂nnten werden verschl√ľsselt


16.56 Uhr
Knuddels.de informiert seine Mitglieder √ľber das Forum sowie Facebook und Instagram.


Gegen 22 Uhr
Die weiteren Maßnahmen werden auf Knuddels.at ausgerollt

Gegen 22:45
Jetzt werden die neuen Maßnahmen auch auf Knuddels.de ausgerollt. Gleichzeitig beginnt der Versand von E-Mails, die auf den Datenleak hinweisen und in denen die Mitglieder gebeten werden, ihre Daten auf allen Plattformen zu ändern, auf denen sie dieselben oder ähnliche Accountdaten nutzen.

---



Diese Mitteilung werden wir gleich auch an die Presse geben. Auch Namen des ganzen Knuddelsteams: Es tut uns echt leid, dass das passiert ist. Wir arbeiten durchgehend an der Aufarbeitung.

Knuddelige Gr√ľ√üe,
Holgi

[zum Seitenanfang]  
Re: Datenleak: Wir bitten unsere Mitglieder nach Hacker-Attacke um Entschu [Re: Holgi] - #2916253 - 08.09.2018, 14:19:54
PlexxAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 126
Hallo,

bei unserer Untersuchung des Datenleaks haben wir eine erste m√∂gliche Schwachstelle gefunden, die f√ľr das Leak verantwortlich sein k√∂nnte.
Es handelt sich um einen Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war.
Wir haben diesen Server als Sofortmaßnahme abgeschaltet.

Wir untersuchen den Fall nat√ľrlich weiter.

Liebe Gr√ľ√üe,
Plex

[zum Seitenanfang]  
Warum wurden Passw√∂rter unverschl√ľsselt gespeichert? [Re: Plexx] - #2916515 - 10.09.2018, 15:48:52
PlexxAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 126
Hallo,

wir sind euch eine Antwort auf die berechtigte Frage "Warum wurden Passw√∂rter unverschl√ľsselt gespeichert?" schuldig.

Im Jahr 2012 wurde die Speicherung der Passw√∂rter als Hash eingef√ľhrt. Die nicht gehashte Version der Passw√∂rter blieb allerdings auch zus√§tzlich erhalten.
Hintergrund war der Passwort-Filter, der verhindert hat, dass man als Nutzer sein eigenes Passwort vorw√§rts und r√ľckw√§rts geschrieben in Chat-Gespr√§chen weitergeben kann. Der Passwort-Filter wurde vor mehr als 10 Jahren eingef√ľhrt. Damals kam es zu massivem Missbrauch durch die unvorsichtige Weitergabe von Passw√∂rtern, vor denen wir unsere Nutzer sch√ľtzen wollten.
Die ungehashte Version der Passw√∂rter, wie auch den Filter, haben wir am vergangenen Freitag um 7 Uhr gel√∂scht bzw. abgestellt. Es tut uns leid, dass wir diesen Schritt nicht schon fr√ľher unternommen haben.

In den letzten Tagen haben sich bereits einige von euch beschwert, dass der Passwort-Filter nicht mehr funktioniert. Grund daf√ľr ist die L√∂schung der unverschl√ľsselten Passw√∂rter. Wir werden den Passwort-Filter nicht wieder aktivieren. Deshalb ist es nun noch wichtiger, sein Passwort niemals weiterzugeben

Liebe Gr√ľ√üe,
Plex

[zum Seitenanfang]  
Update zum Datenleak [Re: Plexx] - #2924019 - 21.11.2018, 23:02:11
PlexxAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 126
Hallo alle zusammen,

wir m√∂chten euch abschlie√üend √ľber die Entwicklungen in Bezug auf das Datenleak informieren:

Wir haben eine turbulente Zeit hinter uns, der Hackerangriff war eine echte Belastungsprobe f√ľr uns. Durch schnelles und konsequentes Handeln konnten wir die Sicherheit auf Knuddels wahren und einen Schaden f√ľr unsere Nutzer vermeiden. Das Datenleak hat aber auch gezeigt, dass unsere Sicherheitsma√ünahmen noch nicht ausreichend waren und so haben wir alles daran gesetzt Knuddels noch sicherer zu machen.
Unser Team hat seit dem Datenleak an weiteren Verbesserungen unserer IT-Sicherheit gearbeitet. Daf√ľr haben wir das Release von anderen Projekten, wie zum Beispiel dem neuen K3 Messenger, nach hinten verschoben. Diese Fokussierung auf die IT-Sicherheit von Knuddels war wichtig und richtig.
Zu diesem Ergebnis ist auch die baden-w√ľrttembergischen Aufsichtsbeh√∂rde f√ľr den Datenschutz gekommen, der wir den Vorfall direkt gemeldet hatten. Die Beh√∂rde erlegt uns ein Bu√ügeld auf, w√ľrdigt dabei aber insbesondere, dass wir in der gegebenen Situation beispielhaft gehandelt haben, sowohl in Bezug auf umfassende Information und Transparenz als auch in Bezug auf die Umsetzung von technischen Ma√ünahmen zur Verbesserung der Datensicherheit.
Damit ist f√ľr uns die Sache aber nicht abgeschlossen, wir werden auch weiterhin einen besonderen Fokus auf die kontinuierliche Verbesserung unserer IT-Sicherheit legen.

Wir danken euch sehr f√ľr eure Unterst√ľtzung in den trubeligen Zeiten, das hat uns sehr geholfen. Besonders die Unterst√ľtzung der Administration und vieler weiterer engagierter Nutzer m√∂chten wir da unterstreichen:
Toll, dass man sich auf euch verlassen kann und dass ihr zu uns gehalten habt.

Liebe Gr√ľ√üe,
Plex

[zum Seitenanfang]  


Moderator(en):  lutz39, xX Liil Welle <33 Xx 
momentan inaktiv: Mister Prince