Du bist nicht angemeldet. [Anmelden]
Optionen
Thema bewerten
Vorsichtsmaßnahme Passwortsicherheit *** - #2916081 - 07.09.2018, 07:03:30
Ampelmännchen+wAdministratorForumssprecher
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 11.030

Hallo ihr Lieben,

wenn ihr euch im Chat einloggt, werdet ihr aktuell gebeten euer Passwort zu ändern.
Das ist eine Vorsichtsmaßnahme.
Es wurden Accountdaten von Knuddels im Internet veröffentlicht. Auch wenn uns derzeit keine Fremdnutzung bekannt ist, haben wir diese Accounts zu ihrer Sicherheit vorläufig deaktiviert. Wir prüfen aktuell, ob eine Sicherheitslücke bei uns auf der Plattform vorliegt. Sobald uns weitere Informationen vorliegen, sagen wir euch natürlich Bescheid. Bei Problemen und Fragen steht unser Support unter community@knuddels.de zur Verfügung.

Bitte nutzt zur Sicherheit den Hinweis beim Login und ändert euer Passwort.

Cheerio,
das Knuddelsteam
_________________________
if you never try anything new, you'll miss out on many of life's great disappointments.

[zum Seitenanfang]  
Re: Vorsichtsmaßnahme Passwortsicherheit [Re: Ampelmännchen+w] - #2916150 - 07.09.2018, 16:56:46
PlexAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 119
Hallo,

wie wir bereits heute morgen schrieben, sind Accountdaten von Knuddels im Internet veröffentlicht worden. Als wir von der Veröffentlichung erfahren haben, haben wir umgehend Sicherheitsmaßnahmen eingeleitet, wie zum Beispiel die Aufforderung zur Änderung des Passworts.
Wie uns mittlerweile bekannt ist, wurden die Daten der Nutzer veröffentlicht, die am 20.07.2018 einen Account bzw. Nick bei Knuddels.de hatten.

Was solltet ihr jetzt tun?
Der wichtigste, erste Schritt ist, dass ihr eure Passwörter ändert. Habt ihr das heute schon getan, ist alles in Ordnung. Habt ihr das bisher nicht getan, erledigt das bitte sofort. Loggt euch bitte einfach in den Chat ein und folgt den dortigen Anweisungen.
Solltet ihr dasselbe oder ein sehr ähnliches Passwort auch auf anderen Seiten verwenden, ändert es bitte umgehend auch dort.

Was wurde veröffentlicht?
Die veröffentlichten Daten enthalten neben Nick und Passwort auch (wenn vorhanden) e-Mail-Adresse (in 57% der Fälle), Stadt (in 30% der Fälle) und Name im Profil (in 41% der Fälle).

Was tun wir?
Wir haben unmittelbar Sicherheitsmaßnahmen eingeleitet und arbeiten auch weiterhin daran herauszufinden, wie diese Daten veröffentlicht werden konnten. Sollte es ein Sicherheitsproblem geben, werden wir dieses schnellstmöglich beheben.

Liebe Grüße,
Plex

[zum Seitenanfang]  
Datenleak: Wir bitten unsere Mitglieder nach Hacker-Attacke um Entschu [Re: Ampelmännchen+w] - #2916245 - 08.09.2018, 12:38:27
HolgiAdministrator
​Knuddelsteam

Registriert: 02.02.2003
Beiträge: 1.500
Ort: Karlsruhe
Liebe Knuddelsfreunde,


Wir bitten euch nach einer Hacker-Attacke um Entschuldigung.

Knuddels.de ist 19 Jahre nach ihrer Gründung erstmals Opfer eines erfolgreichen Hackerangriffs geworden. Dabei wurden in den vergangenen Tagen rund 808.000 Email-Adressen sowie 1.872.000 Pseudonyme (sog. Nicknamen) und Passwörter auf der Filesharing-Seite “mega.nz” veröffentlicht. Wichtig: Noch eine wichtige Information zur Emailadresse: 330.000 Emailadressen waren verifiziert, das sind die verschiedenen, eindeutigen Personen die betroffen sind.

“Wir haben bereits alle erforderlichen Schritte in die Wege geleitet und die Behörden informiert. Der Schutz der Nutzerdaten hat für uns höchste Priorität”, so Holger Kujath, Gründer und Geschäftsführer von Knuddels.de. “Insbesondere bitten wir unsere User herzlich um Entschuldigung. Um jeden weiteren möglichen Schaden abzuwenden, haben wir sie wenige Stunden nach dem Hackerangriff über das Datenleck via Facebook, Instagram und unser öffentliches Forum in Kenntnis gesetzt. Transparenz steht für Knuddels an erster Stelle.”

Nicht ermittelt werden konnte bislang, woher oder von wem die veröffentlichten Mitgliederdaten stammen. Knuddels.de hat seine bereits sehr hohen Sicherheitsstandards in den vergangenen Stunden nochmals verstärkt. “Uns ist bewusst, dass Daten, die uns unsere Community anvertraut, sicher sein müssen. Wir werden alles in unserer Macht stehende dafür tun, die Dinge aufzuklären und das Vertrauen zurück zu gewinnen,” so Kujath weiter.

Am 5. September hatten bislang unbekannte Täter zunächst 8.000 Mitgliederdaten auf der Dokument-Plattform “Pastebin” veröffentlicht. Der Eintrag dort besteht aus den Pseudonymen, Passwort, der Email-Adresse (in 57% der Fälle), einer Angabe zum Vornamen (41%), sowie einer Angabe zum Wohnort (30%).

Am Freitag 7. September erreichte Knuddels dann die Informationen, dass ein weiterer Beitrag auf der Webseite “mega.nz” veröffentlicht wurde. Hierbei handelt es sich um einen Datensatz mit 1.872.000 Pseudonymen. Aufgrund der veränderten Situation beschlossen Knuddels.de weitere Maßnahmen. Diese waren u.a.:

Alle Mitglieder schnellstmöglich per E-Mail zu informieren
Alle Mitglieder zu verpflichten, beim Login ein neues Passwort setzen
Mitglieder, die sich nicht über ein von uns bekanntes Gerät einloggen, bekommen einen Link per E-Mail oder SMS zum setzen eines neuen Passworts



Die Chronologie der Ereignisse:

Mittwoch, 5. September

21.06 Uhr
Ein unbekannter Täter veröffentlichte 8.000 Mitgliederdaten auf Pastebin. Der Eintrag besteht aus Pseudonymen, Passwort, Email-Adresse (in 57% der Fälle), einer Angabe zum Vornamen (in 41% der Fälle), sowie einer Angabe zum Wohnort (in 30% der Fälle).

Ein IT-Sicherheitsmitarbeiter, welcher ein ehemaliges Mitglied von Knuddels ist, bemerkt die Veröffentlichung und wendet sich per E-Mail an Knuddels.de.

Donnerstag, 6. September

Gegen 10.40 Uhr
Die E-Mail wird vom Knuddels.de-Supportteam gelesen und die Informationen unverzüglich im Unternehmen geteilt.

13.45 Uhr
Bis zu diesem Zeitpunkt Überprüfung des Datensatzes auf Authentizität sowie erste Direktmaßnahmen zum Schutz der betroffenen 8.000 Mitglieder. Zudem wurden weitere Sofortmaßnahmen für alle Nutzer beschlossen:
  • Die Löschung der Daten auf Pastebin
  • Vorläufige Deaktivierung aller bekannten, betroffenen Zugangsdaten
  • Das Entfernen von noch unverschlüsselten Passwörtern in allen Datensätzen
  • Die Erarbeitung einer Komponente, die alle Mitglieder direkt nach dem Login auf eine Seite zur Neusetzung des Passworts führt
  • Überprüfung der Server auf mögliche Angriffsvektoren
  • Benachrichtigung des Datenschutzbeauftragen von Knuddels.de

Freitag, 7. September

1.30 Uhr
Fertigstellung der o.g. Maßnahmen

2 Uhr
Der Server von Knuddels.at wird aktualisiert.

7 Uhr
Mit dem Update von Knuddels.de gehen alle Maßnahmen auch hier live. Gleichzeitig werden alle Mitglieder in unserem öffentlichen Forum sowie über Facebook und Instagram über die Maßnahmen und den uns zu dem Zeitpunkt bekannten Datenleak informiert.

14.24 Uhr
Knuddels.de wird von einem Community-Mitglied ein Link zum Forum „nulled.to“ zugeschickt, in dem zusätzlich zu dem uns bekannten Pastebin-Leak ein weiterer Link zu Pastebin mit 8.000 weitere Datensätzen verlinkt war. Zudem enthält der Beitrag einen Link zu „mega.nz“, unter dem ein Datensatz mit 1.872.000 Pseudonymen veröffentlicht ist.

Aufgrund der veränderten Situation beschließen wir weitere Maßnahmen:
  • Alle Mitglieder schnellstmöglich per E-Mail zu informieren
  • Alle Mitglieder müssen beim Login ein neues Passwort setzen
  • Mitglieder die sich nicht über ein von uns bekanntes Gerät einloggen bekommen einen Link per E-Mail oder SMS zum setzen eines neuen Passworts
  • Logfiles, die möglicherweise Mitgliederdaten enthalten könnten werden verschlüsselt


16.56 Uhr
Knuddels.de informiert seine Mitglieder über das Forum sowie Facebook und Instagram.


Gegen 22 Uhr
Die weiteren Maßnahmen werden auf Knuddels.at ausgerollt

Gegen 22:45
Jetzt werden die neuen Maßnahmen auch auf Knuddels.de ausgerollt. Gleichzeitig beginnt der Versand von E-Mails, die auf den Datenleak hinweisen und in denen die Mitglieder gebeten werden, ihre Daten auf allen Plattformen zu ändern, auf denen sie dieselben oder ähnliche Accountdaten nutzen.

---



Diese Mitteilung werden wir gleich auch an die Presse geben. Auch Namen des ganzen Knuddelsteams: Es tut uns echt leid, dass das passiert ist. Wir arbeiten durchgehend an der Aufarbeitung.

Knuddelige Grüße,
Holgi

[zum Seitenanfang]  
Re: Datenleak: Wir bitten unsere Mitglieder nach Hacker-Attacke um Entschu [Re: Holgi] - #2916253 - 08.09.2018, 14:19:54
PlexAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 119
Hallo,

bei unserer Untersuchung des Datenleaks haben wir eine erste mögliche Schwachstelle gefunden, die für das Leak verantwortlich sein könnte.
Es handelt sich um einen Backupserver, auf dem nicht die neueste Betriebssystemversion installiert war.
Wir haben diesen Server als Sofortmaßnahme abgeschaltet.

Wir untersuchen den Fall natürlich weiter.

Liebe Grüße,
Plex

[zum Seitenanfang]  
Warum wurden Passwörter unverschlüsselt gespeichert? [Re: Plex] - #2916515 - 10.09.2018, 15:48:52
PlexAdministrator
​Knuddelsteam

Registriert: 08.04.2003
Beiträge: 119
Hallo,

wir sind euch eine Antwort auf die berechtigte Frage "Warum wurden Passwörter unverschlüsselt gespeichert?" schuldig.

Im Jahr 2012 wurde die Speicherung der Passwörter als Hash eingeführt. Die nicht gehashte Version der Passwörter blieb allerdings auch zusätzlich erhalten.
Hintergrund war der Passwort-Filter, der verhindert hat, dass man als Nutzer sein eigenes Passwort vorwärts und rückwärts geschrieben in Chat-Gesprächen weitergeben kann. Der Passwort-Filter wurde vor mehr als 10 Jahren eingeführt. Damals kam es zu massivem Missbrauch durch die unvorsichtige Weitergabe von Passwörtern, vor denen wir unsere Nutzer schützen wollten.
Die ungehashte Version der Passwörter, wie auch den Filter, haben wir am vergangenen Freitag um 7 Uhr gelöscht bzw. abgestellt. Es tut uns leid, dass wir diesen Schritt nicht schon früher unternommen haben.

In den letzten Tagen haben sich bereits einige von euch beschwert, dass der Passwort-Filter nicht mehr funktioniert. Grund dafür ist die Löschung der unverschlüsselten Passwörter. Wir werden den Passwort-Filter nicht wieder aktivieren. Deshalb ist es nun noch wichtiger, sein Passwort niemals weiterzugeben

Liebe Grüße,
Plex

[zum Seitenanfang]  


Moderator(en):  lutz39, Vicktori, xXsmartlXx