Layer-ads die zweite

In der Nacht habe ich folgendes Schreiben erhalten was ich einfach zwichendrin Kommentiere:

Liebe Webmaster,
Verehrte Partner,

aufgrund der aktuellen Ereignisse erhalten Sie diese Mail.
Es geht um Ihre Mitgliedschaft bei Layer-Ads und der Tatsache,
dass interne Daten von uns der Öffentlichkeit zugänglich gemacht
wurden. Wir möchten etwas Licht in das Dunkel der Lügen, Gerüchte
und Fehlinformationen bringen und die in den letzten Stunden in
diversen Foren, Blogs oder zweifelhaften Newsseiten kursieren und
unser Handeln kurz erläutern.

Ok, es gibt eine Menge Leute die auch Lügen über Layer-Ads verbreiten, aber nicht alle. Und daher fühle ich mich angesprochen wenn ich Lügen lese. Mein gehackter Account ist keine Lüge, sondern eine Tatsache!

Vor ca. 24 Stunden erhielten wir zunächst nur die Information, dass
es irgendwo ein Backup unserer Datenbank gäbe und das diese einigen
wenigen Personen zugänglich gemacht wurde. Nach kurzer Zeit wurde diese
Datei auch der Öffentlichkeit zugänglich gemacht. Wir haben einige
Zeit gebraucht, um auf diese Tatsache zu reagieren. Ausserdem mussten wir
erst die Echtheit dieser Datei überprüfen. Vorsorglich haben wir SOFORT alle
Passwörter geändert, um weiteren Mißbrauch zu unterbinden.
Dazu wurden alle Mitglieder von uns angemailt und über die Änderung informiert.

Das war auch gut so. Sonst wäre meine Layer-Ads Geld weg. Ich habe hier gespeicherte Forenbeiträge, wo User bis zu 28 E-Mails erhalten habe das ihr Passwort geändert wurde. Nur das es nicht Ihre Passwörter waren, sondern die anderer Kunden.

Seit diesem Zeitpunkt explodieren unsere Postfächer. Besorgte Mitglieder
haben sich bei uns gemeldet und uns Ihre Probleme mitgeteilt. Durch diese
Situation waren wir zunächst sehr überfordert, so dass eine Komunikation
von unserer Seite zunächst ausblieb. DAFÜR MÖCHTEN WIR UNS ENTSCHULDIGEN
und mit dieser Mail zumindest ein paar Informationen zu der veröffentlichten
Datei geben.

Gut das es andere, die garnicht bei Layer-Ads arbeiten, vorher getan haben.
Das überprüfen der Datei und das Benachrichtigen habe Hacker schneller geschafft als Layer-Ads.

* Die enthaltenen Daten sind echt.
* Die Datei ist wohl durch eine Sicherheitslücke in einer von uns verwendeten
Administrationsoftware gestohlen worden.
* Das Backup stammt soweit wir dies nachvollziehen können vom 24. November 2005
* Dabei wurden sämtliche Daten gesichert, die wir zu unseren Mitgliedern speichern
bis einschließlich ID ****. Alle höheren IDs sind nicht betroffen.

Komisch. Es wir garnicht erwähnt das die Daten offen lagen. Wenn ihr euch in einem Forum registriert. Egal ob wbb, phpkit oder phpbb dann werden eure Passwörter verschlüsselt. Die kann dann nicht mal mehr der Admin sehen. Das weiss ich, weil ich auf FunOnly.com eine über 1100 User starke Community betreibe und nie die Passwörter sehen kann, weil die mit MD5 verschlüsselt sind. Die zu knacken ist fast nicht möglich und dauert ewig.

Dieser Umstand ist für uns, genau wie für sie sehr ärgerlich. Es liegt aber
entgegen o. g. Berichten kein schuldhaftes Verhalten von uns vor. Dieses
Problem hätte jeden anderen Werbevermarkter ebenso treffen können. Wir
verstehen Ihre Verärgerung darüber, können aber im Moment nur sehr
eingeschränkt handeln, auch um Ihre Rechte zu schützen. Ein übereilter
Schnellschuß kann KEINE Lösung sein.

Und genau das ist der Moment wo nicht nur ich einen dicken Hals bekomme. Es liegt ein Schuldhaftes Verhalten vor. Weder waren die Daten verschlüsselt, noch wurden wir darüber Informiert das die Daten jemand besitzt.
Mir wurde nur mitgeteilt das die Passwörter geändert wurden.
Das Layer-ads im ersten Moment nicht darüber nachgedacht hat welche Konsequenzen das hat, das die Hacker die Daten weiter benutzen um Paypal Account zu hacken, das kann man Ihnen nicht übel nehmen. Aber das Layer-Ads das nicht bekannt gibt, das nehme ich übel. Weil mir wäre einfallen was passieren kann wenn einer meine Daten hat!

Daher bitten wir Sie vorerst folgende Sicherheitsmaßnahmen zu trefen:
* Sollten Sie bei uns ein Standardpasswort verwendet haben, ändern Sie
dieses bei allen anderen Anbietern, vor allem bei wichtigen Diensten wie
Paypal oder ebay.
* Wundern Sie sich nicht, wenn Sie zunächst keine Antwort auf Ihre eMails,
Supporttickets oder Forenbeiträge bekommen. Einige der Forenbeiträge sind nur
dazu da, Sie als unsere Mitglieder zu verunsichern oder uns durch Halbwahrheiten
zu diskreditieren.

Und was ist mit denen die auf Tatsachen beruhen? Auch einfach nicht darauf antworten und so tun als würde ich lügen.
Danke Layer-Ads. Die Forenanmeldung muss erst durch einen Admin freigegeben werden. Da mein Account immer noch nicht freigegeben ist gehe ich davon aus das ihr Angst habe noch mehr Leute kommen und sagen was passiert ist.
Ich hatte einen Aktiven Account. Ich habe auch hier nur meine E-Mail Adresse und Passwort aus sicherheitsgründen geändert und jetzt komme ich nicht mehr ins Forum.

* Bewahren Sie bitte Ruhe. Unsere Datenbank ist weder für jeden einsehbar, noch ist
unser Dienst so unsicher, wie es in einigen Foren dargestellt wird. Ein Indiz
dafür ist z. B. die Tatsache, dass es sich um ein altes Backup und nicht um
aktuelle Daten handelt.

Aha, und wie ist man an das alte Backup gekommen? Liegen alte Backups nicht so sicher wie die neuen ?

* Wir nehmen alle Ihre Bedenken sehr ernst und bemühen uns um schnelle Hilfe.
Dennoch kann dies länger dauern, als sie es von uns gewöhnt sind.

Wir werden Sie in Kürze über alle Hintergründe umfassend informieren. möchten
uns aber zunächst rechtlich absichern. Durch die Ereignisse der letzten Stunden
kann es morgen abend ab 22 Uhr zu kurzem Ausfällen aufgrund von Wartungsarbeiten
kommen.

Wartungsarbeiten ……….

Gruß
Ihr Layer-Ads Team
Jens Reimer Oliver Sperke

Ihr mich auch!
Das jemand gehackt wir kann passieren. Das jemand seine Daten nicht verschlüsselt hat darf nicht passieren – kann aber-
Das aber das gehackte erst so tut als wäre nix, dann versucht den Schaden gering zu halten und zum Schluß uns als Lügner darzustellen finde ich das letze. Hier wird nicht gesagt das es auch geschädigte wie micht gibt. Hier wird nur von Lügnern und Fehlinformationen erzählt.

Das ist der Grund warum ich immer alle Chatlogs, Forenbeiträge und E-Mails sichere.

Für mich ist Layer-ads gestorben. Fehler passieren auch mir, aber ich stehe in der ersten Minute dazu!

3 Kommentare
  1. Nobby
    Nobby says:

    Wer als Administrator Kundendaten verwaltet und aufgrund bekanntgewordener Sicherheitslücken seine Software nicht auf dem aktuellen Stand hält, macht sich u.U. zivilrechtluch mitverantwortlich, wenn Kundendaten geklaut werden.
    Wie man auf Sourceforge nachlesen kann (Link: http://sourceforge.net/news/?group_id=23067 ), war zum Zeitpunkt des Datendiebstahls 24.11.05 die Version 2.6.4-pl4 von phpMyAdmin aktuell – mit Version 2.6.1 soll der Datendiebstahl begangen worden sein. Da sind mal locker 5 Versionen dazwischen (die Release Candidates mal ausgenommen, das sind Testversionen).

    Daß jemand die Liste veröffentlicht und noch jemand anderes dadurch fremde Paypal-Konten benutzt, ist rechtlich davon unabhängig zu würden.

    Nicht vergessen werden sollte auch, daß jeder selbst für sichere Kennwörter zu sorgen hat. Der Zugriff zum Paypalkonto hätte alleine mit einem anderen Paßwort verhindert werden können.

    Antworten
  2. Christian
    Christian says:

    <blockquote cite="">Das jemand gehackt wir kann passieren. Das jemand seine Daten nicht verschlüsselt hat darf nicht passieren – kann aber-</blockquote>Du verschlüsselst Deine Daten in Deiner Datenbank? DAS möchte ich sehen!

    Antworten
  3. Heiko
    Heiko says:

    Egal in welchem Projekt ich bis jetzt meine finger hatte waren alle Passwörter mit mindestens MD5 verschlüsselt!
    Jede Freeboard Software beinhaltet sowas!

    Antworten

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.