1. Das FEUERWERK Forum gegen Goliath: Aktionen zur Stärkung einer positiven Darstellung von Feuerwerk im Internet und in anderen Medien. PRO FEUERWERK, das geht uns alle an *klick*!

Firmen & Shops Passwort Hack bei Pyroweb.de

Dieses Thema im Forum "Einkaufslisten, Pläne, Shops, Erlebnisse" wurde erstellt von acm2k, 21. Juli 2019.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Toll, dass eure Sicherheitsstandards sehr hoch sind.
    Lange Rede, kurzer Sinn.
    Wurde die Lücke gefunden und geschlossen?
     
  2. Schade, dass du unseren Post scheinbar nur überflogen hast, dennoch möchten wir dir gerne antworten. Eine abschließende Klärung eines solchen Vorfalls zieht sich in der Regel mehrere Monate (nicht nur bei uns, nur bei anderen Shops wird dazu einfach NICHTS kommuniziert), wie bereits mehrfach erwähnt. "Lücken" sind und derzeit keine bekannt, auch das hat Bertram und haben wir im Social Media Team nun mehrfach erwähnt. Der Vorfall hat weder jetzt, noch in Zukunft weitere Auswirkungen auf unseren Shop, Kundendaten usw.! Sich mit dem Thema (auch hier im Forum) zu beschäftigen ist wichtig, eine künstliche Hysterie, die eben wirklich nicht sein muss, halten wir allerdings für maßlos überzogen und unangebracht.
    Wir schreiben es gerne nochmal: Wir halten euch hier und auch gerne per Mail auf dem Laufenden zu der Thematik.
     
    pyrocologne, CeBee, tribun77 und 4 anderen gefällt das.
  3. Dann ist ja alles in Ordnung.
    Ein einfaches "ja" oder "nein" hätte genügt.

    Künstliche Hysterie? Bitte?
    Ich glaube die User möchten sich einfach nur sicher sein, dass z.B. beim Anlegen eines neuen Accounts ihre Daten nicht auf irgendeine Art und Weise abhanden kommen bzw. im Internet auftauchen.

    Die Klärung zieht sich in der Regel mehrere Monate hin?
    Wir reden nicht von der Aufarbeitung im juristischen Sinn, sondern über Sicherheit im IT-Bereich!

    Bitte nicht auf andere Shops verweisen.
    Pro-Tipp: jemanden ranlassen, der sich in dem Bereich auskennt.
    Wie erwähnt, es geht nicht um die Aufarbeitung im juristischen Sinn, sondern um Sicherheit der IT.
     
  4. Bei allem Ärgernis, das wirst Du nie sein.
     
    wgriller gefällt das.
  5. Ich versteh diese Panik mache sowieso nicht wovor habt ihr Angst?
    Ihr habt alle eure Daten im Netz ,
    bei Facebook ,WhatsApp Paypackpunkte , Ec Karten Zahlung E.bay usw. gebt ihr sogar freiwillig der Öffentlichkeit preis und hier wird ein Fass aufgemacht.
    Fahrt mal wieder runter und dieses "Mama da bestell ich nicht mehr" zwingt euch doch keiner.
    Also lasst uns lieber wieder mit Feuerwerk beschäftigen und falls ihr Fragen an Pyroweb habt oder Sorgen schreibt sie direkt an , scheinen ja schnell zu antworten.

    Ach und noch zum Schluss ihr würdet natürlich auch eure PC Schutzprogramme und Schwachstellen hier öffentlich machen um darüber zu diskutieren. Mal in Ruhe bis 10 zählen Luft holen nachdenken weiter argumentieren.
     
  6. Bis 10 zählen ist ein gutes Argument...
    Im Gegensatz zu deinen Beispielen liegen in FW-Shops ua Kopien der Personalausweise dank Altersnachweis.
    Schick mir mal eine Kopie von deinem + freifahrtsschein und ich zeige dir was man damit dolles anstellen kann.
    Zu hoffen das Kunde XY seine entwendete Email-Passwort-Kombi nicht auch woanders genutzt hat, oder es über diesen Weg erfahren hat, ist halt auch nicht das gelbe vom Ei.
     
    Brakelmann und wgriller gefällt das.
  7. #207 Pyroweb, 12. Aug. 2019
    Zuletzt bearbeitet: 12. Aug. 2019
    Reicht scheinbar nicht ganz aus, weil die Antwort ja schon an anderer Stelle MEHRFACH gegeben wurde.

    Auch hier wiederhole ich gerne die Worte von Bertram / uns ein weiteres mal. Es wird keinerlei Auswirkungen haben, weder jetzt noch in Zukunft. Auch sind nach wie vor, alle Bestellungen bei den Kundenkonten hinterlegt. Alles weitere wird geprüft und zeitnah mit euch kommuniziert, sofern sich etwas tut.

    Die Sicherheit der Shops & weiterer Daten an sich, war niemals gefährdet. Dieser, nennen wir es mal Leak muss analysiert und ausgewertet werden und sowas geht eben auch nach deinem "Pro-Tipp" nicht von heute auf morgen, obwohl Profis daran arbeiten. Aber um dich zu beruhigen, eine permanente Schwachstelle etc. im Shop, gibt es NICHT, sonst wäre es doch längst zu weiteren Vorkommnissen gekommen.

    Deswegen, um das Thema an dieser Stelle hoffentlich abzuschließen bis sich was neues ergibt - wir halten euch sehr gerne auf dem Laufenden, können euch aber versichern, dass weder jetzt noch in Zukunft Anlass zur Panik gegeben ist. Gerne, wiederholen wir diese Aussage so oft, bis sie jeder gelesen und verstanden hat.

    Auch dürft ihr nach wie vor gerne Kontakt mit dem Support bzw. mit dem Datenschutzbeauftragten aufnehmen.
     
    PyroFunke✸ und tribun77 gefällt das.
  8.  

  9. Ja aber es wurde ja nun am Anfang schon erwähnt das nur Mailadressen betroffen sind. Ich glaub mich zu erinnern das du sogar noch mit eingestiegen bist beim "rumalbern" bei diesem Thema.
     
  10. Ach Jungs, ihr braucht jetzt nicht das Team von Pyroweb zu fronten.
    Ich konnte von keinem irgendwelche veröffentlichten Filmchen finden, obwohl ihr nicht bezahlt habt ;)
     
    Pogomogo, Teufelslogo und tribun77 gefällt das.
  11. Man hat das Leck nach Wochen nicht gefunden geschweige denn die Anzahl eingrenzen können aber kann sich sicher sein das da nichts entwendet wurde!?
    Zeitgleich nun dieser Murks bzgl "neues Konto erstellen" ..
    Keine Ahnung welcher Praktikant da am Hebel sitzt aber Vertrauen schafft das Gesamtbild bei mir nicht.

    Ich gehöre nicht zu den Menschen die Kombination X an mehreren Orten nutzen.
    Ja, deswegen konnte ich es ANFANGS noch mit Scherzen bzw Sarkasmus aufnehmen/überspielen.
    Habe aber keine Ahnung was das an der Sachlage nun ändern sollte.
     
    _bsvag_ und zarchie1 gefällt das.
  12. Wer hier jetzt die zurecht bedenklichen Stimmen ins Lächerliche zieht versteht einfach nicht warum es schon bedenklich ist wenn die Kombination aus E-Mail Adresse und Passwort von Fremden erlangt wird...
    Die Reaktion seitens Pyroweb hat mir zumindest von Anfang an nicht das Gefühl gegeben "Okay, shit ist passiert aber Pyroweb weiß was nun zu tun ist und ich glaube das kommt nie mehr bei denen vor". Hier werden einfach nur stümperhafte Antworten gegeben und so Sprüche wie "Uns gibt es schon so lange bla bla bla..." bringt auch keinem was.
    Ich bin jetzt keiner der sagt dass ich deshalb nicht mehr bei Pyroweb bestelle, trotzdem wurde hier m.E, seitens Pyroweb SEHR schlecht kommuniziert.
     
    CeBee, _bsvag_, Brakelmann und 3 anderen gefällt das.
  13. Zitat Pyroweb

    "wie bereits mehrfach erwähnt. "Lücken" sind und derzeit keine bekannt, auch das hat Bertram und haben wir im Social Media Team nun mehrfach erwähnt"

    Zitat Pyroweb

    "Auch hier wiederhole ich gerne die Worte von Bertram / uns ein weiteres mal. Es wird keinerlei Auswirkungen haben, weder jetzt noch in Zukunft."



    Nun mal kurz reflektiert, es sind keine Lücken bekannt! aber trotzdem sind Daten verschwunden. Das passt ja nun nicht ganz zusammen.
    Desweiteren die Antwort das es keine Auswirkungen haben wird. Wie kann man so etwas versprechen wenn der Fall nicht geklärt ist bzw noch nicht mal bekannt ist, wie die Daten abhanden gekommen sind?. Um ein Problem zu verneinen müsste ich es vorher wohl auch kennen!!!
     
    CeBee, _bsvag_, Brakelmann und 2 anderen gefällt das.
  14. Wo du dich wieder rumtreibst :haehae::friendsdrink:
     
    reyzix gefällt das.

  15. Das Thema ist sicher kein schönes und verharmlosen sollte man es auch nicht.
    Aber eine Frage gestatte ich mir doch. Wie oft hast Du Deinen Personalausweis im Urlaub beim Check-In schon abgegeben?
    Hast Du da einmal nachgefragt, wann und wie die Kopie vernichtet wird?
     
  16. sie haben jetzt übrigens auf 3.4.1 geupdated. Aber in 1.12.2 gab es keine (bekannte) XSS-Lücke.
     
    Mathau gefällt das.
  17. Leute, ich weiß nicht, wie es passiert ist. Aber ich weiß, dass sich über Umwege Eintritt verschafft werden kann, die man nie für möglich halten würde. Insofern kann sich die Klärung des genauen Ablaufs sehr lange ziehen oder nie abgeschlossen sein.

    Es ist passiert und es kann überall passieren. Egal ob in einem selbstprogrammierten oder einem großen Massenshop. Das ist leider so, macht die Angelegenheit nicht besser, aber auf Antworten zu bestehen wird Euch kein Linderung verschaffen.

    Passwörter sollten nie mehrfach auf verschiedenen Seiten verwendet werden. Ich selbst verwende auch fast
    auf jeder fremden Seite eine eigene, namentlich zuordbare eMail-Adressen. Letztere wurden zB gehackt bei sehr großen Diensten/Anbietern wie Adobe, Dropbox, bit.ly...

    Es kann immer passieren, verwendet nie identische Passwörter und wenn möglich möglichst verschiedene eMail-Adressen (eine eigene Domain macht schon Vieles möglich), dann habt Ihr schon viel getan. Und trotzdem wird es wieder irgendwo passieren...
     
  18. Dann sollte ich wohl eine Rechnung für meine Arbeit hinterher schicken :D

    Die Lücke existierte tatsächlich, auch noch in nachfolgenden Versionen. Nichts desto trotz, seine Libs aktuell zu halten, sollte Standard sein. Ist ja auch schön und gut jQuery zu updaten, aber warum dann nicht gleich alle? jCarousel hat man auf eine 2015er Version gelassen...es scheint mir einfach so, dass von Seiten der Technik/Programmierung hier große Wissenslücken sind.

    Das erklärt auch, warum die Fehlersuche bzw. das Herausfinden was passiert ist so langwierig ist. Ich vermute aber auch, dass gar keine Spuren hinterlassen wurden und insofern auch keine Antwort gegeben werden kann.

    Ich finde es einfach nur traurig, dass man nicht einfach mal öffentlich schreibt (Website etc.) Leute, wir hatten eine Security Problem, eure Daten wurden geklaut, aber wir arbeiten an Lösungen, dass dies nicht wieder passiert.

    Stattdessen immer auf "Keine Ahnung" als Lösung zu bestehen ist nun mal ein echtes Armutszeugnis.
     
    Brakelmann, tommihommi1, Mathau und 3 anderen gefällt das.
  19. Haben wir nicht genau das, mehrfach hier im Forum und an anderen Stellen getan? :confused:

    Es sind / waren nun mal NICHT alle Kunden betroffen, sondern nur ein kleiner Bruchteil. Wir sehen ja, wie Vergleichsweise gering das Email aufkommen war, im Gegensatz zu dem Wind hier im Forum. Viele die hier geschrieben haben, waren gar nicht davon betroffen. Worin liegt dann der Mehrwert, Kunden direkt über die Shop Website verrückt zu machen, die gar nicht betroffen waren / sind?

    Wir möchten das Thema nicht herunterspielen, dass das passiert ist ist super ärgerlich und darf eigentlich nicht sein! Eure Kritik ist absolut nachvollziehbar, aber wie gesagt, künstlich eine Hysterie zu erzeugen die nicht sein muss, bringt am Ende nichts. Weil davon auch nichts schneller von statten gehen kann. Ich wiederhole die Aussage gerne nochmal, dass der Leak weder jetzt noch in Zukunft Auswirkungen auf eure Daten / Bestellungen haben wird. Update folgt, sobald spruchreif.

    Liebe Grüße aus dem Social Media Team von Pyroweb
     
    xPyro, Pyro-Dream, Pogomogo und 2 anderen gefällt das.
  20. Auch wenn ich finde das hier von einigen zu hart mit euch "ins Gericht gegangen wird".
    Der Mehrwert für die betroffenen Kunden liegt darin dass sie wissen das ihr Passwort nicht mehr geheim ist. Ein Großteil euer Kunden wird das selbe Passwort nicht nur bei euch sondern im schlimmsten Fall auch bei der E-Mailaddy verwendet haben. Diese Konten sind nun mal jetzt in Gefahr. Klar der Kunde trägt hier eine Mitschuld, aber die meisten Kunden sind nun mal nicht so versiert und haben keine Lust sich mehr als ein Passwort zu merken....
     
    Brakelmann gefällt das.
  21. Wahhnsinn wie hier schon wieder gehetzt wird....

    Pyroweb hat sich doch oft genug erklärt und gesagt, dass man weitere Infos geben kann sobald man welche HAT.

    Aber anstelle einfach zu akzeptieren, dass man sich aktuell darum kümmert und man sich der Sache annimmt, wissen es wieder dutzend Leute besser und es werden 100 Theorien aufgestellt - und dann zum Teil von Leuten, die nicht einmal davon betroffen sind.
    „Es gibt wahrscheinlich 1000 Sicherheitslücken“,„So jemand darf keinen Shop betreiben“,
    usw.

    Es ist ein „Fehler“ passiert und Fehler sind menschlich.
    Man hat sich entschuldig und erklärt, dass man sich dem Problem annimmt.
    Punkt.

    Mir fällt auf, dass das Forum immer wieder vermehrt zum Jammer- und Mecker-Forum wird und das dann zum Teil Ausmaße annimmt, dass man sich nur noch fremdschämen kann.
    Wer mit Pyroweb nicht zufrieden ist, braucht ja dort nicht mehr zu bestellen.
    Aber wegen so einem Problem, was JEDEM Shop passieren kann, jetzt zum Boykott aufzurufen, nachdem Pyroweb schon jahrelang das Forum unterstützt...... na das ist doch n bisschen heftig.

    Just my 2 cents.
    Lg Tobi
     
    Pyro-Dream, Pogomogo, westfeuer und 3 anderen gefällt das.
  22. Leute, ich mache hier dicht. Die Wellen kochen mir zu hoch und wie geschrieben kann/wird es keine schnellen Antworten / Lösungen geben. Und gute Vorschläge gäbe es trotzdem sicher endlos.

    Wendet Euch bei weiteren Fragen bitte wie von Pyroweb angeboten direkt an deren Datenschutzbeauftragten. Und sollte es zwischenzeitlich Neuigkeiten geben, öffne ich hier wieder.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Wir verwenden Cookies, um Benutzer angemeldet zu halten und Inhalte zu personalisieren. Wenn du dich weiterhin auf dieser Website aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Als angemeldeter Benutzer kannst du diesen Hinweis dauerhaft ausblenden.
    Information ausblenden