News Mindfactory-Kundendaten machen im Netz die Runde
- Ersteller MichaG
- Erstellt am
- Zur News: Mindfactory-Kundendaten machen im Netz die Runde
- Status
Q
quityper
Gast
VAIO schrieb:
"...Bitte beachten Sie, dass die veröffentlichte Meldung auf Heise fehlerhaft ist und so nicht der Stellungnahme der Mindfactory AG entspricht....".
Steht auch dort. Was stimmt jetzt? Habe mal beide Aussagen kopiert. Jetzt mach mal langsam mit deinem Hetz-Aufruf zur Anzeige. Es war ein Cackerangriff, der auch schon Microsoft, Google, Mastercard, NSA usw. in den vergangenen Jahren betroffen hat. Woher hat wohl Wikileaks ihre Daten?
Es war nur eine Frage der Zeit wen es als nächsten zuerst erwischt. Nach Aussage von GData wird durch Internetbetrug mehr Geld gemacht als mit Drogen.
Ich sehe, dass auch Updates von Computerbase kommen, also mal langsam und einfach mitlesen.
Sag mal, ist das für dich jetzt ein Weltuntergang oder was ist eigentlich los?
Wer sich im Internet neben einem Grundschutz, der natürlich vorhanden sein muss, ganz auf andere verlässt hat schon verloren. Ohne Eigenschutz geht es halt nicht.
Heise:
"Mindfactory-Kundendaten kursieren im Netz
Im Internet sind mehrere Listen mit zehntausenden Adressen, Telefonnummern und Mailadressen deutscher Privatpersonen und Firmen aufgetaucht, wie unser Leser Marcel Zamzow gemeldet hat. Bei den Datensätzen handelt es sich unter anderem um Kundendaten des Onlinehändlers Mindfactory, die Kriminelle im Februar dieses Jahr gestohlen haben. "Wir haben diese Liste durch Stichproben mit unseren Kundendaten abgeglichen und konnten zumindest teilweise sicherstellen, dass es sich hierbei um Adressen aus unserem Datenbestand handelt", bestätigt Mindfactory-Sprecher Daniel Canoa gegenüber heise Security. Das Unternehmen hat den Hoster der Liste mit anwaltlicher Unterstützung aufgefordert, die Daten aus dem Netz zu entfernen.
Laut Mindfactory sollen sich unter den Datensätzen auch Personen befinden, die nicht Kunde des Onlinehändlers sind. Das würde darauf hindeuten, dass es noch weitere Quellen gibt. Von der ersten großen Spamwelle nach dem Einbruch waren ebenfalls Nutzer betroffen, die nicht mit Mindfactory in Verbindung standen. Über den Umfang der gestohlenen Daten konnte Mindfactory keine Auskunft geben.
Der Eindringling soll sich Anfang dieses Jahres über einen Account der Geschäftsleitung Zugriff zum Shopsystem verschafft und so die Kundendaten entwendet haben, so der Sprecher. Mindfactory hat eigenen Angaben zufolge einen Spamversender aus Deutschland, der im großen Stil Werbemails an die geklauten Mailadressen geschickt hat, per einstweiliger Verfügung gestoppt und Anzeige erstattet. "Die weiteren Ermittlungen ergaben leider nur Hinweise über eine vermutliche Briefkastenfirma in Slowenien", so der Sprecher. Die Ermittlungen würden jedoch weiter andauern. Seine Kunden hat das Unternehmen bislang nicht selbstständig über den Datendiebstahl informiert. (rei) "
Mindfactory
"Sehr geehrte Kunden,
aufgrund der jüngsten Ereignisse wollen wir Sie hier noch einmal über den aktuellen Stand informieren.
Im Februar haben wir aufgrund Kundenbeschwerden festgestellt, dass Kunden der Mindfactory AG Spam-Mails von Dritten erhalten haben. Anhand verschiedener E-Mail-Adressen, die Kunden einzig für die Bestellung bei uns genutzt hatten, konnten wir verifizieren, dass es sich tatsächlich um E-Mail-Adressen aus dem Bestand der Mindfactory AG handelt. Die Mindfactory AG hat zu keiner Zeit Ihre E-Mail-Adressen an Dritte weitergegeben. Wir haben unverzüglich nach Bekanntwerden der Beschwerden unser IT-System überprüft. Daraufhin stellte sich heraus, dass sich Hacker trotz erheblicher Sicherheitsvorkehrungen über einen Administratoren-Account Zugang zum Server verschafft haben und Kundendaten entwendet haben.
Die Mindfactory AG hat daraufhin unverzüglich die Kripo Wilhelmshaven eingeschaltet. Diese hat unmittelbar nach Bekanntwerden die Ermittlungen aufgenommen. Weiter sind wir mit unseren Rechtsanwälten zivilrechtlich gegen den in Deutschland ansässigen Webhoster und den Provider vorgegangen, der die Software zum Versand der Spam-E-Mails bereitgestellt hat. Dieser hat sodann den kompletten Account seines Kunden gesperrt. Beim eigentlichen Spam-Versender handelt es sich wohl um eine Briefkastenfirma in Slowenien. Das Ermittlungsverfahren läuft derzeit noch. Aufgrund des zivilrechtlichen Vorgehens ist jedoch sichergestellt, dass über den Webhoster oder den Provider der Software zum Versand der E-Mails keine weiteren E-Mails versendet werden, da diese sich ansonsten zivilrechtlich und strafrechtlich haftbar machen würden.
Ebenso haben wir festgestellt, dass im Internet auf einer in USA gehosteten Domain Listen mit mehreren tausend Daten von Mindfactory-Kunden aufgetaucht sind. Wir haben dort bereits unsere Rechtsanwälte eingeschaltet.
Auch haben wir aufgrund des Datendiebstahls nochmals unsere Sicherheitsvorkehrungen verschärft. Es sind definitiv keine Passwörter, Bank- oder Kreditkartendaten von Kunden ausgespäht worden. Die Mindfactory AG hatte unmittelbar nach Bekanntwerden des Datendiebstahls eine Pressemeldung herausgegeben. Ebenso stehen wir in Verbindung mit den Datenschutzbehörden. Derzeit werten wir die Listen der E-Mail-Adressen aus. Durch die aktuellen Erkenntnisse steht nun fest, dass nur ein kleiner Anteil der Kundendaten der Mindfactory AG betroffen ist.
Wir bedauern zutiefst, dass Ihre Adress- und E-Mail-Daten Opfer eines Datendiebstahls wurden. Hierfür entschuldigen wir uns.
Gerne können Sie uns jederzeit Informationen über die E-Mail-Adresse spamproblem@mindfactory.de zukommen lassen. Wir werden diese Informationen dann der Kriminalpolizei in Wilhelmshaven zukommen lassen. Selbstverständlich gehen wir auch mit Hilfe unserer Anwälte zivilrechtlich und strafrechtlich gegen jegliche missbräuchliche Verwendung Ihrer E-Mail-Adressen oder Adressdaten vor, um Ihre Kundendaten zu schützen. Bitte lassen Sie uns gegebenenfalls entsprechende Informationen ebenfalls an die obige E-Mail-Adresse zukommen.
Weitere Informationen können zu diesem Zeitpunkt allerdings noch nicht veröffentlicht werden, da die Ermittlungen der Kriminalpolizei in Wilhelmshaven und weiteren Behörden weiterhin in vollem Gange sind. Wir bitten um Verständnis.
Bitte beachten Sie, dass die veröffentlichte Meldung auf Heise fehlerhaft ist und so nicht der Stellungnahme der Mindfactory AG entspricht. "
S
SuperGreen
Gast
Koplsc schrieb:
Haha, muss man jetzt auch noch Beweise liefern das einem der Spamfilter mit personalisiertem Spam fast explodiert?
Alleine dass Datensätze von fast 400.000 Kunden laut einiger Personen im Heiseforum betroffen sind, ist DESASTRÖS!
theblade
Commodore
- Registriert
- Jan. 2006
- Beiträge
- 4.264
@quityper: es würde gar nicht solch eine Welle geben wenn MF wenigstens eine Rundmail an alle rausgeschickt hätte bzw eine Info auf die Hauptseite.
So wird alles schön ins hauseigene Forum gekehrt in der Hoffnung das sowenig wie möglich nachgelesen wird.
So wird alles schön ins hauseigene Forum gekehrt in der Hoffnung das sowenig wie möglich nachgelesen wird.
Selbst aktuelle Forensoftware verschlüsselt mit Salt's und mehrere Verschlüsslungstechnologien bzw. mehrmaligen Verschlüsseln (md5(md5(md5()))) z.B.)Dese schrieb:
auf dem Backupserver (sind ja anscheind nur "ältere" Kunden betriffen) dürfte das Script aber nicht liegen ... vielleicht gesondert oder so... wer weiß
MF hatte erst Ende letzten Jahres ein Code Refresh ... spätestens dort haben sie sicherlich was für die Sicherheitstechnik getan - alles andere wäre für einen renovierten Shop wirklich fatal
Deyustus
Cadet 4th Year
- Registriert
- Aug. 2009
- Beiträge
- 86
Dafür, dass mein Datensatz dabei ist, hat sich bis auf zwei "Schmuddel-Mails" noch nichts in meinem Junk-Filter verfangen. Entweder hab ich hier Glück im Unglück oder die Spam-Welle kommt erst noch . Hoffe aufs Beste und wenn das nichts hilft, auf meinen Junk-Filter 
. Hoffe aufs Beste und wenn das nichts hilft, auf meinen Junk-Filter Um Straftaten aufzuklären ist nicht Mindfactory zuständig, sondern die Polizei - um den Rest kümmert sich dann die Staatsanwaltschaft und das zuständige Gericht.
Mindfactory hat gar nicht die (legalen) Mittel um dort selber irgendwas nachzuforschen, auch sind die bestimmte Dinge inzwischen Beweismittel die man wohl besser nicht mehr als Privatperson anfasst. Das einzige was sie machen können -> mit der Staatsgewalt kooperieren, insbesondere in ihrem eigenen Interesse, was sie ja auch tun.
Aber je mehr Betroffene Anzeige erstatten desto gewichtiger wird der Fall und es zeigt der Staatsanwaltschaft auch das es sich nicht um einen kleinen Fall handelt und das Verfahren wird dann auch nicht eingestellt, da ein besonderes öffentliches Interesse besteht. Wo kein Kläger da auch kein Richter sagt dir ja bestimmt was.
Auch kann eine Anzeige in einem eventuell späteren Zivilprozess zu deinem Vorteil gewertet werden, falls es tatsächlich zu einem Missbrauch der Daten kommen sollte.
Mindfactory hat gar nicht die (legalen) Mittel um dort selber irgendwas nachzuforschen, auch sind die bestimmte Dinge inzwischen Beweismittel die man wohl besser nicht mehr als Privatperson anfasst. Das einzige was sie machen können -> mit der Staatsgewalt kooperieren, insbesondere in ihrem eigenen Interesse, was sie ja auch tun.
Aber je mehr Betroffene Anzeige erstatten desto gewichtiger wird der Fall und es zeigt der Staatsanwaltschaft auch das es sich nicht um einen kleinen Fall handelt und das Verfahren wird dann auch nicht eingestellt, da ein besonderes öffentliches Interesse besteht. Wo kein Kläger da auch kein Richter sagt dir ja bestimmt was.
Auch kann eine Anzeige in einem eventuell späteren Zivilprozess zu deinem Vorteil gewertet werden, falls es tatsächlich zu einem Missbrauch der Daten kommen sollte.
S
SuperGreen
Gast
Yibby schrieb:
Wäre echt super wenn jeder der sowas wie du sagt, dazu sagen würde seit wann er dort Kunde ist.
Dann kann man den Tatzeitpunkt etwas eingrenzen.
Und jetzt nochmal: WIESO waren die Daten nicht verschlüsselt in der Datenbank gespeichert?
Gamefaq
Vice Admiral
- Registriert
- Jan. 2005
- Beiträge
- 7.077
@ACMELtd: Ich verstehe deine Meinung dazu und respektiere sie. Allerdings ist deine Reaktion ohne zu wissen wie deine Daten wirklich entwendet wurden etwas überzogen. Und viele Kommentare hier haben nicht mehr wie Bild Niveau. Reisserisch Provozieren um jeden Preis.
PS: Zum Support von MF kann ich aus grade 1 Monat alten Kontakt nur sagen. Problemlos. Ich habe den System2 PC aus meiner Signatur Stück für Stück (angefangen Mitte letzten Jahres beim Tower->Lüfter->Netzteil usw.) bei MF bestellt. Ich hatte jedoch keine Probleme meine ursprünglich Mitte Dezember gekauften 2 Kits 2x2GB Kingston HyperX Speicher mitte letzten Monat umzutauschen wegen Inkompabilität (nicht als defekt!) da sich Windows7 einfach mit dem Kingston Speicher nicht installieren lies (Bluescreen schon beim Laden der Windows DVD mit beliebigen 1 der 4 möglichen Rigel!). Innerhalb einer Woche, war der Speicher Kostenfrei zurrück geschickt, von MF getestet, der Kaufpreis auf Kulanz gutgeschrieben. Sowie der von mir gewählte Ersatzspeicher 2x2GB G-Skill ECO-Dual-Kit geliefert und in den üblichen 3 Werktagen die die Bank braucht (beginnend ab dem Tag wo ich den G-Skill auswählte) der Differenzbetrag an mich zurrück überwiesen.
Das einzige das ich bemerkt habe dabei ist das man schwer telefonisch durch kommt. Dafür klappte der Support über die Call Back Funktion einwandfrei.
PS: Zum Support von MF kann ich aus grade 1 Monat alten Kontakt nur sagen. Problemlos. Ich habe den System2 PC aus meiner Signatur Stück für Stück (angefangen Mitte letzten Jahres beim Tower->Lüfter->Netzteil usw.) bei MF bestellt. Ich hatte jedoch keine Probleme meine ursprünglich Mitte Dezember gekauften 2 Kits 2x2GB Kingston HyperX Speicher mitte letzten Monat umzutauschen wegen Inkompabilität (nicht als defekt!) da sich Windows7 einfach mit dem Kingston Speicher nicht installieren lies (Bluescreen schon beim Laden der Windows DVD mit beliebigen 1 der 4 möglichen Rigel!). Innerhalb einer Woche, war der Speicher Kostenfrei zurrück geschickt, von MF getestet, der Kaufpreis auf Kulanz gutgeschrieben. Sowie der von mir gewählte Ersatzspeicher 2x2GB G-Skill ECO-Dual-Kit geliefert und in den üblichen 3 Werktagen die die Bank braucht (beginnend ab dem Tag wo ich den G-Skill auswählte) der Differenzbetrag an mich zurrück überwiesen.
Das einzige das ich bemerkt habe dabei ist das man schwer telefonisch durch kommt. Dafür klappte der Support über die Call Back Funktion einwandfrei.
The_Virus
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.586
Sowohl ich und als auch mein Vater (seperate Anschriften) sind betroffen und das obwohl wir seit Jahren nichts mehr bei Mindfactory gekauft haben. Die Daten sind halt trotzdem noch im System gewesen und nun gestohlen. 
Wie soll man sich dagegen schützen?
Wie soll man sich dagegen schützen?
S
SuperGreen
Gast
The_Virus schrieb:
Frag das mal die Datenschutzexperten bei Mindfactory...
Ich hoffe das ist ein Warnschuss an alle anderen Onlineshops!
Ichbinsokluk
Cadet 4th Year
- Registriert
- Mai 2008
- Beiträge
- 119
bin auch dabei, obwohl es jahre her ist. super sache mindfactory!
SuperGreen schrieb:Frag das mal die Datenschutzexperten bei Mindfactory...
Ich hoffe das ist ein Warnschuss an alle anderen Onlineshops!
Ihr wisst nicht mal wie die Diebe an die Daten gekommen sind.
Vielleicht war es auch eine Schwachstelle / Sicherheitslücke im Shopsystem.
Oder einem Mitarbeiter wurden die Zugangsdaten unbemerkt gestohlen und man hat sich extern eingeloggt über selbige Daten und so die Datensätze gestohlen.
Vielleicht liegt ja auch die Schwachstelle im Rechenzentrum und gar nicht bei MF.
Vielleicht ist es auch Schwachstelle Mensch und irgendein ehm Mitarbeiter hat vor dem letzten Arbeitstag nochmal ein paar Datensätze mitgehen lassen.
Da nützt dann auch der beste Datenschutzexperte nichts, er ist weder PHP Prorammierrer, noch Kindermädchen für Mitarbeiter.
Das Einzige was man bisher Mindfactory wirklich vorwerfen kann das sie die Kunden nicht vernünftig informiert haben, keinerlei Mail, keine sofortoge Umstellung des Passwortes etc.
-tRicks-
Captain
- Registriert
- März 2008
- Beiträge
- 3.723
Was ist das für eine seite (http://datenklau.dyndns.org/) ? Ist die Verifiziert oder besteht die Gefahr das dort Daten auch geklaut werden?
Ich habe zum glück noch nie ein Konto bei MF gehabt.
Ich habe zum glück noch nie ein Konto bei MF gehabt.
Es gibt mehrere Verschlüsselungstechnologien. Die einen kannste wieder entschlüsseln, die anderen nicht.SuperGreen schrieb:
Was bringt dir, wenn ich die Adresse mit base64_encode verchlüssele und mit base64_decode wieder entschlüssele?
Wenn man die Adresse nicht wieder entschlüsseln kann (z.B. md5, sha), dann ist's mitm Versand etwas schwierig, nicht wahr?
@PiPaPa:
... Daumen hoch; iwie bilden wir beide die Opposition Du musst da ja nicht deinen kompletten Datensatz eingeben, es reicht auch z.B. der Name der recht wenig nützt.
Du sollst da nicht Name + Bankdaten + Adresse + Passwort + Email + Personalausweisnummer + Verischerungsnummer + Passfoto eingeben...
Du sollst da nicht Name + Bankdaten + Adresse + Passwort + Email + Personalausweisnummer + Verischerungsnummer + Passfoto eingeben...
L
LeCars
Gast
Joa wenn ein Irrer einen mit einer Smith & Wesson erschiesst ist natürlich der Hersteller schuld
Oder bei einem Raubüberfall dein Handy geklaut wurde ist Nokia schuld. Bei einem Autounfall ist Mercedes schuld.
Und für viele dumme Comments ist CB schuld
Mal gucken ob viele von den hiesigen Hobbyaktivisten hier auch so gross rumtönen wenn die EU endlich jeden auf Verdacht speichert und dann mal die Daten entwendet werden. Aber sieht wohl nicht so aus.
Oder bei einem Raubüberfall dein Handy geklaut wurde ist Nokia schuld. Bei einem Autounfall ist Mercedes schuld.
Und für viele dumme Comments ist CB schuld
Mal gucken ob viele von den hiesigen Hobbyaktivisten hier auch so gross rumtönen wenn die EU endlich jeden auf Verdacht speichert und dann mal die Daten entwendet werden. Aber sieht wohl nicht so aus.
Blödsinnige Vergleiche (da kannste deinen letzten Satz übrigens perfekt drauf anwenden)
Natürlich ist ein Onlineshop auch verantwortlich für die Datensicherheit. Wenn dort geschlampt wurde trägt dieser eine Mitschuld wenn die Daten unbefugt an Dritte gelangen.
Natürlich ist ein Onlineshop auch verantwortlich für die Datensicherheit. Wenn dort geschlampt wurde trägt dieser eine Mitschuld wenn die Daten unbefugt an Dritte gelangen.
- Status