"Spam" von auruminvest

  • Hallo GS-Gemeinde,



    wie wir leider feststellen mussten hat sich anscheinend jemand unserer @-Domain bedient um einige absolut unnötigen SPAM-Mails zu versenden.



    Nachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.


    Somit können wir 100% sicher sein, dass keine personenbezogenen Daten gestohlen wurden.



    Wir möchten noch einmal kurz darauf hinweisen, dass wir NUR folgende Email-Adresse office@auruminvest-nw.de verwenden!!



    freundliche Grüße


    Ihr Team von


    auruminvest / Kaiser & Reis GbR



    Jochen Reis

  • habe auch die Spam bekommen; wüsste aber nicht, dass ich jemals bei denen bestellt habe, geschweige denn meine Daten hinterlegt habe :cursing:

    Bei irgend einem braven Microsoft-Kunden wirst Du Deine Daten irgendwann schon mal hinterlegt haben. Daher verwendet man ja auch sicherheitshalber mehrere verschiedene eMail-Adressen, um später feststellen zu können, von wem aus sie an die Spammer gelangt sind.


    Ich kriege auch viel Spam. Aber nur auf Adressen, die mir nach Lieferung der Ware schnurz sind :)


  • Liebes Team von AurumInvest,


    eine solche Aktion, die ja offensichtlich ein Dritter zum Schaden Ihres Hauses unternommen hat, ist natürlich unangenehm und ja mit Sicherheit nicht von Ihnen beabsichtigt. So wie es hier in der Diskussion allerdings aussieht, haben im Wesentlichen Leute das email bekommen, die in Kontakt mit Ihrem Hause stehen und dadurch in ihrem email-Programm enthalten sind (und sei es nur als Anfrager).


    Da ich selber eine email von "support@auruminvest-nw.de" erhalten habe, die eine email-Adresse und meinen Klarnamen in einer Weise enthält, die ich nur bei einer Handvoll Händler, u.a. bei Ihnen benutzt habe, sollten Sie einmal überdenken, ob sich nicht doch ein Virus oder Trojaner bei Ihnen eingeschlichen hat, der zumindestens aus ihrem email-Programm Empfänger-Adressen extrahiert hat. Alles andere würde mich extrem wundern.


    Es macht Ihnen ja niemand einen Vorwurf, - an Ihrer Stelle würde ich nur alles unternehmen, um weiteres Unheil zu verhindern.

  • Nachdem ich TROTZ Norton in der Vergangenheit auch zweimal Trojaner-, bzw. Virus-Empfänger war ...benutze ich seit 1 Jahr die Software ANTIVIR , kostenlose funktionsfähige Version herunterladbar auf: http://www.avira.com/de/pages/index.php und habe seitdem nicht ein Problem. Allerdings benutze ich bewußt kein Microsoft-Email-Programm.
    Wer heute noch Outlook oder microsoft.mail o.ä. benutzt, der hat mein volles Mitleid.

  • ich kann die Stellungnahme leider noch nicht ganz glauben.
    Fakt ist, dass ich mit korrektem Namen angeschrieben wurde, und das von einem Händler, bei dem ich bereits bestellt habe. Das ganze an die email Adresse, mit der ich dort bestellt hatte.


    Ich habe meine Bestellungen bei diversen Edelmetallhändlern gerade überprüft.
    Die email-Adresse, an die die heutige Spam Mail ging, habe ich nur bei 2 Edelmetall-Händlern verwendet.


    folglich ist entweder:
    -jemand bei Auruminvest an die Daten gelangt, oder
    -der andere Händler, bei dem ich unter gleicher email-Adresse bestellt habe, nutzt seinen Datenbestand und verschickt Spam unter falschem Namen, oder
    -auch Leute, die noch niemals irgendwo Edelmetalle bestellt haben, erhalten Spam mit Auruminvest als Absender. fraglich ist dann jedoch, wieso man mit richtigem Namen angeschrieben wird (ist ja eher untypisch für Spam)

  • .benutze ich seit 1 Jahr die Software ANTIVIR , kostenlose funktionsfähige Version herunterladbar auf: http://www.avira.com/de/pages/index.php und habe seitdem nicht ein Problem.

    Na ja, das hab ich auch... - aber die Tatsache, dass du mit Avira Antivir kein Problem bemerkst, bedeutet noch lange nicht, dass du kein Problem hast...

    Zitat

    Fakt ist, dass ich mit korrektem Namen angeschrieben wurde, und das von einem Händler, bei dem ich bereits bestellt habe. Das ganze mit der email Adresse, bei dem ich dort bestellt hatte.

    dito... Stichwort: sind Adressdaten mit abgegriffen worden?... :hae:

  • Es wäre doch möglich, dass auf einer Kiste von AurumInvest ein Trojaner gelandet ist, so etwas kann sehr schnell passieren.
    D.h. der Opfer-Absender hat zu diesem Moment noch überhaupt keine Ahnung von dem Schaden.


    Wieviele Personen haben hier wirklich Ahnung von Computersicherheit?
    Das Thema ist sehr komplex, Malware kann über FlashBanner Werbung, Zero-Day Exploits im Browser und auf hundert andere Wege wie z.B. Emails einflattern.
    So etwas kann auch an einen regelmäßig aktualisierten Antivirus vorbei schlüpfen.


    Ich gehe mal davon aus das es hier wahrscheinlich weniger als eine handvoll von Mitgliedern gibt die aus dem IT-Security Sektor kommen.
    Es bringt jetzt nichts hier zu flamen, ich bin mir sicher AurumInvest arbeitet bereits an einer Behebung des Problems.


    So etwas kann jedem von uns hier passieren und erlaubt keine negativen Rückschlüsse auf die nicht sachgemäße / seriöse Behandlung von Kundendaten.


    Also cool bleiben, shit happens, am Ende trifft es ein ander mal einen von Euch.

  • Guten Abend,
    Ich habe dieses Forum soeben über Google aufgerufen, und möchte zur allgemeinen Information folgendes beitragen:
    ich bin WebDesigner, und einer meiner Kunden hat selbiges Problem.
    Da dieser Kunde den selben Webshop (Oscommerce 2.2) verwendet, wie auch http://auruminvest-nw.de/
    gehen wir von einem bisher unbekannten Leck in diesem System aus, und arbeiten bereits daran anhand unserer Logs weiteres herauszufinden.
    Generell kann ich bestätigen, dass die mail von der IP 64.186.244.174 versendet wurde, deren DNS auf http://collectivdatabase.com/ weist.
    Die IP ist vmtl. wie bereits geschrieben in San Diego lokalisiert.
    Die Mail trug selbigen Inhalt, ging an alle Kunden, wobei diese mit korrektem Namen und Emailadresse angeschrieben wurden, auch wenn der
    Name nicht in der Adresse enthalten war. Es ist also erwiesen, dass in Fällen dieser Spam-Mails persönliche Daten durch Dritte erlangt wurden,
    und es steht zu vermuten, dass diese evtl. über die Email-Adresse & Name hinausgehen könnten.

    Zitat

    Nachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.

    Ein unberechtigter Zugriff auf MySql hat auch bei uns nicht stattgefunden. Da eine Sql-Injection in oscommerce zu vermuten ist, kommt der


    zugehörige Zugriff vom eigenen Server, der entsprechenden os-commerce php-Script um genau zu sein, nicht von einer Fremd-IP.
    Es ist davon auszugehen, dass Angriffe völlig willkürlich auf alle zu findenden os-commerce Systeme ausgeführt werden, und so user-Daten weltweit
    gesammelt werden können, bis ein fix für das Leck entwickelt wird. EinVerlust vonDaten ist nicht auf ein Verschulden oder eine Fahrlässigkeit des
    Unternehmens zurückzuführen, dessen Shop angegriffen wurde, da mehr Sicherheitsmaßnahmen als ein völliges auf aktuellem Stand Halten der
    website kaum verhältnismäßig möglich ist, und dies in diesem Falle keine Wirkung erzielte.
    Falls weiteres herausgefunden wird, lese ich hier weiter mit und bin als verantwortlicher Webmaster über jede Information dankbar.
    Wir sind bereits bemüht den Angriff mit allen verfügbaren mitteln zurückzuverfolgen, ich werde sobald weiteres in Erfahrung gebracht
    wird gerne an dieser Stelle erneutdarüber informieren.
    Mit freundlichen Grüßen

  • sondern eher fatal.


    Ich bin ja kein IT Mensch, aber wenn ich das richtig verstanden habe, dann ist


    1) mit großer Wahrscheinlichkeit in der WebShopSoftware eine Sicherheitslücke bei der


    2) sämtliche Kundendaten zugänglich sind


    3) der WebShopBetreiber i.d. Regel keinen Mechanismus des 'Verhinderns' der Datenabschöpfung hat?


    na dann Prost Mahlzeit..... :wall: :wall: :cursing:



    San Diego.... das passt ins Bild dass die Amerikaner mit der EU in den nächsten Tagen einen Vertrag ratifzieren ,
    dass die amerikanischen Behörden SÄMTLICHE BANKDATEN AUF EINZELBUCHUNGSEBENE der EU BÜRGER sichten dürfen.
    OHNE VERDACHT.



    ORWELL war ein WItz dagegen. :boese: :boese: :boese:

  • 1) mit großer Wahrscheinlichkeit in der WebShopSoftware eine Sicherheitslücke bei der
    Ja


    2) sämtliche Kundendaten zugänglich sind
    Nicht sicher, zumindest email & Name. In der gleichen datenbanktabelle liegen noch Geschlecht, Telefonnummer, Faxnummer, jedoch nicht die Adresse (Hausanschrift), und keine Bankdaten.
    Inwiefern durch die bestehende Lücke, die noch nichteinmal gefunden ist, andere Datenbanktabellen, also auch z.B. Bankdaten eusgelesen werden können ist fraglich und nicht erwiesen.
    3) der WebShopBetreiber i.d. Regel keinen Mechanismus des 'Verhinderns' der Datenabschöpfung hat?
    Für dieses Problem zunächst zutreffend. Temporär offline gehen wäre für os-commerce shopinhaber jetzt
    eine Möglichkeit, aber in Anbetracht des wirtshcaftlichen Schadens wird das vmtl. keiner tun.




    Falls behördliche Interessen dahinterständen gäbe es genug bessere Wege, und eine Spam-Mail würde wohl auch nicht gesendet,
    da ohne diese vmtl 99% der Shopbesitzer dieses Angriff gar nicht bemerkt hätten, und ein geheimes Auslesen wohl eher favorisiert
    worden wäre.


    Dass jeder der dieses Leck kennt auf die zugreifbaren Daten zugreifen kann, Behörden nicht ausgeschlossen, ist schlicht Fakt,
    ich rate aber von einer Verschwörungstheoretischen Verwendung dieser Angriffe ab, da es keine Indikation dafür gibt.



  • zu 2) na ja, wenn die Datenbanktabellen 'verknüpft' sind dürfte das wohl für einen IT Profi 'fast' kein Problem sein


    Auch wenn ich kein Verschwörungstheoretiker, aber eines möchte ich noch zu 3) & Verschwörung in den Raum stellen:
    wenn ich als 'Interessengruppe' das EM Kaufen und Verkaufen erschweren wollte bzw 'Unsicherheit' säen wollte, wäre genau DAS meine
    Taktik. Unsicherheit & Angst wird durch Desinformation und nicht durch Nicht-Information geschaffen.
    Und ein vom Netz genommener Shop wäre schon sehr drastisch. (Evtl wirtschaftliche Interessen ? )


    Das führt aber zu der Frage: was passiert nun? Ich meine sicherheitstechnisch gesehen..... mit einem Patch wird es ja wohl nicht
    getan sein??

  • Nicht sicher, zumindest email & Name. In der gleichen datenbanktabelle liegen noch Geschlecht, Telefonnummer, Faxnummer, jedoch nicht die Adresse (Hausanschrift), und keine Bankdaten.
    Inwiefern durch die bestehende Lücke, die noch nichteinmal gefunden ist, andere Datenbanktabellen, also auch z.B. Bankdaten eusgelesen werden können ist fraglich und nicht erwiesen.


    ich denke mal in der Branche sind die Bankdaten das geringere Problem ...


    die Kunden könnte mehr stören, wenn Hausadresse und Name in die falschen (nichtstaatlichen) Hände gelangen :hae:

  • Die Frage ist ja, ob hier nur Leute emails bekommen haben, die im Shop was gekauft haben oder alle die, die einfach nur mailverkehr hatten.... dann weiß man, obs an oscommerce oder am mail-programm liegt.


    Wenn es an oscommerce liegt, was nach der Meldung von IT... ja schon fast wahrscheinlich ist, sollten sich alle Händler, die oscommerce benutzen, fragen, ob das so optimal ist... es dauert sicher keine 24h, bis hier eine Liste aller Edelmetallhändler erscheint, die auch oscommerce benutzen ... ist dann sicher kontraproduktiv...


    im oscommerce-forum tauchen bereits im September entsprechende Spam-Mail-Berichte als Angriff auf oscommerce-shops auf, siehe:
    http://forums.oscommerce.de/in…pic=71156&hl=spam+angriff insoweit scheint das nicht ganz neu zu sein...

  • es liegt wohl an der Shop-Software.


    dazu passt auch, dass die Spam-Mail wie beschrieben einen vergleichbaren Weg in mein Postfach genommen hat (über den Shop) und nicht von einem x-beliebigen SMTP-Mailserver an abgegriffene Adressen.


    soweit es die Möglichkeit bei einem Händler gibt, auch ohne Registrierung einen Bestellvorgang abzuschließen, nutze ich das schon seit langem. Das schließt natürlich nicht aus, dass man mit seinen Bestelldaten doch in der Datenbank landet.

  • Zitat

    "ich denke mal in der Branche sind die Bankdaten das geringere Problem ...
    die Kunden könnte mehr stören, wenn Hausadresse und Name in die falschen (nichtstaatlichen) Hände gelangen"

    Genau das ist durch das oben beschriebene Leck völlig problemlos möglich.
    Das problem ist damit im Prinzip gelöst, man muss nur den Admin-Ordner durch Server-Authentifizierung schützen.
    Siehe mein letzter Post oben: "Admin-Script voll ohne Passwort zugänglich."

  • soweit es die Möglichkeit bei einem Händler gibt, auch ohne Registrierung einen Bestellvorgang abzuschließen, nutze ich das schon seit langem. Das bedeutet natürlich nicht, dass man mit seinen Bestelldaten nicht doch in der Datenbank landet.


    wobei man dazu - wenn man bei nem nahegelegenen Händler bestellt und selbst abholt - keine Lieferadresse angeben muß ...
    (e-mail-ad und Handynr. sollten ja wohl reichen)

  • IT-Pro ich sag einfach mal DANKE für die profunde Analyse und den Einsatz :thumbup: auch wenn das Ergebnis wenig beglückend ist :huh:


    Andererseits unterliegen die IT-Systeme der Banken immer wieder entsprechenden - erfolgreichen - Angriffen, die freilich nicht publiziert werden, um die Bevölkerung nicht zu verunsichern, und so ganz ohne Konto lebt ja wohl keiner von uns :whistling:


    Mein persönliches Fazit: Dumme Sache, die allen EM-Online-Händlern Anlaß geben sollte, mal wieder über die nächste Investition in Richtung IT-Sicherheit nachzudenken. "Kosten sparen" ist zwar das Motto des Jahrzehnts aber man kann auch an der falschen Stelle sparen ;)


    greetz anwir

Schriftgröße:  A A A A A