Habe von dieser Spam-Mail gleich 2 Stück bekommen!
Was haben wir daraus gelernt?
Es ist sicher, das nichts sicher ist!
15. Dezember 2024, 16:51
Habe von dieser Spam-Mail gleich 2 Stück bekommen!
Was haben wir daraus gelernt?
Es ist sicher, das nichts sicher ist!
ZitatGegenmaßnahmen, den Admin Ordner umbenennen und einen htaccess rein für den Ordner, ggf. noch auf IP-Ebene prüfen, das nur von bestimmten Clients oder Subnetz in den Admin Ordnern zugegriffen werden kann.
Genau, oder bei Windows-Servern entsprechende Form der Authentifizierung (Basic-Access Auth). SSL dazu, und man ist auf der sicheren Seite.
andererseits: Was regen wir uns auf. Die USA brauchen keine Sicherheitslücke um an unsere Bankdaten zu kommen, die bekommen sie ganz offiziell
sorry für's OT aber da geht mir echt der Hut hoch
greetz anwir
Danke für diesen Thread.
Wahrscheinlich hätte ich, wenn ich den Thread nicht vorher gelesen hätte, die Mail geöffnet.
So ging sie direkt in den Papierkorb.
Wie bitter, ich komm aus der 'IT Branche' und habe täglich mit Scripten / Datenbanken wie diesen zu tun.
Ich bin auch Kunde bei Auruminvest gewesen / habe die Mail auch bekommen.
Leider muss ich euch sagen das schonmal definitiv ein Leck bestanden hat, alles andere ist Quatsch (ohne hier jemand fertig machen zu wollen)
Es ist aus meiner Sicht eher wahrscheinlich als unwahrscheinlich das dabei auch auf andere Daten als nur die E-Mail Adresse zugegriffen werden konnte. Aufgrund der sicherlich dauerhaften Speicherung der Bestellungen ist es aber auch sinnlos den Account dort zu löschen oder ähnliches.
Es ist technisch Problemlos möglich über eine E-Mail Adresse die man nicht 'besitzt' für einen Laien unerkenntlich eine E-Mail zu versenden. Ein Programmierer braucht da keine 2 Minuten dafür.
Achja noch zu eurer 'Beruhigung' auf die Software welche Auruminvest nutzt, greifen in gleicher oder 'bezahl' Version fast alle Gold Shops zu, wenn es also eine Sicherheitslücke gibt, haben diese fast alle Anbieter. Ihr könnt im Footer oft lesen 'OS Commerz'
Naja ich wünsche euch viel Glück bei der Lösung, ich denke der Image Schaden den der Anbieter nun hat ist mehr oder weniger unverdient, den der Missbrauch ist vermutlich bei fast allen Shops möglich / Auruminvest hats nun halt erwischt. Meist sichern die Betreiber ihren Shop ja nicht selbst. Und wer sich auskennt, weiß das es eigentlich nicht mal einen 99% Schutz in dem Bereich gibt.
Wer denkt er kann sich mit Telefonbestellung und Co. schützen liegt auch falsch, meist tragen die Anbieter die Daten dann manuell in ihren Onlineshop ein / um eine Rechnung und Co. zu generieren.
Gruß
blacki
wie wir leider feststellen mussten hat sich anscheinend jemand unserer @-Domain bedient um einige absolut unnötigen SPAM-Mails zu versenden.
Nachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.
Somit können wir 100% sicher sein, dass keine personenbezogenen Daten gestohlen wurden.
Wenn Sie sich da mal nicht täuschen Herr Reis, sicherlich sind Sie um Schadensbegrenzung bemüht, nur ist das blanker Unsinn, es wurde nicht die Domain missbraucht sondern Ihr Shopsystem, wie unschwer im Header der Mails ersichtlich ist.
Wie Sie sich da 100% sicher sein wollen, dass keine Kundendaten abgegriffen wurden verstehe ich nicht, bitte um Erläuterung.
Was ich auch nicht verstehe, dass der Shop weiterläuft. Was haben Sie konkret unternommen, um die Kundendaten aus dem Shopsystem zu entfernen?
MfG
Goldhamster
Nachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.
Somit können wir 100% sicher sein, dass keine personenbezogenen Daten gestohlen wurden.
Auweia. Bei derart geballter Kompetenz verstehe ich, dass ein seit Juli bekanntes Problem auch nach knapp einem halben Jahr noch nicht angegangen wurde.
"Wir lassen bei uns immer die Tür weit offen stehen. Nachdem wir keine Visitenkarten von Einbrechern gefunden haben, können wir 100% sicher sein, dass niemand unbefugt die Räume betreten hat."
Ich habe heute nachmittag ohnehin einen Informatik-Studenten bei mir, vielleicht gelingt es ihm auch, alle Kundendaten aus den oscommerce-files von auruminvest-nw und anderen Münzhändlern zu ziehen, die oscommerce-Shops betreiben.
Gibts irgendwo eine Liste mit Münzhändlern, die mit oscommerce arbeiten? Normalerweise steht bei solchen Shops auf der Startseite ganz unten in klein "oscommerce".
Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.
ZitatAlles anzeigenes ist ein Sicherheitsproblem in der Version v2.2 RC 1/2 bekannt geworden. Dieses Problem ist abhängig von der Serverkonfiguration und tritt nicht bei jedem Shop auf. Dennoch wird empfohlen, dass alle folgendes machen:
1. als erste (kleine) Schutznahme sollte das admin-Verzeichnis umbenannt werden
2. anstelle dessen oder zusätzlich sollte der Adminbereich per .htaccess-Datei kennwortgeschützt werden
Es ist sinnvoll, wenn die Serverlog-Dateien der letzten Wochen aufbewahrt werden. Dann kann später ermittelt werden, ob jemand Zugriff auf die Shopdaten hatte.
Es gibt demnächst weitere Informationen zu diesem Problem.
Nachtrag: Es sind offenbar auch Shops mit Zugangsschutz-Addons betroffen. Wer bereits einen .htaccess-Kennwortschutz hat, dürfte kein Problem haben. Alle anderen sollten zügig handeln.
Nachdem das Problem mit php in Verbindung zu stehen scheint, wäre es auch sinnvoll zu überprüfen welche PHP Version der Server für das Shopverzeichnis / den Shop anwendet, dies ist ggf. auf die neueste Version abzuändern, wenn das in den Einstellungen des Hosters möglich ist.
Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.
Gehts noch? Die Staatsanwaltschaft wird das bestimmt interessieren, was Du da vor hast ist kriminell
Kriminell ist es, wenn man die Kundendaten auf einem Server so zur Verfügung stellt, daß jeder Halbgescheite die runterladen kann. Dies ist ja offensichtlich passiert. Auch ich habe ein Mail mit Vornamen und Nachnamen adressiert plus email-Adresse erhalten. Eine email-Adresse, die ich ausserordentlich selten einsetze... insoweit muß ich davon ausgehen, daß der Spammer diese über auruminvest gewonnen hat.
Das macht Auruminvest sicher nicht absichtlich. Ich würde mir allerdings wünschen, daß man wenigstens JETZT, wo das Kind in den Brunnen gefallen ist, entweder Maßnahmen ergreift, die das zukünftig unmöglich machen und dies dann auch kommuniziert oder aber den Shop vom Netz nimmt.
Aktuell stelle ich fest, daß weder eine ausreichende Kommunikation stattfindet, noch der Shop vom Netz genommen ist.
ZitatWäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.
Tolle Idee, ist auch gar nicht kriminell oder so...
Ist aber definitiv zu spät für solche Absichten.
Sie haben sofort auf meine Mail reagiert, Lücke geschlossen, admin-folder gesichert.
Absolut vorbildlich schnell reagiert, muss man sagen.
Edit:
ZitatMaßnahmen ergreift, die das zukünftig unmöglich machen
Bereits geschehen, die haben die Lücke sofort geschlossen.
Aktuell stelle ich fest, daß weder eine ausreichende Kommunikation stattfindet, noch der Shop vom Netz genommen ist.
Das habe ich weiter oben auch bereits bemängelt, ein seriöses Krisenmanagement sieht etwas anders aus. Außderm ist ein Zugriff auf weitere Kunden- und Auftragsdaten nicht auszuschliessen, was dem ganzen noch mehr Brisanz gibt.
Und zu Dir, Finger weg
Bereits geschehen, die haben die Lücke sofort geschlossen.
Danke für Deinen Einsatz
Na wenigstens ist etwas passiert, wenn das noch direkt und umgehend vom Betreiber kommuniziert worden wäre / würde, wäre das noch besser - ich weiß, ich bin zu anspruchsvoll
http://www.goldparadies24.de/index.php
Ist soweit ich sehen kann zumindest relativ gesichert.
http://www.muenzenzubehoer.ch/articles.php?tPath=19_32
Steht genauso offen wie Auruminvest offen stand... Voller Zugang zu allen Daten.
Jemand der die kennt sollte denen mal ne mail schreiben und auf
http://forums.oscommerce.com/t…hole-found-in-oscommerce/
verweisen, wenn ich das bei allen shops tun würde, die jetzt das Problem haben
und die mit über den Weg laufen wär ich in 100 Jahren nicht fertig...
Ich habe heute nachmittag ohnehin einen Informatik-Studenten bei mir, vielleicht gelingt es ihm auch, alle Kundendaten aus den oscommerce-files von auruminvest-nw und anderen Münzhändlern zu ziehen, die oscommerce-Shops betreiben.
Gibts irgendwo eine Liste mit Münzhändlern, die mit oscommerce arbeiten? Normalerweise steht bei solchen Shops auf der Startseite ganz unten in klein "oscommerce".
Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.
StGB § 202a
Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Im konkreten Fall dürfte dies zwar nicht zutreffen, da die Daten nicht besonders geschützt waren (jeder konnte durch ein Security-Hole der Webshop-Software bei Kenntnis der Admin URL auf alle Namen/Adressen zugreifen und auch beliebige Mails an alle Adressen im Namen der Shop-Betreiber verschicken), allerdings bewegt man sich hier trotzdem auf sehr dünnem Eis und sollte mit derartigen Bemerkungen und ggf. Aktionen eher vorsichtig sein ...
Danke, IT-Pro, das beruhigt mich ja, das auruminvest die Lücke geschlossen hat. Wenn die die Lücke geschlossen haben, heißt das ja, da WAR VORHER EINE UND JEDER DUMMSCHÄDEL konnte sich die Kundendaten herunterladen... grrrrrrrrrrrrrrr.
Ist oscommerce eine kostenlose Software oder wie kommt das?
ZitatIst oscommerce eine kostenlose Software oder wie kommt das?
Ja, kostenlose open source
der genannte stgb-paragraph greift nicht, da die Daten eben nicht besonders zugangsgeschützt sind, sondern FREI ZUR VERFÜGUNG gestellt werden, - dafür muß man offensichtlich auch nichts hacken
Insoweit ist das Herunterladen auch nicht strafbar.