"Spam" von auruminvest

    Habe von dieser Spam-Mail gleich 2 Stück bekommen! :boese: :wall:


    Was haben wir daraus gelernt? :hae: 8| 8| 8|


    Es ist sicher, das nichts sicher ist! 8o

    -Das Bargeld muss für die Gesellschaft voll umfänglich erhalten bleiben
    -Keine Obergrenzen für Barzahlungen
    -Erhalt des 500 Euro Schein
    -Bargeld wird schleichend abgeschafft !
    -Bargeld ist Freiheit
    -Gibt es kein Bargeld mehr, kann man auch nichts mehr vom Konto holen!
    -Totale Macht der Banken über die Bürger!

    Zitat

    Gegenmaßnahmen, den Admin Ordner umbenennen und einen htaccess rein für den Ordner, ggf. noch auf IP-Ebene prüfen, das nur von bestimmten Clients oder Subnetz in den Admin Ordnern zugegriffen werden kann.


    Genau, oder bei Windows-Servern entsprechende Form der Authentifizierung (Basic-Access Auth). SSL dazu, und man ist auf der sicheren Seite.

    Wie bitter, ich komm aus der 'IT Branche' und habe täglich mit Scripten / Datenbanken wie diesen zu tun.


    Ich bin auch Kunde bei Auruminvest gewesen / habe die Mail auch bekommen.


    Leider muss ich euch sagen das schonmal definitiv ein Leck bestanden hat, alles andere ist Quatsch (ohne hier jemand fertig machen zu wollen)


    Es ist aus meiner Sicht eher wahrscheinlich als unwahrscheinlich das dabei auch auf andere Daten als nur die E-Mail Adresse zugegriffen werden konnte. Aufgrund der sicherlich dauerhaften Speicherung der Bestellungen ist es aber auch sinnlos den Account dort zu löschen oder ähnliches.


    Es ist technisch Problemlos möglich über eine E-Mail Adresse die man nicht 'besitzt' für einen Laien unerkenntlich eine E-Mail zu versenden. Ein Programmierer braucht da keine 2 Minuten dafür.


    Achja noch zu eurer 'Beruhigung' auf die Software welche Auruminvest nutzt, greifen in gleicher oder 'bezahl' Version fast alle Gold Shops zu, wenn es also eine Sicherheitslücke gibt, haben diese fast alle Anbieter. Ihr könnt im Footer oft lesen 'OS Commerz'


    Naja ich wünsche euch viel Glück bei der Lösung, ich denke der Image Schaden den der Anbieter nun hat ist mehr oder weniger unverdient, den der Missbrauch ist vermutlich bei fast allen Shops möglich / Auruminvest hats nun halt erwischt. Meist sichern die Betreiber ihren Shop ja nicht selbst. Und wer sich auskennt, weiß das es eigentlich nicht mal einen 99% Schutz in dem Bereich gibt.


    Wer denkt er kann sich mit Telefonbestellung und Co. schützen liegt auch falsch, meist tragen die Anbieter die Daten dann manuell in ihren Onlineshop ein / um eine Rechnung und Co. zu generieren.


    Gruß


    blacki

    Zitat von aurum2007

    wie wir leider feststellen mussten hat sich anscheinend jemand unserer @-Domain bedient um einige absolut unnötigen SPAM-Mails zu versenden.


    Nachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.


    Somit können wir 100% sicher sein, dass keine personenbezogenen Daten gestohlen wurden.


    Wenn Sie sich da mal nicht täuschen Herr Reis, sicherlich sind Sie um Schadensbegrenzung bemüht, nur ist das blanker Unsinn, es wurde nicht die Domain missbraucht sondern Ihr Shopsystem, wie unschwer im Header der Mails ersichtlich ist.


    Wie Sie sich da 100% sicher sein wollen, dass keine Kundendaten abgegriffen wurden verstehe ich nicht, bitte um Erläuterung.


    Was ich auch nicht verstehe, dass der Shop weiterläuft. Was haben Sie konkret unternommen, um die Kundendaten aus dem Shopsystem zu entfernen?


    MfG
    Goldhamster

    „Wenn kein Mensch mehr die Wahrheit suchen und verbreiten wird, dann verkommt alles Bestehende auf der Erde, denn nur in der Wahrheit sind Gerechtigkeit, Frieden und Leben!“ Friedrich von Schiller

    Zitat von aurum2007

    Nachdem wir von einigen Kunden diesbezüglich direkt angerufen wurden oder eine Email bekommen haben, hat sich unsere IT dem Problem direkt angenommen und unseren Server sowie unsere Datenbanken geprüft - mit dem Ergebnis - dass wir keinen unbefugten Zugriff auf unsere Server-Daten festellen konnten.


    Somit können wir 100% sicher sein, dass keine personenbezogenen Daten gestohlen wurden.

    Auweia. Bei derart geballter Kompetenz verstehe ich, dass ein seit Juli bekanntes Problem auch nach knapp einem halben Jahr noch nicht angegangen wurde.


    "Wir lassen bei uns immer die Tür weit offen stehen. Nachdem wir keine Visitenkarten von Einbrechern gefunden haben, können wir 100% sicher sein, dass niemand unbefugt die Räume betreten hat."

    Ich habe heute nachmittag ohnehin einen Informatik-Studenten bei mir, vielleicht gelingt es ihm auch, alle Kundendaten aus den oscommerce-files von auruminvest-nw und anderen Münzhändlern zu ziehen, die oscommerce-Shops betreiben.


    Gibts irgendwo eine Liste mit Münzhändlern, die mit oscommerce arbeiten? Normalerweise steht bei solchen Shops auf der Startseite ganz unten in klein "oscommerce".


    Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.


    Früher stand auf den Dollarnoten: Gegenwert in Gold auszahlbar.


    Heute steht dort: Wir vertrauen auf Gott.

    Nachdem das Problem mit php in Verbindung zu stehen scheint, wäre es auch sinnvoll zu überprüfen welche PHP Version der Server für das Shopverzeichnis / den Shop anwendet, dies ist ggf. auf die neueste Version abzuändern, wenn das in den Einstellungen des Hosters möglich ist.

    „Wenn kein Mensch mehr die Wahrheit suchen und verbreiten wird, dann verkommt alles Bestehende auf der Erde, denn nur in der Wahrheit sind Gerechtigkeit, Frieden und Leben!“ Friedrich von Schiller

    Zitat von Gold2008

    Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.


    Gehts noch? :wall: :wall: :wall: Die Staatsanwaltschaft wird das bestimmt interessieren, was Du da vor hast ist kriminell :!: :!: :!:

    „Wenn kein Mensch mehr die Wahrheit suchen und verbreiten wird, dann verkommt alles Bestehende auf der Erde, denn nur in der Wahrheit sind Gerechtigkeit, Frieden und Leben!“ Friedrich von Schiller

    Kriminell ist es, wenn man die Kundendaten auf einem Server so zur Verfügung stellt, daß jeder Halbgescheite die runterladen kann. Dies ist ja offensichtlich passiert. Auch ich habe ein Mail mit Vornamen und Nachnamen adressiert plus email-Adresse erhalten. Eine email-Adresse, die ich ausserordentlich selten einsetze... insoweit muß ich davon ausgehen, daß der Spammer diese über auruminvest gewonnen hat.


    Das macht Auruminvest sicher nicht absichtlich. Ich würde mir allerdings wünschen, daß man wenigstens JETZT, wo das Kind in den Brunnen gefallen ist, entweder Maßnahmen ergreift, die das zukünftig unmöglich machen und dies dann auch kommuniziert oder aber den Shop vom Netz nimmt.


    Aktuell stelle ich fest, daß weder eine ausreichende Kommunikation stattfindet, noch der Shop vom Netz genommen ist.

    Früher stand auf den Dollarnoten: Gegenwert in Gold auszahlbar.


    Heute steht dort: Wir vertrauen auf Gott.

    Zitat

    Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.


    Tolle Idee, ist auch gar nicht kriminell oder so...
    Ist aber definitiv zu spät für solche Absichten.
    Sie haben sofort auf meine Mail reagiert, Lücke geschlossen, admin-folder gesichert.
    Absolut vorbildlich schnell reagiert, muss man sagen.
    Edit:

    Zitat

    Maßnahmen ergreift, die das zukünftig unmöglich machen


    Bereits geschehen, die haben die Lücke sofort geschlossen.

    Zitat von Gold2008

    Aktuell stelle ich fest, daß weder eine ausreichende Kommunikation stattfindet, noch der Shop vom Netz genommen ist.


    Das habe ich weiter oben auch bereits bemängelt, ein seriöses Krisenmanagement sieht etwas anders aus. Außderm ist ein Zugriff auf weitere Kunden- und Auftragsdaten nicht auszuschliessen, was dem ganzen noch mehr Brisanz gibt.


    Und zu Dir, Finger weg :boese:

    „Wenn kein Mensch mehr die Wahrheit suchen und verbreiten wird, dann verkommt alles Bestehende auf der Erde, denn nur in der Wahrheit sind Gerechtigkeit, Frieden und Leben!“ Friedrich von Schiller

    Zitat von IT-Pro

    Bereits geschehen, die haben die Lücke sofort geschlossen.


    Danke für Deinen Einsatz [smilie_blume]


    Na wenigstens ist etwas passiert, wenn das noch direkt und umgehend vom Betreiber kommuniziert worden wäre / würde, wäre das noch besser - ich weiß, ich bin zu anspruchsvoll ?)

    „Wenn kein Mensch mehr die Wahrheit suchen und verbreiten wird, dann verkommt alles Bestehende auf der Erde, denn nur in der Wahrheit sind Gerechtigkeit, Frieden und Leben!“ Friedrich von Schiller

    http://www.goldparadies24.de/index.php
    Ist soweit ich sehen kann zumindest relativ gesichert.



    http://www.muenzenzubehoer.ch/articles.php?tPath=19_32
    Steht genauso offen wie Auruminvest offen stand... Voller Zugang zu allen Daten.
    Jemand der die kennt sollte denen mal ne mail schreiben und auf
    http://forums.oscommerce.com/t…hole-found-in-oscommerce/
    verweisen, wenn ich das bei allen shops tun würde, die jetzt das Problem haben
    und die mit über den Weg laufen wär ich in 100 Jahren nicht fertig... :wacko:

    Zitat von Gold2008

    Ich habe heute nachmittag ohnehin einen Informatik-Studenten bei mir, vielleicht gelingt es ihm auch, alle Kundendaten aus den oscommerce-files von auruminvest-nw und anderen Münzhändlern zu ziehen, die oscommerce-Shops betreiben.


    Gibts irgendwo eine Liste mit Münzhändlern, die mit oscommerce arbeiten? Normalerweise steht bei solchen Shops auf der Startseite ganz unten in klein "oscommerce".


    Wäre doch mal schön, eine Liste von auruminvest-nw zu haben, mit Vorname, Nachname und email-Adresse.



    StGB § 202a
    Ausspähen von Daten


    (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.


    (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.


    Im konkreten Fall dürfte dies zwar nicht zutreffen, da die Daten nicht besonders geschützt waren (jeder konnte durch ein Security-Hole der Webshop-Software bei Kenntnis der Admin URL auf alle Namen/Adressen zugreifen und auch beliebige Mails an alle Adressen im Namen der Shop-Betreiber verschicken), allerdings bewegt man sich hier trotzdem auf sehr dünnem Eis und sollte mit derartigen Bemerkungen und ggf. Aktionen eher vorsichtig sein ...

    Danke, IT-Pro, das beruhigt mich ja, das auruminvest die Lücke geschlossen hat. Wenn die die Lücke geschlossen haben, heißt das ja, da WAR VORHER EINE UND JEDER DUMMSCHÄDEL konnte sich die Kundendaten herunterladen... grrrrrrrrrrrrrrr.


    Ist oscommerce eine kostenlose Software oder wie kommt das?

    Früher stand auf den Dollarnoten: Gegenwert in Gold auszahlbar.


    Heute steht dort: Wir vertrauen auf Gott.

    der genannte stgb-paragraph greift nicht, da die Daten eben nicht besonders zugangsgeschützt sind, sondern FREI ZUR VERFÜGUNG gestellt werden, - dafür muß man offensichtlich auch nichts hacken :)


    Insoweit ist das Herunterladen auch nicht strafbar.

    Früher stand auf den Dollarnoten: Gegenwert in Gold auszahlbar.


    Heute steht dort: Wir vertrauen auf Gott.

Schriftgröße:  A A A A A