3dSupply Opfer eines Angriffs

[Annika_Kremer]

Zum Opfer eines Angriffs mit anschließendem Datenverlust wurde der unter Zockern und Internet-Fans beliebte T-Shirt- und Zubehör-Versand 3dSupply. Offenbar wurde vom 26C3 aus die Datenbank des Unternehmens gehackt.

zur News

[mosi9]

umgesehen und ein Scherzprodukt eingestellt (T-Shirt: 'I hacked 3dsupply and all I got was this lousy shirt')

YMMD
Echt genial

[A-N-Other]

Geht doch: Fehler eingesehen, Schaden eingegrenzt, kein großes Rumgezicke, Hack und erwünschte Reaktion erfolgreich.

Nur schade, dass immer zuerst Schaden entstehen muss, bevor etwas passiert.

[flo8464]

Lieber Kunde,

am 30.12.2009 zwischen 0 und 4 Uhr wurde unser Shopsystem vom 26C3 aus angegriffen. Die Hacker konnten dabei eine SQL Injection Lücke ausnutzen um Teile unserer Datenbank abzufragen.

Wir konnten den Angriff genau nachvollziehen und es sind maximal folgende Daten von dir abgefragt worden:
- Nickname
- diese Emailadresse
Unsere persönliche Annahme ist, dass die Daten nicht missbraucht werden werden. Dennoch macht es Sinn dich zu informieren.

Der Rest des Angriffs war vom Muster her eine Proof of Concept Attacke. Die Hacker konnten sich in unseren Shopadminbereich einloggen, haben sich dort aber nur umgesehen und ein Scherzprodukt eingestellt (T-Shirt: "I hacked 3dsupply and all I got was this lousy shirt".

Wir haben folgende Maßnahmen ergriffen bevor der Shop wieder angeschaltet wurde:
1. Vorsoglich alle Kundenprofile gelöscht.
2. Die Lücke geschlossen.
3. Unseren Adminlogin geändert und umgelegt.

Die erste Maßnahme bedeutet, dass dein Kundenprofil in unserem Shop jetzt gelöscht ist. Also wenn du nochmal bestellen willst, dann wird dein Login nicht mehr funktionieren. Das ist kein Bug, sondern ein Feature .

Wir hoffen, dass du uns trotzdem weiterhin dein Vertrauen schenkst und den Shop mal wieder besuchst. Dieses Jahr wird sich auch einiges Spannendes tun bei uns und wir werden das alte Shopsystem durch ein neues ersetzen.

Viele Grüße und ein frohes neues Jahr,

Marius Laabs und das 3DSupply Team

http://www.3dsupply.de/

...

[WayneEU]

Zwei interessante Fakten:

1. Im 26C3-Wiki ist 3DSupply nicht zu finden.

2. Weder auf 3DSupply.de, noch im 3DSupply-Blog ist über den Vorfall etwas zu lesen. Sowas nennt man wohl Kundentransparenz?

Theorie: Vielleicht hat da auch jemand statt ein Backup der Datenbank zu machen diese gelöscht und schiebt es dem 26C3 nun in die Schuhe, wer weiß?

Oh und ist keinem von euch eigentlich die Ähnlichkeiten zu diesem T-Shirt aufgefallen?

[360Gamer89]

Hmm, das hab ich gefunden: http://tinyurl.com/yftr9tc

[ThYpHoOn]

Bestimmt nur ein Medien-Hack :P

[Annika_Kremer]

Zwei interessante Fakten:

1. Im 26C3-Wiki ist 3DSupply nicht zu finden.

Interessant, man sollte doch meinen, dass die eine Abuse-Nachricht schicken... das wäre wahrscheinlich weite Nachforschungen wert. Danke für den Hinweis.

[ThYpHoOn]

Hmm, das hab ich gefunden: http://tinyurl.com/yftr9tc

Hier der Log vom Wiki:

* 23:27, 1. Jan. 2010 (Versionen) (Unterschied) K Lachschon ‎ (aktuell)

Ich denke daher mal deutlich einfach nur Fake.... Ansonsten wäre das schon Zeitnah passiert.

[epiphora]

Die Guten müssen aber doch ganz schön in Panik gewesen sein, was man an diesem Schreibfehler sieht:

Unsere persönliche Annahme ist, dass die Daten nicht missbraucht werden werden.

Fehler eingesehen, Schaden eingegrenzt, kein großes Rumgezicke, Hack und erwünschte Reaktion erfolgreich.

[irony]Nein, ich gehe davon aus, dass die Meldung an die User gar nicht erfolgt wäre, wenn der Spruch "I hacked 3dsupply and all I got was this lousy shirt" nicht zu cool gewesen wäre, um ihn zu verheimlichen.[/irony]

Aber den gleichen Eindruck habe ich bekommen, als ich mal mit deren Support geschrieben habe: Dort sitzen vernünftige Leute, die einen Blick für die Realität haben und die fair gegenüber ihren Kunden stehen, auch wenn dabei das Image ihres Shops angekratzt werden könnte.

[ironkung]

Finde es ne witzige Aktion, und das mit dem T-Shirt finde ich super.
Kann man das noch kaufen??

[wolfkid]

Die Guten müssen aber doch ganz schön in Panik gewesen sein, was man an diesem Schreibfehler sieht:
Zitat:
Unsere persönliche Annahme ist, dass die Daten nicht missbraucht werden werden.

Wo siehst du da einen Schreibfehler? Ich sehe da eher bei dir einen Verständnisfehler.

[Cayenne]

Die Guten müssen aber doch ganz schön in Panik gewesen sein, was man an diesem Schreibfehler sieht: [Zitat]

Das doppelte "werden" ist schon korrekt, denk nochmal drüber nach.

Ich persönlich weiß nicht so genau, was ich von der ganzen Aktion halten soll.

[Sempralon]

Seit gestern werden wir alle mittels "ELENA" gehackt!

... und diese Datenbank benötigt bestimmt keinen Schutz!

[Dlwer]

Guten Tag

Ich weiß nicht ob die Gulli Redaktion, dass schon geschrieben hat. Aber die "Thor Steinar"-Datenbank wurde geklaut. Wollte ich nur mal erläutern, da anscheinend einiges wieder gehackt wird


Auszug aus dem Standard:

"Thor Steinar"-Mode gilt in rechtsextremen Kreisen als sehr beliebt

Hacker aus dem Umfeld des 26. Chaos Communication Congress (26C3) in Berlin haben offensichtlich die Web-Datenbank von thorsteinar.de geknackt und im Internet veröffentlicht. Ein Vertreter der Website nannte die Aktion einen "kapitalen Diebstahl persönlicher Daten" und betonte, dass "rechtliche Schritte zur Feststellung der Täter bereits eingeleitet wurden"

http://derstandard.at/1259282892342/...inar-Datenbank

Dlwer

[epiphora]

Ich sehe da eher bei dir einen Verständnisfehler.

Das doppelte "werden" ist schon korrekt, denk nochmal drüber nach.

Hmmmmm. Aber einmal 'werden' ergäbe genau so viel Sinn. Auch damit würde man schon ausdrücken, dass man davon ausgeht, dass eben nichts weiteres geschieht.

Aber okay, ich gebe mich ein wenig geschlagen.

[Cayenne]

Hmmmmm. Aber einmal 'werden' ergäbe genau so viel Sinn. Auch damit würde man schon ausdrücken, dass man davon ausgeht, dass eben nichts weiteres geschieht.

Naja, ich versuche mal, es zu erklären: Ein einfaches "werden" würde bedeuten, man gehe davon aus, dass die Daten derzeit nicht missbraucht werden würden (Gegenwart). Jedoch gehen die Shopbetreiber davon aus, dass die Daten nicht missbraucht "werden werden" (Zukunft). Ich bin zwar kein Deutschlehrer oder Germanist, aber ich hoffe mal, es war trotzdem verständlich.

@Dlwer: Fragt sich, was die Hacker damit vorhaben und ob von der Datenbank ein Backup existiert.

[Annika_Kremer]

Guten Tag

Ich weiß nicht ob die Gulli Redaktion, dass schon geschrieben hat. Aber die "Thor Steinar"-Datenbank wurde geklaut. Wollte ich nur mal erläutern, da anscheinend einiges wieder gehackt wird

Haben wir nicht, da es zu dem Zeitpunkt, wo wir es auf dem Schirm hatten (wir hatten über die Feiertage verständlicherweise eh immer kleine Besetzung) ohnehin schon überall berichtet worden und damit für uns nicht mehr interessant war. Davon abgesehen (das ist aber meine persönliche Meinung) reicht das Geflame im Wikileaks-Thread auch gerade; noch eine Schlammschlacht zum Thema "darf man Nazis hacken" muss nicht sein.

[4lCapwn]

allein die Fragestellung "Darf man Nazis hacken" wenn TS gehackt wird is doch schon voreingenommen

und ja sorry, ich fang grad an das Thema hier auch auszugraben.

[BKJ]

@Cayenne

Es ist zwar korrekt, aber eine Verschandelung der deutschen Sprache auf die schlimmste Weise -.-
Nicht alles was korrekt ist, muss unbedingt so Verwendung finden.

Im deutschen kann man Futur ohne Probleme mit Präsens ausdrücken, also nur ein "werden", was auch wesentlich schöner ist...