Mittwoch, Juni 13, 2007

Der AutoScout24-Hack

Link zu diesem Artikel

Disclaimer: Ich habe rein gar nichts mit dem Hack zu tun. Meine zwei Verbindungen zum Unternehmen: a) Anscheinend habe ich auf der Web-Site vor langer Zeit einmal einen Account eröffnet und b) Der Sitz befindet sich in Sichtweite von meinem Zuhause, ca. 2km 580m Luftlinie (mit Google Earth nachgemessen).

Gestern Abend erreichte mich folgendes Mail:

Sehr geehrte Kundin, sehr geehrter Kunde

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Dank unserer hoch entwickelten technischen Überwachungssysteme konnten wir den versuchten Angriff aber ebenso schnell registrieren wie abwehren. Über die Identität und die Absichten der Hacker haben wir derzeit keine Anhaltspunkte. Bislang ist es aber zu keinen Unregelmässigkeiten auf unserer Plattform oder in Kunden-Accounts gekommen.

Die Sicherheit Ihrer Daten ist für AutoScout24 immer vorrangig. Wir haben uns deshalb entschlossen, heute ab 20.00 Uhr sämtliche Passwörter unserer Kundinnen und Kunden zurück zu setzen. Diese Massnahme hat rein präventiven Charakter und bietet das Höchstmass an Sicherheit nach einem abgewehrten Hacker-Angriff.

    Benutzername:  user
    Ihr neues Passwort lautet: password
    Link zur Passwortänderung:  http://www.autoscout24.ch/AS24Member/Login.aspx?wl=1&lng=ger

Bitte loggen Sie sich umgehend mit ihrem neuen, oben stehenden Passwort ein und ändern Sie es gleich nach Ihren Wünschen wieder ab. Klicken Sie dazu auf den Button „Passwort ändern“.

Benutzen Sie aber auf keinen Fall das Passwort, das Sie bislang auf unserer Plattform verwendet haben. An dieser Stelle möchten wir unsere Sicherheitsempfehlung wiederholen, alle Ihre Passwörter einmal im Monat zu ändern.

Wenn Sie weitere Fragen dazu haben kontaktieren Sie bitte unseren Kundendienst unter der Nummer: 031 744 21 31 oder schreiben Sie uns eine E-Mail an: info@autoscout24.ch

Quelle: E-Mail von info@autoscout.ch an mich, 12. Juni 2007, 22.34 Uhr

Partyguide sollte sich daran ein Vorbild nehmen!

So machen es die Semi-Profis (Profis müssten nie ein solches Mail versenden, weil es nichts zu hacken gibt):

• Systeme werden konstant auf verdächtige Aktionen überwacht
• Im Zweifelsfalle werden Passwörter aller Kunden zurückgesetzt
• Kunden werden umgehend über das Problem und dessen (vermuteten) Umfang informiert
• Kunden werden explizit darauf hingewiesen, dass es äusserst töricht wäre, wieder auf das alte Passwort zu wechseln
• Der Anbieter gibt Tipps, die über den Vorfall hinaus gültig sind (Passwörter regelmässig wechseln)
• Angabe einer E-Mail-Adresse und einer Telefonnummer, um mit dem Anbieter in Kontakt zu kommen

Das Tüpfchen auf den i wäre nun nur noch, wenn der Anbieter es unmöglich machen würde, das vorherige Passwort erneut zu verwenden.

Unpassend finde ich aber folgenden Satz:

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Hacker-Angriffe passieren - das bestreitet niemand ab. Es besteht aber ein himmelgrosser Unterschied, ob ein Angriff stattgefunden hat oder aber ob er tatsächlich erfolgreich war. Hier scheint letzterer Fall vorzuliegen - eine Verniedlichung ist definitiv nicht angebracht!

Labels: Hack, Sicherheit, Web

5 Kommentare | neuen Kommentar verfassen