Eilmeldung: Datenpanne bei Marketing-Plattform von Shift Crypto

ActiveCampaign, ein Dienst, den Shift Crypto für E-Mailversand benutzt, hatte ein Datenleck. Was das bedeutet, erfährst du hier!

Moin zusammen,

Ich habe soeben meine allererste Spam-Email dieses Jahr erhalten. Leider an eine Email-Adresse, die ich ausschließlich für meine Bestellung bei Shiftcrypto verwendet habe…
Hat noch jemand die gleiche bekommen? Kann sich jemand vom Shiftcrypto-Team bitte dazu äußern? Sind nur Emails betroffen?

Viele Grüße

1 „Gefällt mir“

Nope, ich nicht.
Es kann aber auch der fall sein, dass der Anbieter der E-Mail Adresse, dein domain Anbieter oder dein eigenes Endgerät auf dem du auf die Mail zugreifst kompremitiert wurde.

Hi,

ist mir auch passiert. Da ich die Adresse exklusiv für ShiftCrypto eingerichtet hatte, könnte der Leak dort passiert sein.

Cheers
TB

Weißt du mehr zu diesem Thema @Stadicus ?

Das wäre sehr sehr unwahrscheinlich, da die Email-Adresse gar nicht existiert, sondern nur per catch-all-Funktion in meinem Domain-Postfach landet. Dadurch habe ich für jeden Service, bei dem ich mich anmelde, eine eigene Fake-Email-Adresse, und kann bei Spam-Mails sofort sehen, welcher Service schuld dran ist.

Viele Grüße

Und wenn dein E-mailanbieter eben kompromittiert wurde (oder Adressen vertickt, ein Schelm wer Böses denkt), dann sieht derjenige auch deine ganzen Aliase und Verläufe.

1 „Gefällt mir“

Habe die E-Mail auch bekommen.
Könnte den Newsletter von ShiftCrypto betreffen. Dort habe ich die betroffene Adresse verwendet.

Das wäre nicht der erste Newsletter-Anbieter, der „failed“.

Wenn möglich, sollte man für Newsletter generell nochmal eine separate Email-Adresse nutzen, getrennt von der für die Bestellung oder Registrierung von Krypto-Produkten.

1 „Gefällt mir“

Ja. Newsletter hatte ich nicht bestellt.

Habe die Mail auch erhalten.
Der Leak stammt definitiv von ShiftCrypto, ich habe diese Mail einzig für die BitBox erstellt.

Hoffentlich sind keine Lieferadressen abhanden gekommen!

Same here. Habe auch die Newsletter

Hier auch, entweder Newsletter oder Bestellung (da individuelle Adresse für Shift Crypto).
Habe den Support heute Morgen über das Thema per Mail informiert.

Ich habe ebenfalls eine solche email bekommen. Auch an die Adresse, die bei shiftcrypto verwendet wurde.

Habe ich auch bekommen. Man muss dazu sagen dass hier wahrscheinlich nur Kunden betroffen sind die beim Newsletter angemeldet sind, ansonsten werden die Daten nach der Privacy Policy von Shift gelöscht.

Außerdem heißt es:

Marketing

If you subscribe to any of our newsletters, the only data we save are your email address and name, or alias if you chose to use one when subscribing. We don’t store order data like physical addresses or specific products ordered on that platform. You can unsubscribe at any point and all your data will be deleted from our newsletter tool within 30 days.

Es sind also keine Anschriften oder Kaufinformationen gefährdet – laut Policy.

Hier vielleicht noch als Tipp: Dienste wie AnonAddy oder SimpleLogin sind für sowas perfekt geeignet. Für jeden Anbieter einfach einen neuen Alias verwenden der dann erst an die eigentliche Adresse weiterleitet.

Das hat den entscheidenden Vorteil dass ich einzelne Adressen einfach deaktivieren oder löschen kann und alles von der eigenen Adresse/Domain komplett entkoppelt ist.

Why You Need a DIFFERENT EMAIL Address for Every Account - YouTube

6 „Gefällt mir“

Danke für den Tipp, diese beiden Services kannte ich noch nicht! Bisher landet alles mit meiner Domain bei mir, das schützt mich zukünftig aber noch nicht vor massenhaft Spammails. Daher werde ich die mal ausprobieren.

Viele Grüße

Habe gerade diese Mail von Shiftcrypto als Stellungnahme zu dem Leak bekommen:

Liebe Kunden und Partner,

wir wenden uns an unsere Newsletter-Abonnenten und andere Geschäftskontakte, um vor möglichen Phishing-Angriffen zu warnen. Grund dafür ist ein Datenleck bei ActiveCampaign, einem gehosteten Dienst, den wir für den Versand von Marketing-E-Mails genutzt haben. Wir und das Sicherheitsteam von ActiveCampaign untersuchen den Vorfall und werden dich auf dem Laufenden halten, sobald die Untersuchungen abgeschlossen sind.

Bitte beachte, dass deine Bitcoin und andere Kryptowährungen sicher sind. Dieser Vorfall hat nichts mit der BitBox02 und der BitBoxApp zu tun. Du musst nichts unternehmen, außer dich vor verdächtigen E-Mails in Acht zu nehmen. Bitte lies weiter für mehr Details.

Was passiert ist
Vor ein paar Tagen entdeckten wir, dass unser ActiveCampaign-Konto gesperrt wurde und setzten uns sofort mit dem Support in Verbindung, um den Grund dafür zu erfahren. Das ActiveCampaign Sicherheitsteam teilte uns mit, dass eine nicht autorisierte Person E-Mail-Listen heruntergeladen hat, obwohl wir explizit die umfangreichen Sicherheitsmaßnahmen inklusive globaler 2-Faktor-Authentifizierung von ActiveCampaign nutzen. Trotz unserem Drängen auf weitere Informationen hat ActiveCampaign uns bisher keine Antworten auf grundlegende Fragen geliefert.

Wir gehen davon aus, dass es Versuche geben wird, unsere Newsletter-Abonnenten zu kontaktieren. Heute haben wir Berichte über Phishing-E-Mails erhalten, die wahrscheinlich mit diesem ActiveCampaign-Datenleck in Verbindung stehen. Wir möchten die Situation transparent darstellen und auf grundlegende Sicherheitsvorkehrungen hinweisen.

Was NICHT betroffen ist
Dieses Datenleck enthält nur minimale Kontaktinformationen, wodurch folgendes nicht betroffen ist:

  • Dieser Vorfall hat nichts mit der BitBox02 und der BitBoxApp zu tun. Deine Coins auf der BitBox02 sind sicher. Du hältst deine Schlüssel und du allein kontrollierst deine Coins.
  • Die persönlichen Daten, die für den Versand deiner Bestellung benötigt werden, wurden nicht in ActiveCampaign gespeichert.

Ein Vorfall wie dieser ist der Grund, warum wir den BitBox Shop selbst hosten und persönliche Daten nach 30 Tagen anonymisieren.

Diese Daten sind betroffen
Dieses Datenleck enthält minimale Kontaktinformationen von aktiven Kontakten, die unseren Newsletter abonniert haben oder in den letzten 30 Tage eine Bestellung aufgegeben haben:

Name oder Alias
E-Mail Adresse
IP-Adresse deines Computers (z.B. 36.172.17.116)

Um Follow-up-E-Mails an Kunden zu senden, speichert ActiveCampaign vorübergehend Transaktionsdaten, z. B. die Sprachauswahl im Shop, die Bestellnummer und den Bestellstatus (z. B. „fulfilled“), die ebenfalls von dem Datenleck betroffen waren. Solche Transaktionsdaten werden innerhalb von 30 Tagen aus ActiveCampaign gelöscht.

Für eine kleine Anzahl von manuell hinzugefügten Geschäftspartnern, wie z. B. Reseller, wurden zusätzliche Kontaktinformationen in ActiveCampaign gespeichert.
­
­
Was sollte ich tun, um sicher zu sein?
Praktisch gesehen musst du nichts unternehmen. Deine BitBox02 ist sicher und es besteht kein Handlungsbedarf. Wir wenden uns an unsere Nutzer und Abonnenten, um dich auf die Situation aufmerksam zu machen. Betrüger, die in den Besitz deiner E-Mail-Adresse kommen, könnten versuchen, dich mittels Phishing dazu zu bringen, sensible Daten preiszugeben.

[…]

usw.

3 „Gefällt mir“

Wie es einfach kein Anbieter schafft die Daten seiner Nutzer zu schützen. Wenn das technisch versierte Personen mit finanzieller Motivation (Shift Crypto) nicht schafft, dann schafft das unser Staat niemals. Das wird was mit Chatkontrolle 2.0. Bin gespannt wie viele Selbstmorde es nach Nacktfoto Leaks gibt… Abartig unverantwortlich.

Die oben genannte Email ist autentisch und stammt von uns. Wir haben dieselben Informationen auch eben auf unserem Blog veröffentlich:

8 „Gefällt mir“

Manchmal denke ich mir diese ganze Email Sache ist inzwischen einfach ultra veraltet. Ich will auch nicht jedes mal überall neue Email Addressen verwenden. Es ist unpraktisch und nervig.

Es wäre vielleicht nicht so schlimm wenn jede Email ein paar Cent kosten würde. Das würde Spam Wellen kostspielig machen. Und damit dann Anbieter wie Shiftcrypto nicht bei jedem Newsletter Unsummen bezahlen müssten, könnte man als Empfänger bestimmte Sender kryptographisch autorisieren, so dass diese unentgeltlich Emails senden können. Irgendwie so etwas in der Art.

2 „Gefällt mir“