Eilmeldung: Datenpanne bei Marketing-Plattform von Shift Crypto

Na, da siehst du es doch wieder.

Prinzipiell ja, vor allem die üblicherweise fehlende Verschlüsselung, die aber hier nicht das Problem war.

Ich weiß nicht ob dir das bewusst ist, aber diese Idee wurde schon in den 90ern von Adam Back umgesetzt, und trug maßgeblich zur Entwicklung von Bitcoin bei. :slight_smile:

Hashcash – Wikipedia

Allerdings könnte ich mir vorstellen, dass eine sinnvolle (rechenintensive) Implementierung für Emails zu einem ordentlichen globalen Energieverbrauch führen würde.

Wisst ihr schon, ob und wie die 2FA umgangen wurde?

Evtl. war es ja Betrug seitens des Anbieters.

3 „Gefällt mir“

Wir haben leider noch keine näheren Information von ActiveCampaign. Unsere Priorität ist Transparenz und die Warnung unseren Nutzer, auch mit unvollständigen Informationen.

Alle neuen Erkenntnisse werden wir im Blog-Artikel dokumentieren. Wir folgen unseren etablierten Prozessen für sicherheitsrelevante Vorfälle (Task Force, Dokumentation, Kommunikation, etc.). Wenn der Vorfall soweit aufgearbeitet ist, gibt’s auch ein ordentliches Post Mortem.

13 „Gefällt mir“

Hier der Link für die Faulen wie mich: → BitBox Blog

(die Sprache kann man in einer Zeile oben auswählen)

2 „Gefällt mir“

Warum wurden denn die Daten weitergegeben, auch wenn der Newsletter nicht bestellt wurde?

Ich wäre in dem Fall auch betroffen. Aber ich habe meine Mailadresse bei Posteo. Da bekomme ich keine Spam-Mails.

1 „Gefällt mir“

Die Frage ist wohl eher, wie zur Hölle kann eine seriöse 2FA umgehen werden?

2FA bietet nur Schutz wenn der Angreifer lediglich deine Zugangsdaten erbeutet hat und sich regulär damit einloggen will. Wenn aber der Datenbankserver mit den Kundendaten gehackt wurde bringt 2FA nichts. Dann hat man direkten Zugriff auf alles was unverschlüsselt in der Datenbank vorliegt. Es gibt viele Szenarien wie man durch Sicherheitslücken direkten Zugriff auf Server bekommen kann.

1 „Gefällt mir“

Für mich nicht. Wenn ich bei ShiftCrypto eine Bitbox bestelle und keinen Newsletter abonniere, erwarte ich, dass meine Daten an Niemandem weitergegeben werden.

1 „Gefällt mir“

Hätte man nach dem Datenleak bei Ledger auch besser machen müssen.

Boah Leute, so ein Datenleak kann leider immer passieren → deshalb den Beitrag von @sutterseba lesen und das Video anschauen

What was NOT compromised

This data breach contains minimal contact information, which means that the following is not part of this breach:

  • This incident has nothing to do with the BitBox02 and the BitBoxApp. Your funds on the BitBox02 are safe. You hold your keys, and you alone control your coins.
  • The personal information needed to ship your order was not stored in ActiveCampaign.

Auszug aus dem ShiftCrypto-Blog

1 „Gefällt mir“

Nichts für ungut, aber ich muss sagen, dass ich etwas enttäuscht bin. :neutral_face:

Ich bin mir sicher, ihr habt bei Shift Crypto massiv von der Panne bei Ledger profitiert - die zugegebermaßen von Ledger sehr schlecht gehandelt wurde. Vielleicht war auch insgeheim ein bisschen Schadenfreude dabei. Ich möchte gar nicht wissen, wie seit diesem Vorfall eure Verkaufszahlen gestiegen sind. Es sei euch gegönnt, es ist ja auch ein sehr gutes Produkt. Sowohl vom Blocktrainer-Team, der Community hier als auch von vielen Bitcoin-Maxis wird seither fast ausschließlich nur noch die Bitbox empfohlen.

Und dann macht ihr die selben Fehler wie Ledger!? Das ist echt peinlich. Vor allem, weil ihr auch noch betont, wie sehr ihr auf Privacy bedacht seid. Immerhin sind diesmal nicht die Adressen auch noch geleaked. Und die Kommunikation läuft besser.

Es muss euch doch klar sein, dass ihr als Firma selber, sowie eure Kunden ein „High-Value-Target“ darstellen. Vor diesem Hintergrund kann ich absolut nicht nachvollziehen, wieso überhaupt irgendwelche Daten an irgendwelche externen Dienstleister weitergegeben werden. AGBs hin oder her, die liest sowieso niemand.

Aus wirtschaftlichen Gründen ist es natürlich bequemer und günstiger, wenn man das an externe Dienstleister auslagert. Andererseits gibt es auch Open-Source Lösungen für Email-Newsletter, die man selber hosten kann. Klar, das kostet Zeit und Geld, denn auch damit muss man sich auskennen und die Server selber absichern, administrieren und warten. Und ich weiß auch, dass ein Mailserver - obwohl ja eine uralte Technik - heutzutage gar nicht so einfach zu handhaben ist.
Aber das sollte es euch eigentlich wert sein!?

7 „Gefällt mir“

OT: Erst vor ein paar Monaten haben das Hacker bei der Börse crypto(.)com geschafft, die 2FA komplett zu umgehen und bei einigen Kunden angefangen, die Konten leer zu räumen. Zum Glück hat das Security Monitoring frühzeitig zugeschlagen und der Schaden konnte begrenzt werden, die betroffenen Kunden wurden entschädigt. Deshalb gibt es jetzt auch dort 24h Sperren für neue Auszahladressen…
Die technischen Details des Angriffs haben sie meines Wissens nicht preisgegeben. Aber es gibt auch bei 2FA Angriffsvektoren, die offenbar funktionieren. :grimacing:

1 „Gefällt mir“

Also aus meiner Erfahrung mit IT Sicherheit kann ich sagen dass es niemals absolut sichere IT Systeme geben wird. Solange man nicht ausgeklügelte Systeme nutzt die die Daten offline und getrennt von online Netzwerken speichern wird es immer wieder solche Leaks geben.

Die Software die auf den Servern laufen ist einfach zu komplex um sie jemals frei von Sicherheitslücken zu kriegen. Es hätte genau so gut einen Server von Shift Crypto treffen können. Wenn der Anreiz groß genug ist findet immer jemand eine nutzbare Sicherheitslücke. Egal wie sorgfältig der Anbieter ist. Shift Crypto kann Software einsetzen und konfigurieren aber viele Sicherheitslücken können sie einfach nicht beeinflussen weil es den Code der Software an sich betrifft.

Das beste was man tun kann ist die Daten zu löschen oder den Großteil immer offline archivieren. Und das tut Shift Crypto soweit ich weiß. Kundendaten werden nach einer gewissen Zeit gelöscht. Bei einem Newsletter System muss man natürlich ein paar Daten dauerhaft vorhalten. Aber wie man sieht hat man nicht unnötigerweise auch Adressdaten gespeichert. Die sind ja nicht betroffen.

Man solle sich jedenfalls darauf einstellen dass in Zukunft Anbieter wie Shift Crypto immer wieder Opfer von Hackerangriffen werden. Man kann nur versuchen den Schaden möglichst gering zu halten. Absolute Sicherheit ist eine Illusion.

4 „Gefällt mir“

Dann sollte man die Daten nach dem Druck auf der Versandetikette sofort löschen. Ebenfalls wäre die Angabe einer E-Mail bei der Bestellung eigentlich gar nicht nötig.

So ein „privater“ Newsletter Server muss doch nicht dauerhaft online sein…
Wenn der newsletter fertig ist, nehm ich den Server kurz ans Netz und wenn die emails raus sind, trenne ich ihn wieder.
Wäre so ne Idee von mir.

Ich finde es nicht verhältnismäßig diesen Vorfall mit dem Ledger Leak zu vergleichen. Kundendaten werden bei Shift Crypto anonymisiert und können gar nicht wie bei Ledger angegriffen werden. Man muss sich außerdem aktiv zum Newsletter anmelden.

Sowas findet sich sonst bei nahezu keinem Anbieter:

Wer sich mit seiner einzigen privaten E-Mail Adresse bei einem Newsletter anmeldet, dem scheint ernsthafter Schutz vor Spam & Phishing sowieso egal zu sein. Das entschuldigt zwar nicht den aktuellen Vorfall, aber es ist doch so.

Bei jedem zweiten anderen Anbieter werden Kundendaten einfach verkauft. Ich finde es etwas lächerlich wie viele sich jetzt aufregen als hätte man ihre digitale Identität gestohlen während die meisten bei anderen Diensten ihre Daten wortwörtlich verschenken.

Und wie melde ich mich dann von diesem Newsletter außerhalb der Betriebszeiten an bzw. ab? :slight_smile:

Genau, wieso bestellen wir nicht einfach über Rauchzeichen?

Wenn du deine E-Mail Adresse bei einer Bestellung nicht Preis geben möchtest, dann hol dir eine 10 Minute Mail oder generier dir sonst wo eine Wegwerfadresse.

Für ein Unternehmen ist es aber wichtig nach einer Bestellung den Kunden erreichen zu können, z.B. Zahlung nicht erfolgreich, Bestellung verzögert sich, usw.

5 „Gefällt mir“

Dazu kann man auf der Shift Crypto Seite folgendes lesen:

Wenn du bei uns kaufst, müssen wir dir unsere Produkte zusenden können. Du gibst uns die Versandadresse in unserem eigenen, selbst gehosteten Webshop an. Aus betrieblichen Gründen speichern wir diese Daten bis zu 30 Tage. Nach diesem Zeitraum werden die Informationen anonymisiert, d.h. alle persönlich identifizierbaren Daten werden aus unserem Shopsystem gelöscht.

Aufgrund gesetzlicher Vorgaben müssen wir die Rechnungsbelege für bis zu zehn Jahre aufbewahren: diese Kopien bewahren wir auf einem verschlüsselten Archivspeicher auf, welcher für Drittdienste nicht zugänglich ist.
Quelle: Wie Shift Crypto deine persönlichen Daten schützt

Zumindest sollte es beim Newsletter einen deutlichen Hinweis darauf geben welche Daten gespeichert werden und dass diese einem gewissen Sicherheitsrisiko ausgesetzt sein können.

1 „Gefällt mir“

Finde ich auch. Außerdem haben Betroffene auch jetzt die Möglichkeit sich der betroffenen Email Adresse zu entledigen. Wären wie bei Ledger auch Adressdaten betroffen müsste man umziehen :smiley:

Ich finde Shift Crypto insgesamt immer noch sehr vorbildlich und man ergreift Sicherheitsmaßnahmen die nicht selbstverständlich sind.
Und bei Sicherheit kann man es immer besser machen. Es ist letztendlich auch eine Frage von Zeitaufwand und Kosten. Aber das schafft letztendlich nur größere Hürden für Angreifer und schafft nie absolute Sicherheit.
Wer sich bei einem Newsletter System anmeldet muss leider mit solchen Vorfällen rechnen.

1 „Gefällt mir“

Apple bietet mit seinem Hide-my-Mail-Feature eine einfache Funktion auch für technich uninteressierte Personen. Kosten ca. 4000 sats im Monat.