Important Info: Security Incident on our Platform

Ja… habe es auch per Mail von Com und Es bekommen und in beiden Accounts ist auch eine Mitteilung.

2 Likes

Ich habe es auch bekommen. Die Mitteilung im Account habe ich erst jetzt gesehen.

Hier gibt es weitere Infos:

2 Likes

Ahoi an alle,

ja, es ist leider so. Wir wollten euch schonmal vorab informieren. Sobald wir weitere Informationen haben, lassen wir es euch über die verlinkte Seite wissen. Wir bleiben dran und halten euch auf dem Laufenden.

LG Rico

3 Likes

Ich find das gut, dass ihr uns so flott wie möglich Bescheid sagt, ich hab auch sofort die Passwörter gewechselt.

Aber ein mulmiges Gefühl, was an Daten verloren gegangen sein könnte bleibt bei mir im Moment, so viele persönliche Daten wie bei Euch hinterlege ich selten irgendwo im Internet :no_mouth::flushed:

Aber für das (hoffentlich frühzeitige) Erkennen des Angriffs danke ich Euch schon mal

Ich finde den Hinweis, dass ich mein Passwort ändern soll ehrlich gesagt eher beunruhigend. Wie hat Spreadshirt denn die PWs gespeichert? Mit nem salted SHA512 sollte es nämlich nicht notwendig sein das PW zu ändern, auch wenn die UserDB in falsche Hände geraten ist.

Ahoi @BerlinShirts4You

Es ist eine Vorsichtsmaßnahme, weil viele immer noch schwache Passwörter verwenden und dieselben Anmeldedaten (z. B. die Kombination aus E-Mail und Passwort) für mehrere Websites. Im Moment arbeiten unsere Sicherheitsteams und eine externe Sicherheitsagentur daran, alles aufzuklären. Sobald es mehr Infos gibt, werden diese auf der oben genannten Seite aktualisiert.

LG Rico

Vielen Dank für die Vorwarnung! Das ist bei Datenlecks nicht immer der Fall und es ist gut, dass Spreadshirt hier transparent ist. Ich benutze immer noch BitWarden Password Generator für Passwörter. Es ist sehr effektiv !!! :lock: :innocent:

2 Likes

Nu muss ich doch mal fragen… in der zweiten Mail heute wird unter anderem empfohlen, das PayPal Passwort zu ändern.

Wieso das denn? Speichert Spreadshirt etwa PayPal hashes? Ansonsten macht die Empfehlung nur Sinn, wenn einer das gleiche Passwort auf beiden Plattformen hat…

Frage: wird entsprechend geback-Uped? Was passiert wenn nein Account von Hacker gelöscht wird. Könnt ihr dann sofort wieder herstellen oder sind die Daten dann für immer verloren. Ich sag’s mal so. Ein Hacker der alle Konten löscht und ihr nicht die Möglichkeit habt diese wiederherzustellen….der zerstört ein ganzes Geschäftsmodell eines börsennotierten Unternehmen.

Na, jetzt aber mal entspannt bleiben. Ein Konto kann nur dann gelöscht werden, wenn entweder:

  1. Das korrekte Passwort zum geklauten Hash (und nur die Hashes wurden laut Spreadshirt entwendet) gefunden wird (Je nach Passwortsicherheit geht das sehr schnell oder überhaupt nicht). Dann ist aber auch nur dieses Kontro betroffen.

oder

  1. Zugang zur Datenbank besteht mit den Rechten diese einfach platt zu machen (nicht grundsätzlich ausgeschlossen, aber sehr viel schwerer zu bewerkstelligen und hier auch NICHT passiert).

Selbst wenn 2. eintritt gibt es für die Datenbank sicherlich ein Backup, so dass maximal die letzten 24h verloren sind.

Insgesamt ist das natürlich nicht gerade vertrauenserweckend was hier passiert ist, aber so etwas geschieht quasi täglich auf der Welt. Wir alle können uns schützen, indem wir SICHERE Passwörter benutzen, wie Spreadshirt auch immer wieder betont. Dass die entwendeten Daten natürlich auch ohne den Zugang zum Account einen gewissen Wert haben (immerhin handelt es sich um validierte Adressdatensätze, die sich super zu Werbezwecken einsetzen lassen z.B.) steht auf einem anderen Blatt.

Och, ich bin nicht besonders sauer auf spreadshirt. Passiert halt. Das ist IT.
Aber die Empfehlung mit dem PayPal Passwort… da frage ich mich dann schon was das soll.

Ahoi an alle,

bitte wendet euch mit euren Fragen an die in der Email angegebenen Adresse: support@spreadshirt.net
So sehr ich eure Fragen bezüglich des Sicherheitsvorfalls beantworten möchte, so kann ich es doch nicht. Alle Informationen diesbezüglich findet ihr auf der folgenden Seite:

Sobald wir weitere Informationen haben, werden wir die Seite aktualisieren.

Darüber hinaus würde ich euch auch bitten, keine Annahmen, Vermutungen oder Theorien hier im Forum zu diskutieren, um zusätzlicher Verunsicherung Vorschub zu leisten. So wie wir unser Bestes geben, diesen Vorfall schnellstmöglichst aufzuklären, möchte ich euch bitten bestmöglichst die Füße still zu halten.

Gruß Rico

Ahoi @digiro,

Unser Anschreiben ist ja ein Anschreiben für alle. Ein Passwortwechsel sowohl für den Spreadshirt Account als auch für einen Paypal Account ist eine Vorsichtsmaßnahme, die man ruhigen Gewissens gehen kann und sollte.
Es gibt sicher auch Partner, die die selbe Email für ihren Paypal Account nutzen wie für ihren Spreadshirt-Account und darüber hinaus dort sicher auch Partner, die für beide Logins die selben Passwörter nutzen. Das nicht nur in der aktuellen Situation ungünstig.
Wir können in unserem Anschreiben keine individuell passenden Vorsichtsmaßnahmen aufzählen, sondern ausschließlich generelle.

Gruß Rico

1 Like

Can you activate 2FA (2 factor authentication) ?

Ahoi @kriboogh,

Da wir das bis zum derzeitigen Zeitpunkt technisch nicht unterstützt haben, gibt es keinen Schalter, den man einfach umlegt, um diese Art der Authentifizierung anzuschalten.
Aufgrund der aktuellen Sicherheitslage kann ich keine Aussage machen bezüglich zukünftiger Sicherheitsvorkehrungen.

Since we have not technically supported this up to this point, there is no switch that you simply switch to turn on this type of authentication.
Due to the current security situation, I cannot make any statement regarding future security precautions.

Die Passwoerter von Spr. habe ich direkt geaendert… aber bei Paypal mach ich das wirklich ungern. … weiss auch nicht warum da ich ueberall ein anderes Passwort verwende.

1 Like

Welche Daten sind betroffen?

Betroffen sind die Adressdaten, vor 2014 gespeicherte Passwort-Hashes sowie Bankverbindungen bzw. PayPal-Adressen.

Heisst das jetzt das nur Daten abgegriffen wurden die vor 2014 vorhanden waren?

Ahoi @Nicky2342,

wie oben bereits geschrieben, kann ich eure Fragen diesbezüglich hier nicht beantworten. Wende dich mit deinen Fragen bitte an die oben angegebene Adresse.

Danke!
Gruß Rico

Komischerweise habe ich seither keine Sellings mehr, quasi pünktlich mit dem Sicherheitsvorfall.

Ob da nicht ein Zusammenhang besteht?

Ahoi @3ATHLIZE,

da gibt es keinen Zusammenhang. Ich möchte dich aber nochmal auf meine Bitte etwas weiter oben hinweisen:

Darüber hinaus würde ich euch auch bitten, keine Annahmen, Vermutungen oder Theorien hier im Forum zu diskutieren, um zusätzlicher Verunsicherung Vorschub zu leisten. So wie wir unser Bestes geben, diesen Vorfall schnellstmöglichst aufzuklären, möchte ich euch bitten bestmöglichst die Füße still zu halten.

Seid euch immer gewiss, dass Dinge, die hier und auf sozialen Platformen besprochen werden auch immer ihren Weg hinaus finden und dann falsch dargestellt, mißverstanden oder absichtlich falsch genutzt werden können. Nicht überall gibt es dann die Möglichkeit der Richtigstellung. Daher sind Vermutungen und falsche Rückschlüsse nicht förderlich.

Gruß Rico