Pollin wurde gehackt

[Sascha]

Hab ich grade auf Heise gesehen:
http://www.heise.de/newsticker/meldung/ ... 81324.html

[o_christoph_o]

Hab ich grade auf Heise gesehen:
http://www.heise.de/newsticker/meldung/ ... 81324.html

Dazu gibt es schon im Shop-Forum einen längeren Beitrag.

[Andreas_P]

Danke für den Hinweis.
So neues sicheres Passwort bei Pollin vergeben.

[Celaus]

Ich warte noch eine Weile damit, dann tu ich's auch.
ffupx , Celaus

[Hans]

Das ist ziemliche Scheiße was da passiert ist!

Auf heise.de gibt es einen Artikel dazu, im zugehörigen Forum schildert jemand, dass er schon vor geraumer Zeit SQL-Injection Schwachstellen an Pollin gemeldet hat und diese ignoriert wurden. Pollin selbst schreibt, dass "Passwörter" abhanden gekommen sind. Als ITler kann ich dazu nur sagen, dass sowas nur passieren kann, wenn Passwörter im Klartext oder als ungesalzene Hashs abgelegt wurden. Beides sind Kardinalfehler die nicht passieren dürfen! Auch, dass die SEPA Daten/Bankverbindung auf dem Webserver liegen ist eigentlich ein Skandal. Hier hätte es absolut gereicht nur die ersten bzw. letzten Stellen der IBAN anzuzeigen damit die Kunden prüfen können, ob die Bankverbindung noch die aktuelle ist. Das Geburtsdatum wird auf dem Webserver genausowenig benötigt.

Wenn das Bild das ich mittlerweile von der Situation habe richtig ist, dann wurden hier gleich mehrere Sicherheitsgrundprinzipien verletzt und das ganze ist eigentlich schon fast grob fahrlässig. Pollin selbst hält sich mit Informationen sehr bedeckt. Meine (und anderer Leute) konkrete Nachfragen an die datenschutz@..llin.de E-Mail Adresse bleiben leider unbeantwortet. Es scheint, dass manche Mails mit einem Standardschreiben beantwortet werden, in dem wieder auf den "Einsatz massiver krimineller Energie" verwiesen wird unter dem "ein Zugang geschaffen" wurde und betont wird, dass man keine weiteren Auskünfte geben kann um die Arbeit der Ermittler nicht zu gefähren. Kritischere Mails mit Fragen nach Sicherheitslücken und der Bitte doch genauer zu schildern WELCHE Daten denn entwendet wurden scheinen nicht beantwortet zu werden.

Es ist in jedem Fall ratsam zukünftig die Lastschriften auf dem Konto genau zu prüfen.

Ziemlich verärgerte Grüße,
Hans

[xanakind]

Ich habe auch eine Mail mit kritischen fragen geschickt und bisher keine Antwort erhalten
Das Gehört sich nicht! Pfui Pollin!
Ich gebe Pollin noch ein bisschen zeit, dann rufe ich mal an.
Sollte da nichts bei rauskommen, wird mein Kundenkonto gelöscht.
Ich habe nun Zugriff auf Farnell, RS, Mouser, Digikey und wie sie alle heissen......
Pollin sollte sich bald mal was einfallen lassen, ich bin sicherlich nicht der einzigste, den sie verschreckt haben.....

[Matt]

Ob Hacker nun Mahnung an Ausbilder schicken wird, ich hatte mal vor 7 Jahre beim pollin bestellt an Ausbilder's Adresse anliefern lassen.
Danach hab ich es nicht mehr angefasst. Da war ich nicht zufrieden, ne 120er Delta Lüfter bestellt und ich kriege 486er Kühler, DVB-S Receiver entpuppt als DOA, Steckernetzteil mit verbogene Stifte und geplättete Röhrensortiment.
Pollin hat also auf andere Weg mir verschreckt. Danach schaue ich trotzdem in Pollin rein, aber nix gibt mir Grund, dass ich dort bestellen werden sollten.

[Geistesblitz]

Ich wusst jetzt gar nicht mehr, ob ich da nen Account hab oder bisher immer nur über das Einmalformular gegangen bin. Wären letztere auch betroffen? Sollte ja eigentlich nicht so sein.

[ozonisator]

Hab vor gut nem Monat per Paypal checkout bestellt, bisher keine Phishing Mails bekommen.

[xoexlepox]

...über das Einmalformular gegangen bin. Wären letztere auch betroffen?

So habe ich das bisher auch gemacht, und noch nichts Nachteiliges bemerkt. Komplett weggeworfen werden die Daten aus dem Formular nach Abschluss der Transaktion aber anscheinend auch nicht -> Bei jeder Bestellung finde ich die gleiche Kundennummer auf der Rechnung, obwohl ich die dort nicht angebe Und gelegentlich bekomme ich einen Katalog zugesandt...

[zauberkopf]

ozon : Wann hast Du Dich denn dort angemeldet ?
Wie gesagt.. ich hatte 2 Accounts.. und nur vom älteren habe ich Mails bekommen.
Der neuere nicht.
Das riecht nicht nach einem "Klassischen" Hack..

[ozonisator]

ozon : Wann hast Du Dich denn dort angemeldet ?

Hab nochmal geschaut, bei pollin schimpft sich das "Bestellung ohne Registrierung". Hab extra nochmal nachgeschaut, die letzte Bestellung war Anfang Mai.

[eJunkie]

So, ich habe jetzt personalisierte Spam bekommen mit meiner kompletten Anschrift drin (so ein tolles Angebot, 8 Stunden arbeiten die Woche für 3900 EUR - sicher doch). Ganz Toll. Da das das erste mal ist das einer von den Vögeln weiß wo mein Haus wohnt denke ich mal die Daten kommen aus dem Hack.

Das finde ich gar nicht lustig, eine Emailadresse kann man ja noch ändern, aber eine echte Adresse...

[Gernstel]

Wenn sich bei Pollin gerade 250000 Kunden beschweren, wird es Pollin vermutlich schwer fallen, jedem zeitnah eine individuelle und angemessene Entschuldigung zu geben.
Vielleicht gibt es später einmal mehr Erklärungen - und einen Gutschein.

[xanakind]

Heute kam endlich mal eine Antwort!

Wegen des Angriff´s haben sie sehr viele Anfragen, daher haben sie sich für die späte Antwort entschuldigt.
Pollin weis, dass die Situation für die Kunden schwierig ist und möchte sich in aller Forum entschuldigen.
In meinem Fall wurde meine Post Adresse, Kundennummer und mein Geburtsdatum geklaut.

Auf meine frage wie die Daten verschlüsselt wurden, weichte man mir wie folgt aus:
"Bitte haben sie Verständnis, dass wie wegen der Ermittlungen der Polizei keine Details über unser Sicherheitskonzept und die implementierten Technologien geben"

[zauberkopf]

und mein Geburtsdatum geklaut

Du hast ernsthaft Dein richtiges Geburtsdatum dort eingetragen ?!
Ich bin da immer sehr kreativ..

[uxlaxel]

haben eigentlich alle von pollin die automatische nachricht bekommen, dass das passwort zurück gesetzt worden ist und man beim nächstem besuch auf "passwort vergessen" klicken soll?

Sehr geehrter Herr Uxlaxel,

um die Sicherheit der Daten zu gewährleisten, findet regelmäßig eine Sicherheits-Prüfung unseres Systems und der Server-Infrastruktur statt. In einer aktuell durchgeführten Analyse haben wir festgestellt, dass sich unbekannte Dritte aufgrund eines gezielten Serverangriffs unberechtigten Zugriff auf Daten verschafft haben können, die in der Vergangenheit auf der Website von Pollin Electronic eingetragen wurden. Davon können beispielsweise Namen, Geburtsdaten, E-Mail Adressen, SEPA-Daten, Zugangsdaten, Telefonnummern oder postalische Adressen unserer Kunden betroffen sein.

Den Zugriffsweg, der unter Einsatz massiver krimineller Energie geschaffen worden ist, konnten wir umgehend nach Feststellung des Angriffs identifizieren und schließen. Dadurch war es uns möglich, den Angriff zu unterbrechen und zu stoppen.



Zu Ihrer Sicherheit möchten wir Sie um folgendes bitten:

Ändern Sie bitte Ihr Passwort bei Pollin Electronic

Als Vorsichtsmaßnahme haben wir die Passwörter aller unserer Kunden zurückgesetzt. Das bedeutet, dass Sie beim nächsten Anmelden bei Pollin Electronic Ihr Passwort ändern müssen. Sie können selbstverständlich auch jetzt direkt über diesen Link Ihr Pollin-Passwort aktualisieren:

https://www.pollin.de/shop/passwortvergessen.html

Wichtig: Wenn Sie Pollin Electronic bisher nur als Gast genutzt haben, wurden keine persönlichen Daten auf http://www.pollin.de gespeichert. Sollten Sie das Passwort, das Sie bei Pollin Electronic verwenden, auch für andere Websites nutzen, so ändern Sie es unbedingt auch dort.

Löschen Sie Phishing Mails mit dem Betreff „eine nicht autorisierte Zahlung“

Mails mit dem Betreff „eine nicht autorisierte Zahlung an Pollin Electronic“ stammen weder von uns noch von PayPal. Es handelt sich um eine sogenannte Phishing Mail, in der versucht wird, Ihre PayPal-Kontodaten abzugreifen. Es ist nicht auszuschließen, dass persönliche Daten gezielt in den Phishing Mails verwendet werden, um diese möglichst „echt“ aussehen zu lassen. Sollten Sie auf den Link in einer Phishing Mail geklickt und dort Ihre PayPal Zugangsdaten eingegeben haben, müssen Sie umgehend Ihr Passwort ändern und Ihr Konto überprüfen (weitere Informationen finden Sie auf der PayPal-Informationsseite https://www.paypal.com/de/webapps/mpp/phishing).

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt generelle Hinweise für mehr E-Mail- Sicherheit.

Wir möchten Ihnen unser konsequentes Engagement gegen Online-Kriminalität versichern: Über unseren Datenschutzbeauftragten wird die zuständige Aufsichtsbehörde informiert. Gegen den oder die bisher unbekannten Angreifer stellen wir Strafanzeige bei der Polizei. Unsere IT arbeitet gemeinsam mit Forensik-Experten unter Hochdruck an der weiteren Aufklärung durch die technische Analyse des Angriffs.

Wir hoffen, dass wir die für Sie wichtigsten Fragen beantworten konnten. Selbstverständlich stehen wir Ihnen auch gerne persönlich per Telefon unter 0 84 03 / 920-920* oder per Mail über datenschutz@pollin.de zur Verfügung.

Mit freundlichen Grüßen

Ihr Max Pollin
Geschäftsführer



(*zu den für das Festnetz üblichen Gebühren)

Kontakt

Pollin Electronic GmbH, Max-Pollin-Straße 1, 85104 Pförring
E-Mail: service@pollin.de Tel.: 08403 920-920 Fax: 08403 920-123

Geschäftsführer: Max Pollin Amtsgericht Ingolstadt HRB 1927 AGB | Impressum

in meinem postfach wurde bisher nichts verdächtiges entdeckt, vielleicht filtert web.de auch schon vorab raus oder jemandem ist dort bereits das handwerk gelegt worden?

[8051fan]

In meinem privaten Email-Postfach finde ich immer wieder mal diese typischen Phishing-Mails:
### Ihr XXX-Account wurde gehackt ... daher wurde ihr Account gesperrt ... loggen Sie sich über diesen Link ein zum entsperren ...

Interessanterweise wurden schon viele meiner angeblichen Accounts gesperrt, die gar nicht existieren.
Sehr oft finden sich Schreibfehler im Namen.

Heute habe ich wieder so eine Mail erhalten, aber diesmal mit einer neuen Qualität:
Es war erstmals mein korrekter Name und die Adresse angegeben.
Ist bei Euch auch so was aufgefallen? Wenn das bei Pollin-Kunden verstärkt auftritt,
könnte evtl. ein Hinweis für die Verwendung der geklauten Daten sein.

[duese]

@Axl: Die Mail hab ich auch ein paar Tage nach Bekanntwerden bekommen...

[shaun]

Habe heute eine Standard-Antwort mit Kreativsprenkeln darin bekommen, in der man wie gehabt darüber schwadroniert dass man nun NOCH sicherer wird und die allerbesten Expertens von die Welt den Pollin-Shop sichererer machen und alle 3-Buchstaben-Behörden der Welt die Hacker jagen.

Und natürlich den Hinweis, dass man mir aus ermittlungstaktischen Gründen nicht bestätigen kann, ob die Passwörter unverschlüsselt in einer Datenbank standen.

[Treckergott]

Also ich habe vor einem Monat zum allerersten Mal eine Spammail mit korrektem Namen und korrekter alter Adresse (mind. 1,5 Jahre alt) erhalten. Ob das auch schon was mit Pollin zu tun hatte? Die Adresse war dort mal gespeichert.

[uxlaxel]

parallelen in spam-mails müssen nicht zwangsläufig von maxens daten stammen. wir sind sicher auch alle bei reichelt kunde, einige bei conrad und elv uvm.

[eJunkie]

Hmm, also bei mir war es wie gesagt auch das erste Mal das ich eine Spam Mail mit meiner echten Anschrift und Tel. Nr. bekommen habe.

Und das war sie:

--------------

Zu Händen von:

xxxx xxx
xxxxxxxxx
xxxxx xxxxxx

Tel. xxxxx-xxxxxx

Wünschen Sie 3900 € im Monat erhalten?
Unsere Firma sucht zur Zeit motivierte Arbeitskollegen um das Kollektiv europaweit zu stärken

Der Arbeitnehmer ist ca. 8 Arbeitsstunden in der Woche beschäftigt und hat keine Ausgaben zu tragen.
Auch Berufstätige sind für diese Arbeitstätigkeit sehr gut geeignet, da keine besondere Ausbildung erwartet wird.

Zielstrebigkeit sollten zu Ihren Fähigkeiten zählen, Umgang mit PC und grundlegende Computer Kenntnisse sollte auch keine Probleme bereiten. Dauerhafte telefonische Erreichbarkeit innerhalb der Geschäftszeiten ist Pflicht.

Ihre Tätigkeit ist die Geldflussoptimierung.

Sie bekommen das Geld im Voraus, direkt auf Ihr Konto überwiesen, und müssen für unsere Kunden Bitcoins erwerben, wofür Sie eine Provision von 20% pro Auftrag erhalten.

Die Arbeit ist in ganz Europa angeordnet und derzeit noch frei.

Ihre Kurzbewerbung:

Wenn Sie sich angesprochen fühlen, wollen wir Sie kennenlernen, dazu schicken Sie uns Ihre Bewerbungsunterlagen an: temikin1970@gmx.com

Ihre privaten Unterlagen behandeln wir selbstverständlich vertraulich.

Hochachtungsvoll

Walter AG

[eJunkie]

Nachtrag: Die ist vom 23.7. Habe ich nur jetzt erst zufällig entdeckt, da im Spam Order.

[uxlaxel]

Nachtrag: Die ist auch schon einen Monat alt. Habe ich nur jetzt erst zufällig entdeckt, da im Spam Order.

siehste, der entleert sich bei mir nach 7 tagen immer automatisch, da kann sowas also auch dabei gewesen sein. gucke da nur rein, wenn ich explizit ne mail vermisse

[eJunkie]

Trotzdem komisch. Habe noch nie eine bekommen mit meiner Anschrift. Die Mail Adresse ist auch die die bei den Maxens hinterlegt ist, die nutze ich für neue Anmeldungen gar nicht mehr.

[xoexlepox]

Ich bin da immer sehr kreativ..

Jau! 31.4. (-> Pi) geht bei den meisten Systemen

[Censer]

Ach guck an - fast exakt diese (selbes layout, gleiche schreibfehler, stellenweise leicht andere Formulierung, andere mailadresse) Spam-mail habe ich auch im Spam-Ordner liegen - Ich habe aber keinen Account bei Pollin (und nie gehabt). Aufgrund der drinstehenden Handynummer hätte ich eher auf ebay getippt (das ist das einzige, was mir einfällt, was noch diese Handynummer hat).

[Treckergott]

Also ich habe vor einem Monat zum allerersten Mal eine Spammail mit korrektem Namen und korrekter alter Adresse (mind. 1,5 Jahre alt) erhalten. Ob das auch schon was mit Pollin zu tun hatte? Die Adresse war dort mal gespeichert.

Es fiel mir halt im Nachhinein erst auf. Die Email Adresse habe ich seit ca. 15 Jahren und benutze sie nur wichtige und seriöse Zwecke.
Daher fällt der relativ kurze Zeitraum zum Pollin Hack auf.
Bei mir war es eine auf "Mahnung" gemachte Mail.
Sah sehr echt aus

[eJunkie]

Ich habe interessehalber noch mal nachgeschaut, bei Pollin habe ich keine Telefonnummer angegeben. Also kommen die Daten doch woanders her. EBay könnte gut sein, ich hatte dort interessanterweise meine Festnetznummer hinterlegt. Keine Ahnung warum, normalerweise gebe ich immer die mobile Nummer an. Vieleicht wollte ich gar nicht gut erreichbar sein... Die Nummer stimmt überein. Aber die EMailadresse verwende ich schon länger nicht mehr, habe sie aber nicht überall geändert. Dachte daher es die Daten wären von Pollin. Bei eBay ist es schon länger her seit ich die Adresse geändert habe, aber die hatte ich mal hinterlegt.

[Name vergessen]

Es ist ja kein Ding der Unmöglichkeit, Daten aus mehreren Quellen zu kombinieren, wenn man einen so perfekten Schlüsselsatz hat wie Namen, Adresse und Email. Ich gehe mal eher nicht davon aus, daß Du im Telefonbuch stehst. Bei mir ist das jedenfalls definitiv von Pollin, weil ich sonst nirgends meine BV hinterlegt hatte (umso mehr ärgert es mich).

[Finger]

Ich denke nicht, das sich hier noch weitere Aspekte zum Thema ergeben werden.