Gameware gehackt?


  • find ich ein bisschen übertrieben :D. meine kontodaten sind auch net vollständig gespeichert @gameware, genauso nur die letzten 4 stellen...
    ein wenig paranoid meiner Meinung :)
    aber wenns einen beruhigt, ists auch schön (placebo effekt is ja auch recht förderlich bei krankheiten ^^)


    Genau :)
    Ich bin *jetzt* die Ruhe selbst! :coffee:


    Besser als das *er* bestellt und ich stornieren muss *passt* ---> (Besteller ):lan: (Storniere) ^^


    Sermon
    Leider kenne ich diese nicht vllt zwischen 20 und 50 € + neue EC-Karte


  • find ich ein bisschen übertrieben :D. meine kontodaten sind auch net vollständig gespeichert @gameware, genauso nur die letzten 4 stellen...
    ein wenig paranoid meiner Meinung :)
    aber wenns einen beruhigt, ists auch schön (placebo effekt is ja auch recht förderlich bei krankheiten ^^)

  • Grade auch die Mail bekommen.


    Es wäre jetzt wirklich wichtig zu wissen, ob die Passwörter verschlüsselt bzw. nur ein Passwort-Hash in der Datenbank gespeichert waren, oder ob sie als Klartext abgespeichert wurden. Und wenn ja, nach welchem Algorithmus verschlüsselt.
    Wenn die so wie es sich gehört als Hash bzw. stark verschlüsselt gespeichert waren, dann braucht man wenn es ein anständiges Passwort war das eigtl. nirgendwo zu ändern.
    Ein Kennwort mit unzusammenhängender Zeichenkette mit Ziffern und evtl. Sonderzeichen zu bruteforcen dauert extrem lang, wenn man den Hash-Algorithmus nicht weiß dauert es noch viel länger, einen Treffer auf die erbeuteten Hash-Daten zu finden.
    Ich hatte ein Passwort gesetzt das stark genug war, wenn das nicht Klartext gespeichert war mache ich mir darum keine Sorgen.


    Bitte klärt das hier von offizieller Seite so schnell wie möglich, das ist wirklich wichtig.

  • Wie jetzt? Wenn ich auf "Kundendaten ändern" gehe, mich dann einlogge, dann sehe ich bei den Kreditkartedaten nur die letzten 4 Stellen, der Rest davor sind Sternchen. Soweit, so gut.


    ABER, bei den Bankdaten sehe ich den vollständigen Banknamen, die vollständige Bankleitzahl und die vollständige Kontonummer. Ist das bei euch auch so oder schaut das anders aus?

  • Servus,


    ich will jetzt hier keine Behauptung aufstellen, deswegen wäre ich dankbar wenn das noch Jemand bestätigen könnte.


    Wenn ich mich recht erinnerne, konnte man nach dem Login bei den Kundendaten immer seine 3 stellige Kreditkarten Prüfnummer im Klartext sehen.


    Das würde dann nicht zu der Aussage passen, das nur die letzten 4 Stellen der Kreditkartennumer auf den Webservern lagen.


    Weiss noch Jemand genaueres?

  • Man darf die Kartenprüfnummer eigentlich gar nicht speichern :D.


    Btw, wenn unberechtigte Abbuchungen stattfinden kann man das mindestens 6 Wochen lang zurückbuchen lassen... und Mahnungen, wenn jemand mein Konto illegal für Bankeinzug nutzt, sind mir auch wurscht... hab ja keinen Vertrag abgeschlossen. Sowieso sollte man auf Mahnungen (unberechtigte) gar nicht reagieren, erst wenn ein Brief vom Gericht oder dem Staatsanwalt kommt, sollte man reagieren. Selbst ne Vorladung bei der Polizei muss man nicht beachten (und sollte man auch nicht).

  • Man darf die Kartenprüfnummer eigentlich gar nicht speichern :D.


    Btw, wenn unberechtigte Abbuchungen stattfinden kann man das mindestens 6 Wochen lang zurückbuchen lassen... und Mahnungen, wenn jemand mein Konto illegal für Bankeinzug nutzt, sind mir auch wurscht... hab ja keinen Vertrag abgeschlossen. Sowieso sollte man auf Mahnungen (unberechtigte) gar nicht reagieren, erst wenn ein Brief vom Gericht oder dem Staatsanwalt kommt, sollte man reagieren. Selbst ne Vorladung bei der Polizei muss man nicht beachten (und sollte man auch nicht).

    Warum soll ich auf eine Ladung zu einer Vernehmung bei der Polizei nicht reagieren? Welchen Vorteil habe ich davon?

  • Grade auch die Mail bekommen.


    Es wäre jetzt wirklich wichtig zu wissen, ob die Passwörter verschlüsselt bzw. nur ein Passwort-Hash in der Datenbank gespeichert waren, oder ob sie als Klartext abgespeichert wurden. Und wenn ja, nach welchem Algorithmus verschlüsselt.
    Wenn die so wie es sich gehört als Hash bzw. stark verschlüsselt gespeichert waren, dann braucht man wenn es ein anständiges Passwort war das eigtl. nirgendwo zu ändern.
    Ein Kennwort mit unzusammenhängender Zeichenkette mit Ziffern und evtl. Sonderzeichen zu bruteforcen dauert extrem lang, wenn man den Hash-Algorithmus nicht weiß dauert es noch viel länger, einen Treffer auf die erbeuteten Hash-Daten zu finden.
    Ich hatte ein Passwort gesetzt das stark genug war, wenn das nicht Klartext gespeichert war mache ich mir darum keine Sorgen.


    Bitte klärt das hier von offizieller Seite so schnell wie möglich, das ist wirklich wichtig.


    Eine derartige Klärung würde ich mir auch DRINGEND wünschen!


    Das kann ich nur unterschreiben, das wäre auch für mich die mit Abstand wichtigste Frage bei der Sache. Über alles andere mache ich mir weniger sorgen. Mein Problem ist eher, dass ich keine Ahnung habe, welches Passwort ich verwendet hab und daher nicht weiß, ob ich die gleiche Kombination auch irgendwo anders genutzt habe :/

  • und was solltet ihr dann davon haben ? bringt genau gar nichts dies zu wissen. Max dass man noch genauer einen weiteren angriff starten kann.

    Unsinn. Wenn ich weiss, dass die Passwörter als Hash in der Datenbank lagen dann muss ich mir keine Sorgen machen weil ich immer gemischt Groß/Kleinbuchstaben, Zahlen und Sonderzeichen verwende. Wenn sie verschlüsselt waren, dann kann ich nur hoffen, dass euer Key sehr sicher ist. Und wenn sie im Klartext abgespeichert waren, dann habt ihr grob fahrlässig gehandelt und ich möchte bitte meinen Account bei euch gelöscht haben, sämtliche Bestellungen stornieren und euch wünschen, dass ihr pleite geht weil ich nicht mehr weiss, welches Passwort ich vorher bei euch verwendet habe aber es mit Sicherheit noch auf ein Paar anderen Seiten verwende (weil mein Konto hier noch aus einer Zeit stammt, als ich noch nicht LastPass benutzt habe). Also, raus mit der Sprache: worauf muss ich mich einstellen? :S

    • Offizieller Beitrag

    nur um klarzustellen ich arbeite nicht für gameware !


    @admin: warum dürfen eigentlich immer noch gäste posten ? das nervt ....


    @Xivoo, hast von sony gehört wie/was verschlüsselt war ? von Amazon als teile ihre Kunden DB gehackt worden ist ? , Visa als sie vor 3 Jahren die übertragungen zwischen den Servern defaced haben ? nope, weils einfach ein nogo ist sowas preis zugeben in der IT security

  • nur um klarzustellen ich arbeite nicht für gameware !


    @admin: warum dürfen eigentlich immer noch gäste posten ? das nervt ....


    @Xivoo, hast von sony gehört wie/was verschlüsselt war ? von Amazon als teile ihre Kunden DB gehackt worden ist ? , Visa als sie vor 3 Jahren die übertragungen zwischen den Servern defaced haben ? nope, weils einfach ein nogo ist sowas preis zugeben in der IT security

    Selbstverständlich hat SONY an seine Kunden rausgegeben, dass die Passwörter lediglich als Hashes gespeichert waren. Sowas macht man einfach. Ích sehe auch ehrlich nicht das Problem. Wenn sie im Klartext waren, dann richtet GameWare mit der Mitteilung keinen weiteren Schaden an, denn entschlüsselt werden müssen die Passwörter dann sowieso nicht. Waren sie als MD5 Hashes salted abgespeichert, wäre das der aktuelle Sicherheitsstandard und würde den Hackern 0 weiterhelfen. Und wenn sie Verschlüsselt waren, kann uns GameWare das ruhig mitteilen. Sie müssen ja keine Details über das Verfahren preisgeben. Aber einfach die Kunden im Unklaren lassen geht mal gar nicht.

  • aso ? hab da von sony nichts gelesen, aber versteh worauf rauswillst, dann kanan man nur hoffen er hat nicht viel rechenzeit zuf verfügung :D wenn ihm so langweilig ist

    Meine Passwörter sind so gewählt, dass es mich zu dem Zeitpunkt wenn aktuelle Rechner es aus nem Hash rückberechnet haben nicht mehr interessiert (weil ich so lange nicht leben werde). Bringt aber halt nur was, wenn die Passwörter nicht im Klartext in der Datenbank waren :hoff:

  • Meine Passwörter sind so gewählt, dass es mich zu dem Zeitpunkt wenn aktuelle Rechner es aus nem Hash rückberechnet haben nicht mehr interessiert (weil ich so lange nicht leben werde). Bringt aber halt nur was, wenn die Passwörter nicht im Klartext in der Datenbank waren :hoff:

    Meinst du echt, die haben im Moment Zeit hier in das Forum zu schauen?


    http://www.gameware.at/info/sp…info-antworten-auf-emails


    Die haben sicher genug zu tun derzeit. Wie ich GW kenne, werden sie sicher Stellung nehmen. Jedoch haben im Moment sicher genug andere Sachen Vorrang. Mir ist lieber, die bekommen das in der Zukunft in den Griff.

  • Doch, es spielt eine Rolle ob verschlüsselt oder unverschlüsselt.


    Unverschlüsselt ist ein absolutes NO-GO und es wäre armselig für eine IT-Security, wenn das so gehandhabt wird.


    Verschlüsselt ist nämlich der STANDARD und das absolute MINIMUM was man an Sicherheit erwarten darf. Daher findet auch keine Beeinträchtigung der Sicherheit statt, wenn man bestätigt, dass die Passwörter verschlüsselt waren.


    Oder fühlt man sich auch in seiner Sicherheit kompromittiert, nur weil man öffentlich sagt, dass man seine Haustür für gewöhnlich abschließt?


    Es ist ja wohl, wenn meine Daten schon irgendwo gestohlen wurden, mein gutes Recht zu erfahren, welche Daten davon jetzt Klartext eingesehen werden konnten und welche nicht. Zudem steht in der Pressemitteilung, dass die Verschlüsselung umgestellt wurde, und es steht sogar drin glaub ich auf welches aktuelles Verfahren.