Es ging gestern durch diverse Nachrichtenblätter: Es gab eine größere Panne bei Immobilienscout 24 bei der Dritte unbefugt Zugriff auf Daten des Portals bekamen. In einer Mail an die Nutzer schreibt Immobilienscout 24:
Dennoch ist es zu einem unbefugten Zugriff auf unser Datensystem gekommen. Dabei wurden nach jetzigem Kenntnisstand Informationen wie (Firmen)Namen, Kontaktdaten sowie Immobilien Scout-interne Registrierungsnummern von Anbietern durch Dritte kopiert. Es handelt sich damit um Daten, die großteils in den Exposés auf unserer Website veröffentlicht sind.
Sensible Daten wie Passwörter, Bank- und Zahlungsdaten sind nicht betroffen. Der unbefugte Zugriff wurde unterbunden und die Sicherheit der angegriffenen Server wiederhergestellt.
Dennoch bitten wir Sie, Ihr Passwort vorsorglich zu aktualisieren. Loggen Sie sich dazu bitte in Ihrem ScoutManager / MyScout ein und ändern Sie Ihr Passwort.
Was mich an der Stelle wundert: Passwortdaten wurden angeblich nicht kopiert, aber man soll trotzdem vorsorlich das Passwort ändert. Ja was denn nun? Ein neues Passwort zu nutzen kann prinzipiell nicht verkehrt sein, aber entweder ist sich Immobilienscout 24 sicher, dass keine Passwörter betroffen sind (dann ist eine Änderung auch nicht notwendig) oder aber man weiß es nicht oder ist sich nicht wirklich sicher, dann sollte man das aber auch so kommunizieren.
Was mich an dieser Stelle wundert:
„Passwortdaten wurden angeblich nicht kopiert“
Speichern die die Passwörter im Klartext?
Es ist, glaube ich, gang und gäbe, bei einem Hackerangriff die Nutzer aufzufordern, die eigenen Passwörter zu ändern.
Auch wenn die vermutlich nicht kopiert respektive ausgespäht werden konnten.
Von daher ist das also durchaus übliches Vorgehen!
@Christoph – kannst du ausprobieren: Wenn du auf PW verloren gehst und sie dir dein altes PW wieder schicken, liegen die PW im Klartext vor. Nur wenn es jedesmal ein neues PW gibt ist die Chance da, dass die PW in der Datenbank verschlüsselt sind.
kommt wohl auch auf die verwendete Datenbank an, wie das gehandhabt wird.
@Mike: Nö, kommt auf die Umsetzung der des Systems an, ob die Passwörter klar oder gehasht gespeichert werden.
Es sollte ansich seit wenigstens 8 Jahren Gang und Gebe sein, die Passwörter zu hashen, zumal dadurch kein Nachteil für Benutzer oder Betreiber entsteht
Da wurde die Wahrheit verschwiegen. Die Passwörter wurden auch ausgespäht. In meinem Account hat jemand herumgespielt.
Das soll doch ein Witz sein, wenn einer schon auf den Datenbank zugreift, wie kann man dannach sagen das die Passwörter nicht angefasst worden sind. Wenn ein Hacker die Daten kopiert, dann aber alle und nicht wahlweise, die Tabelle nehme ich und die andere eher nicht, da können ja sensible Daten drauf sein…