Eventuell haben anderen Nutzer auch wie ich am Wochenende eine Mail von SEDO bekommen, dass man angeblich ein Kundenkonto eröffent habe und nun den Aktivierungscode zugeschickt bekommt. Ich habe zwar ein Konto bei SEDO aber bereits seit 2006 und wüßte nicht, warum ich das jetzt nochmal aktivieren sollte. Des Rätsels Lösung kam heute per Mail von SEDO selbst:

wir möchten Sie darüber informieren, dass die Sedo Website am Samstag, den 12. April, von einem unbekannten Angreifer über eine bisher unbekannte Sicherheitslücke kompromittiert wurde und dadurch der unautorisierte Versand einer E-Mail mit dem Betreff „Bestätigung Ihrer E-Mail-Adresse“ an einen kleinen Teil unserer Kundschaft ausgelöst wurde.

Unsere sofortige Überprüfung hat ergeben, dass es dem Angreifer gelungen ist, ausschließlich in den Besitz Ihrer betroffenen E-Mail-Adresse zu gelangen. Weitere Daten sind NICHT kompromittiert worden, d.h. keine Passwörter oder sonstige Account-Daten. Das Sicherheitsleck wurde direkt nach Angriff geschlossen und weitere Datenabgriffe konnten erfolgreich abgewehrt werden. Für Sie bedeutet das, dass Ihr Sedo-Account sicher ist und Sie keine Schritte zur Sicherung Ihrer im Account hinterlegten Daten einleiten müssen. Das Anklicken des in der unautorisierten E-Mail angegeben Links hat keine Auswirkungen.

Sehr schön, dass so transparent infomiert wird und noch besser, dass keine zusätzlichen Daten außer der Email-Adresse betroffen waren. Auf der anderen Seiten kann man in Zeiten der OpenSSL Lücke ja ohnehin nur dazu raten, alle Passwörter zu erneuern. Von daher wäre es wahrscheinlich ein guter Zeitpunkt auch mal bei SEDO neue Daten zu hinterlegen.