Sport und Fitness in den sozialen Medien

[Netzokhul]

Da steht die Daten vom Leak sind vin vor 2 Jahren....
Heißt nicht das der Leak 2 Jahre her ist...

[Eric]

In der Mail vom heute steht nicht, WANN die Daten geleakt/gestohlen wurdrn, sondern lediglich welche Daten (und zwar von vor Oktober 2021).

Wenn erst jetzt vor kurzem entdeckt wurde, dass diese Daten gestohlen wurden, dann kann man die Kunden schlecht schon davor informieren.

Netzo war schneller. Genau so.

Und woher wusste NordVPN schon vor Monaten von dem Vorfall?

[Eric]

Weil das vielleicht der erste Leak war und jetzt der Zweite?
Wir wissen es nicht.

Und beim ersten Mal muss man niemanden informieren?

[Waschbär]

Bisschen Kohle für Lau abstauben wäre ja nicht schlecht.
Hab die E-Mail auch erhalten hehe

[Buck]

Das ist doch kein zweiter Leak... das ist genau der Leak, der auch schon auf Andro Thema war. Auch das mit den 72h Information wurde da schon diskutiert. Sie haben sich einfach jetzt erst dazu durchgerungen, was zu sagen.

[Pathelion]

edit

[Netzokhul]

Das ist doch kein zweiter Leak... das ist genau der Leak, der auch schon auf Andro Thema war. Auch das mit den 72h Information wurde da schon diskutiert. Sie haben sich einfach jetzt erst dazu durchgerungen, was zu sagen.

Gehe ich auch mal von aus.

[Gast]

Weil das vielleicht der erste Leak war und jetzt der Zweite?
Wir wissen es nicht.

Und beim ersten Mal muss man niemanden informieren?

Mal schauen, ob diesmal eine Mailantwort kommt. Hab per Kontaktformular mal gefragt, warum sich Mitte 2022 auf meinen Hinweis auf eine Datenpanne keiner gemeldet hat.

Wenn wieder keine Antwort kommt, ruf ich nächsten Freitag mal beim LDI an

Wer mehr wissen will und denen ein wenig Arbeit machen will: einfach Mal nach § 15 dsgvo die Auskunft einholen:
https://www.bfdi.bund.de/DE/Buerger/Inh ... t%20werden.

[GastXY]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

[Stephen]

Hm,

das scheint ein ziemlich großer "Newsletter" gewesen zu sein, den Fitmart heute rausschicken musste :psst:

Über Google findet man auch schnell eines der Foren, in denen die Daten veröffentlicht worden sind:
https://breachforums.is/Thread-fitmart-de-1m

Was hier am 29.06.2023 veröffentlicht worden ist, scheint die User-Tabelle (oxuser) aus dem alten Fitmart-Shop zu sein. Würde auch stark vermuten, dass der Data Breach aus dieser Zeit ist und nicht vom 15.01.2022.

Der alte Fitmart-Shop ist übrigens am 26.09.2021 abgelöst worden. War damals selbst der Projektleiter bei Fitmart, der mit seinem Team den neuen Shopify-Shop gebaut und die Migration durchgeführt hat

Was die Passwörter angeht: Ein Teil hat noch die alte MD5-Verschlüsselung. 2016 gab es aber auch ein Versionsupdate des Fitmart-Shops, bei dem auf das neuere SHA256-Verfahren umgestellt worden ist. Wer sich also vor 2016 registriert hat und sich dann bis Ende September 2021 nicht mehr im Fitmart-Shop angemeldet hat, dessen Passwort ist noch MD5-verschlüsselt und damit gefährdet. Das Risiko ist also nicht so groß, weil es doch eine ganze Weile her ist. Ich selbst habe keinen Bock deswegen jetzt irgendetwas mit meinen Passwörtern zu machen.

In den aktuellen Shop sind die Passwörter übrigens nicht übernommen worden, weil es technisch nicht möglich war.

War selbst Mitarbeiter in der Fitmart-IT bis Ende April diesen Jahres. Wenn Anfang 2022 etwas in der Art passiert wäre, dann hätte ich es garantiert mitgekriegt. Theoretisch könnte natürlich ein Hack im Stillen stattgefunden haben, von dem Fitmart nichts mitbekommen hat, aber das kommt mir doch sehr unwahrscheinlich vor.

[Stephen]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

ESN und Fitmart waren nie zusammengeschaltet. Ich würde vermuten, dass du dich doch mal irgendwann bei Fitmart registriert hattest. Den Fitmart-Shop gibt es ja schon viel länger als den ESN-Shop.

[GastXY]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

ESN und Fitmart waren nie zusammengeschaltet. Ich würde vermuten, dass du dich doch mal irgendwann bei Fitmart registriert hattest. Den Fitmart-Shop gibt es ja schon viel länger als den ESN-Shop.

Team Andro Shop ja.

Habe dieses ganze Konstrukt nie verstanden.

[Stephen]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

ESN und Fitmart waren nie zusammengeschaltet. Ich würde vermuten, dass du dich doch mal irgendwann bei Fitmart registriert hattest. Den Fitmart-Shop gibt es ja schon viel länger als den ESN-Shop.

Team Andro Shop ja.

Habe dieses ganze Konstrukt nie verstanden.

Ja, das war schon ein komisches Konstrukt

[Stephen]

Hm,

das scheint ein ziemlich großer "Newsletter" gewesen zu sein, den Fitmart heute rausschicken musste :psst:

Über Google findet man auch schnell eines der Foren, in denen die Daten veröffentlicht worden sind:
https://breachforums.is/Thread-fitmart-de-1m

Was hier am 29.06.2023 veröffentlicht worden ist, scheint die User-Tabelle (oxuser) aus dem alten Fitmart-Shop zu sein. Würde auch stark vermuten, dass der Data Breach aus dieser Zeit ist und nicht vom 15.01.2022.

Der alte Fitmart-Shop ist übrigens am 26.09.2021 abgelöst worden. War damals selbst der Projektleiter bei Fitmart, der mit seinem Team den neuen Shopify-Shop gebaut und die Migration durchgeführt hat

Was die Passwörter angeht: Ein Teil hat noch die alte MD5-Verschlüsselung. 2016 gab es aber auch ein Versionsupdate des Fitmart-Shops, bei dem auf das neuere SHA256-Verfahren umgestellt worden ist. Wer sich also vor 2016 registriert hat und sich dann bis Ende September 2021 nicht mehr im Fitmart-Shop angemeldet hat, dessen Passwort ist noch MD5-verschlüsselt und damit gefährdet. Das Risiko ist also nicht so groß, weil es doch eine ganze Weile her ist. Ich selbst habe keinen Bock deswegen jetzt irgendetwas mit meinen Passwörtern zu machen.

In den aktuellen Shop sind die Passwörter übrigens nicht übernommen worden, weil es technisch nicht möglich war.

War selbst Mitarbeiter in der Fitmart-IT bis Ende April diesen Jahres. Wenn Anfang 2022 etwas in der Art passiert wäre, dann hätte ich es garantiert mitgekriegt. Theoretisch könnte natürlich ein Hack im Stillen stattgefunden haben, von dem Fitmart nichts mitbekommen hat, aber das kommt mir doch sehr unwahrscheinlich vor.

Also deiner Meinung nach ein zweiter Leak und der Erste vom 15.01.2022 wurde verschwiegen?

Also wie ich auch vermutet habe.

Wie oben geschrieben: Zwei Leaks sehr unwahrscheinlich. Eher ein Leak im Juni diesen Jahres.

[Stephen]

Und wie erklärst du dir dieses NordVPN-Ding vom 15.01.2022?

Da habe ich keine Erklärung. Vermute, dass die Datumsangabe einfach ungenau ist.