MTB-News.de

RCZ-Glaskugel: Wartezimmer, Spekulationen, Austausch

k0p3 schrieb:
Danke für die ganzen Infos

Kann mir aber mal jemand mit einfachen Worten erklären, was das jetzt aktuell bedeutet. Wenn ich es überlesen habe, dann sorry...

Wird schon beim Einloggen, z. B. zum Prüfen des Bestellstatus Daten abgegriffen? Oder erst beim Abschluss einer Bestellung?
Wann startete dieser letzte Leak ungefähr?
Wenn die Mailadresse bei dem Check in Deiner Signatur nicht aufgeführt ist, bedeutet das, dass man zumindest beim letzten Datenklau nicht dabei war oder handelt es sich nur eine Teilprüfung?
Aktuell besser überhaupt nicht bestellen?

Sorry für die Noobfragen, aber bei vielen Eurer Fachbegriffe bin ich leider raus. 🙂
Zum Vergrößern anklicken....
Danke🥰
Hätt von mir sein können 🤞😃
 

Anzeige

Re: RCZ-Glaskugel: Wartezimmer, Spekulationen, Austausch
Wichtiger Punkt:
Wir reden hier die ganze Zeit von zwei unterschiedlichen Problemen gleichzeitig.

Der Datenleak ist ein Klau der Datenbank.. also dem, was bereits auf den Servern gespeichert war/ist und beinhaltet vermutlich alles, was ihr jemals mit RCZ gemacht habt.

Das Problem mit den Kreditkarten ist davon zum Teil getrennt zu betrachten. Es kann sein, dass dazu Daten ebenfalls im Leak sind. Aber zusätzlich ist in der Webseite eingebaut worden, dass Daten direkt abfließen, wenn man JETZT eine Bestellung bezahlen will.
 
Jetzt ist es passiert: Kreditkartendaten werden abgegriffen.

Ich hatte in dem Schadcode gerade Hinweise auf einen Klon von Saferpay gefunden. Offensichtlich hatten die Angreifer die Seite zur Eingabe der Kreditkartendaten bereits kopiert. Auch fanden sich darin Hinweise, dass die dort eingegebenen Kreditkartendaten an einen fremden Server weitergeleitet werden sollen.

Als ich mir das näher ansehen wollte, hatte im Checkout schon die Änderung stattgefunden. Es findet nun keine Weiterleitung auf SaferPay mehr statt. Ich denke, dass die Angreifer vorhin noch am Feinschliff gearbeitet haben und das deshalb noch nicht aktiv war. Wer jetzt Kreditkartendaten eingibt, verliert sein Geld.
 
MTBMaverick schrieb:
Das untersuche ich gerade noch im Detail. Technisch wäre das alles möglich, passieren tut es derzeit scheinbar nicht. Ist wahrscheinlich gerade auch gar nicht notwendig, weil die Angreifer ohnehin lesenden Zugriff auf die Datenbank haben.

Die Veröffentlichung der Daten läuft so seit dem 11.01.2024. Der eigentliche Angriff wird logischerweise früher stattgefunden haben.

Soweit ich die Daten abschätzen kann, handelt es sich um einen großen Teil des Kundenstamms oder sogar den gesamten Kundenstamm. Wenn deine Adresse darin nicht enthalten ist, wäre das eine interessante Erkenntnis. Das Problem ist: Niemand garantiert, dass die Daten die frei verfügbar sind, wirklich vollständig sind. Vielleicht hast du Glück, vielleicht auch nicht. Gewissheit hast du eigentlich nur dann, wenn du auftauchst.

Disclaimer als Abmahnschutz: An der Stelle möchte ich betonen, dass es sich hier nicht um eine Empfehlung handelt, sondern wie ich es persönlich halte. Ich mache dort derzeit keine neuen Bestellungen auf und bezahle auch eine ausstehende Bestellung nicht. Die Angreifer sind offensichtlich tief im Webshop drin und könnten im Prinzip deine Bestellungen verschwinden lassen. Auch könnten sie RCZ erpressen und die Daten verschlüsseln. Wir wissen nicht, wie gut die Backups des Shops sind und schlimmstenfalls sitzt Nieves auf einem Haufen Zahlungen, die sie nicht mehr zuordnen kann und vielleicht auch kaum noch zurückerstatten kann. Auch besteht nach so einem Angriff immer das Risiko einer Insolvenz.
Zum Vergrößern anklicken....

Danke.
Das ist sehr aufschlussreich.:anbet:

Und ok... ich bin doch betroffen.
Beim autmatischen Ausfüllen der Mail Adresse war der erste Buchstabe groß geschrieben und zum Schluss noch ein Leerzeichen. 🤦‍♂️

Erwähnte ich es bereits, dass ich ein
Noob bin? :ka:
 
Mir immer noch wirklich schleierhaft warum man einen kompromittierten Webshop/Webseite weiter online lässt... Allein schon aus Eigennutz (siehe das Szenario mit Verschlüsselung von Daten, logout der admins, usw), aber natürlich auch aus Verantwortung ggü.der Kunden.

Für Nieves wäre in Zukunft imho Shopify deutlich besser, da hat er zumindest Security Patches etc. Aber zahlt halt Provision...
 
grvl8 schrieb:
Mir immer noch wirklich schleierhaft warum man einen kompromittierten Webshop/Webseite weiter online lässt... Allein schon aus Eigennutz (siehe das Szenario mit Verschlüsselung von Daten, logout der admins, usw), aber natürlich auch aus Verantwortung ggü.der Kunden.

Für Nieves wäre in Zukunft imho Shopify deutlich besser, da hat er zumindest Security Patches etc. Aber zahlt halt Provision...
Zum Vergrößern anklicken....
Weil kein Verständnis für die Schwere des Problems existiert.

p.s. danke @MTBMaverick für die detailreichen Infos.. ich hab die FAQ aktualisiert:
https://www.mtb-news.de/forum/t/rcz...-spekulationen-austausch.968348/post-18935046
 
demlak schrieb:
Weil kein Verständnis für die Schwere des Problems existiert.
Zum Vergrößern anklicken....
Aber sie sind ja selbst betroffen. Wenn Nieves nicht mehr reinkommt, ist auch Essig für ihn. Wobei die Angreifer ja daran kein Interesse haben dürften, wenn man ansieht das sie jetzt umgeleitet haben.
Häufig ein Fluch von WooCommerce und Magento Community edition shops... Sie sind weit verbreitet und haben fast täglich Updates nötig, die aber nie eingespielt werden von den Benutzern. Gibt ja genug andere Sachen zu tun/ Kenntnis fehlt.
 
Bucky2k schrieb:
Ich nehme ja mal an, dass Du deine Erkenntnisse mit Nieves geteilt hast (anteilig zumindest). Keinerlei Reaktion?
Zum Vergrößern anklicken....
Neue Erkenntnisse habe ich immer zeitgleich an die info Mailadresse gesendet. Auch habe ich versucht die Adressen der im Handelsregister eingetragenen Geschäftsführung und die der Mitarbeiterin aus dem Marketing, die auf XING zu finden ist zu rekonstruieren. Leider existieren diese Adressen nicht.

Eine Reaktion ist nicht erfolgt. Dabei hätte man gestern wahrscheinlich noch verhindern können, dass Kreditkartendaten abfließen. Pünktlich zum Wochenende ist da jetzt sicher keiner mehr zu erreichen.

Die Tatsache, dass die Angreifer nun den Shop verändert haben, spricht jedoch dafür, dass sie keinen Zugriff auf die Kreditkartendaten vergangener Bestellungen hatten. Sonst hätten sie die einfach unauffällig mitgenommen. Das ist immerhin eine gute Nachricht für alle, die sich Sorgen um ihre Kreditkartendaten aus der Vergangenheit machen.
 
MTBMaverick schrieb:
Neue Erkenntnisse habe ich immer zeitgleich an die info Mailadresse gesendet. Auch habe ich versucht die Adressen der im Handelsregister eingetragenen Geschäftsführung und die der Mitarbeiterin aus dem Marketing, die auf XING zu finden ist zu rekonstruieren. Leider existieren diese Adressen nicht.

Eine Reaktion ist nicht erfolgt. Dabei hätte man gestern wahrscheinlich noch verhindern können, dass Kreditkartendaten abfließen. Pünktlich zum Wochenende ist da jetzt sicher keiner mehr zu erreichen.

Die Tatsache, dass die Angreifer nun den Shop verändert haben, spricht jedoch dafür, dass sie keinen Zugriff auf die Kreditkartendaten vergangener Bestellungen hatten. Sonst hätten sie die einfach unauffällig mitgenommen. Das ist immerhin eine gute Nachricht für alle, die sich Sorgen um ihre Kreditkartendaten aus der Vergangenheit machen.
Zum Vergrößern anklicken....
Danke für deine Arbeit!!!🫶
 
Kann jemand sagen, wie bezüglich offener bezahlter Bestellungen zu verfahren ist?
Letztendlich ist es leider gut möglich, dass der ganze Laden dicht gemacht wird.

Soll ein Chargeback Verfahren angestrebt werden?
 
Ist doch alles entspannt 😎
9C68A21E-0D4A-4212-B9CA-79EB24F45176.png
 
Äh ja scheisse.
Ich hab am 17.Jan das erste mal dort was mit CC bestellt. Meine Mail ist zumindest nicht in der Liste drin..
Ist eine Sperrung der Karte nun dennoch sinnvoll? Wäre schon unpraktisch nachdem ich morgen ins Ausland fliegen wollt
 
demlak schrieb:
Aber auch nur "erst mal". Ich bin da nicht so tief im Thema, vermute aber, dass es möglich ist, einen Clone der Karte zu erstellen.
Zum Vergrößern anklicken....
Du meinst, dass ich, wenn ich die Funktionalität wieder aktiviere, dass dann ein Zugriff Dritter wieder möglich sein könnte und ich um sicher zu gehen die Karte asap ersetzen sollte mh?
 
Bitte beachte unsere Verhaltensregeln beim Antworten. Danke 🙂
Zurück
Oben Unten