Können die nicht viel einfacher dort auf der Seite das neue Passwort direkt bei der Änderung abfangen? Sprich es wäre dann unsicherer das PW zu ändern?!? (oder können sie auch schon beim Einloggen meine Daten abgreifen?)
Kannst du das veri- oder falsifizieren? @MTBMaverick
Da gibt es verschiedene Abwägungen. Technisch könnten sie das Passwort sowohl beim Login als auch bei der Änderung abfangen, eine solche Manipulation hätten die Angreifer vornehmen können. Leider auch so, dass wir sie von außen nicht erkennen können.
In der Regel speichert man Passwörter niemals im Klartext auf dem Server. Es gibt Verfahren, mit denen sich ein Klartext unumkehrbar in eine andere Zeichenkette umwandeln lässt (Hashes). Diese Verfahren reichen von ziemlich unsicher bis hin zu nahezu unknackbar. Was RCZ genau einsetzt wissen wir wieder nicht. Wir sollten also vom schlechtesten Fall ausgehen, dass die Passwörter dort im Klartext liegen. In diesem Fall wäre es unerheblich, ob du das Passwort bei RCZ änderst. Wichtig wäre nur es dort zu ändern, wo du es eventuell ebenfalls einsetzt.
Wenn die Passwörter dort nicht im Klartext liegen, kann es sein, dass die Angreifer nur darauf warten, dass du dich anmeldest, damit sie das Klartextpasswort erhalten. Falls du das Passwort auch woanders nutzt, wäre es dann sinnvoll es dort vorher zu ändern.
Dann gibt es noch das Thema, dass die Passwörter (ob nun im Klartext oder als Hash) in einer bezahlten Kopie der Daten verbreitet worden sein könnten. Jeder der den Klartext hat oder den Hash knackt, könnte sich dann an deinem Account anmelden. Die Frage ist nur: Was könnte er damit tun? Natürlich könnte er deine Daten einsehen. Die sind aber ohnehin schon im Leak. Er könnte auch Bestellungen auslösen. Er müsste dann aber die Ware irgendwo hinsenden und auch bezahlen. Kreditkartendaten können dort ja nicht gespeichert werden.
Das größte Risiko in diesem Zusammenhang wäre, dass ein weiterer Angreifer deine Bestellungen storniert und Nieves seine eigene IBAN für die Rückerstattung mitteilt. Das könnte er aber auch ohne Login einfach per Mail machen. Im Leak könnten schließlich auch die Bestellungen enthalten sein.
Wenn du es änderst, dann sollte das nicht schaden. Wenn du es nicht änderst bleiben Risiken. Von daher macht das schon Sinn.
Dann gibt es noch den Aspekt, dass wir es hier wahrscheinlich mit verschiedenen Gruppierungen zu tun haben, die sich wahrscheinlich irgendwo im Darknet gegenseitig ihre Dienstleistungen verkauft haben.
- Diejenigen, die den Zugriff zum Shop verkauft haben
- Diejenigen, die den Datenbestand verkaufen
- Diejenigen, die die Kreditkartendaten abgreifen
- Diejenigen, die den Datenbestand gekauft haben, um damit Spam zu verschicken
- Diejenigen, die die Kreditkartendaten kaufen werden, um die Konten leerzuräumen
Das können in Teilen die selben Leute sein, müssen es aber nicht. Beispielsweise ist der Leak relativ auffällig. Wäre das nur eine Gruppe, hätte sie wahrscheinlich zuerst die Kreditkartendaten abgegriffen und danach erst die Daten geleakt, um länger unentdeckt zu bleiben. Wenn wir aber davon ausgehen, dass es sich um unterschiedliche Gruppen handelt, kannst du zumindest einem Teil davon durch die Passwortänderung das Leben schwerer machen.
