Kreditkartendaten

Wichtig: DriveThruRPG gehackt, Kreditkartendaten entwendet

Logo DriveThruRPG

Wer zwi­schen dem 10. Juli und dem 6. August Kre­dit­kar­ten­käuf­te beim bekann­ten Rol­len­spiel-Anbie­ter Dri­ve­Thr­uRPG getä­tigt hat, soll­te sich mög­li­cher­wei­se bes­ser mit sei­nem Kre­dit­kar­ten­un­ter­neh­men in Ver­bin­dung set­zen und die Kar­te erset­zen las­sen. Wer Pay­Pal als Zah­lungs­me­tho­de genutzt hat, ist auf der siche­ren Sei­te. Die Anbie­ter raten in einer FAQ selbst ein­deu­tig zum Sper­ren der Kar­te:

Q: If I store my cre­dit card infor­ma­ti­on at Dri­ve­Thr­uRPG what steps should I take?

A: We sug­gest you cont­act your cre­dit card issuing bank and ask them to replace your cre­dit card. We have no evi­dence that the­se num­bers were com­pro­mi­sed. It would not have been easy to un-encrypt the stored num­bers, but we can­not rule out the pos­si­bi­li­ty.

Kre­dit­kar­ten­nut­zer, die betrof­fen sind, wur­den laut Aus­sa­gen der Betrei­ber bereits per Email benach­rich­tigt. Über­aus frag­wür­dig fin­de ich, dass die Betrei­ber nicht auf der Start­sei­te der Inter­net­prä­senz auf das Pro­blem hin­wei­sen.

Die Anbie­ter behaup­ten zudem, dass das Sicher­heits­leck besei­tigt ist und man pro­blem­los und ohne Sor­ge wie­der ein­kau­fen kann. Den­noch: Wo es irgend­wie geht, soll­te man bei Online­käu­fen von der Nut­zung von Kre­dit­kar­ten abse­hen und alter­na­ti­ve Sys­te­me nut­zen. Ja, auch Pay­Pal ist nicht risi­ko­los, aber zumin­dest kön­nen bei der Zah­lung dar­über kei­ne Kre­dit­kar­ten­da­ten abge­grif­fen wer­den (und ich per­sön­lich hat­te in all den Jah­ren noch nie ein Pro­blem mit Pay­Pal).

Wei­te­re Infor­ma­tio­nen fin­den sich ein einer FAQ im Sup­port­sys­tem von Dri­ve­Thr­uRPG

Playstation-Network: Angreifer klaut Kundendaten

Als ich ges­tern vom Super-GAU sprach, war das nicht über­trie­ben. Sony hat heu­te im Play­sta­ti­on Blog end­lich die Kat­ze aus dem Sack gelas­sen, dass unbe­kann­te Angrei­fer ins Play­sta­ti­on-Net­work ein­ge­drun­gen sind und dort die Daten von unge­fähr 70 Mil­lio­nen Kun­den geklaut haben. Ob auch Kre­dit­kar­ten­da­ten dar­un­ter sind, dar­über »ist man sich nicht sicher«, aber allein die­se vor­sich­ti­ge For­mu­lie­rung zeigt deut­lich, dass dem so sein dürf­te. Unter den geklau­ten Daten befin­den sich auch Name, Anschrift,  Geburts­da­tum, Kauf­his­to­rie sowie Log-in und Pass­wort und offen­bar auch die Sicher­heits­fra­ge, die eine Pass­wort­wie­der­her­stel­lung ermög­licht, wenn man es ver­ges­sen hat.

Das ist arg, man muss sich vor allem fra­gen, war­um die Daten offen­sicht­lich nicht in einer ver­schlüs­sel­ten Form vor­la­gen, bzw. war­um eine vor­han­de­ne Ver­schlüs­se­lung schein­bar so leicht durch einen (oder meh­re­re) Angrei­fer aus­ge­he­belt wer­den konn­te?

Sony emp­fiehlt nun sei­nen Kun­den, ihre Kon­ten sorg­sam zu über­wa­chen – na toll… Es bleibt zu prü­fen, ob bei uner­laub­ten Zugrif­fen auf­grund der mög­li­cher­wei­se min­der­wer­ti­gen Sicher­heits­maß­nah­men des Kon­zerns hier Scha­dens­er­satz­for­de­run­gen sei­tens der Kun­den mög­lich sind. Ich gehe davon aus, dass dem so sein dürf­te. Wohl dem, der mit Pre­paid­kar­ten agiert hat.

Erneut zeigt sich nach dem Root­kit-Desas­ter, dass der Mega­kon­zern es mit dem Daten­schutz und den Kun­den­rech­ten nicht all­zu ernst zu neh­men scheint. Man fokus­siert sei­ne Auf­merk­sam­keit wohl lie­ber dar­auf, mit aller Macht und nicht eben gerin­gem finan­zi­el­len Auf­wand Per­so­nen zu ver­fol­gen, die ein ent­fern­tes Fea­ture der Play­sta­ti­on wie­der­her­stel­len wol­len. Das Geld wäre in die Sicher­heit des PSN offen­sich­lich bes­ser inves­tiert gewe­sen, gel­le Sony?

Wann das PSN den Kun­den wie­der zur Ver­fü­gung ste­hen wird ist unge­wiss, denn dar­über schweigt man sich nach wie vor aus.

Bild: PS3, aus der Wiki­pe­dia – mit einem Loch (Public Domain) ange­rei­chert von mir

Nach oben scrollen

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies und von eingebundenen Skripten Dritter zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest (Navigation) oder auf "Akzeptieren" klickst, erklärst Du Dich damit einverstanden. Dann können auch Cookies von Drittanbietern wie Amazon, Youtube oder Google gesetzt werden. Wenn Du das nicht willst, solltest Du entweder nicht auf "Akzeptieren" klicken und die Seite nicht weiter nutzen, oder Deinen Browser im Inkognito-Modus betreiben, und/oder Anti-Tracking- und Scriptblocker-Plugins nutzen.

Mit einem Klick auf "Akzeptieren" werden zudem extern gehostete Javascripte freigeschaltet, die weitere Informationen, wie beispielsweise die IP-Adresse an Dritte weitergeben können. Welche Informationen das genau sind liegt nicht im Einflussbereich des Betreibers dieser Seite, das bitte bei den Anbietern (jQuery, Google, Youtube, Amazon, Twitter *) erfragen. Wer das nicht möchte, klickt nicht auf "akzeptieren" und verlässt die Seite.

Wer wer seine Identität im Web schützen will, nutzt Browser-Erweiterungen wie beispielsweise uBlock Origin oder ScriptBlock und kann dann Skripte und Tracking gezielt zulassen oder eben unterbinden.

* genauer: eingebettete Tweets, eingebundene jQuery-Bibliotheken, Amazon Artikel-Widgets, Youtube-Videos, Vimeo-Videos

Schließen