23 Millionen Konten wurden bei einer CafePress-Datenverletzung gefährdet

CafePress ist ein Online-Händler, der alles von Schreibwaren über Bettwäsche bis hin zu Kapuzenpullis mit vielen aufregenden Designs verkauft. Es ist seit fast zwanzig Jahren im Geschäft, aber im Moment ist es ein bisschen wie eine Essiggurke. Nicht, dass du es sagen könntest.

Besuchen Sie einen der Social Media-Feeds von CafePress, und Sie werden glauben, dass alles in Ordnung ist. Die Homepage des Onlineshops weist auch nicht auf einen größeren Cybersicherheitsvorfall hin. Leider ist genau dies geschehen und es waren nicht weniger als 23 Millionen Benutzer betroffen.

Hacker haben im Februar mehr als 23 Millionen CafePress-Datensätze gestohlen

Ein Dienst zur Meldung von Verstößen mit dem Namen We Leak Info brachte die Nachricht am 14. Juli zum ersten Mal heraus, als bekannt wurde , dass eine Datenbank mit den Aufzeichnungen von mehr als 23,3 Millionen CafePress-Benutzern gefunden wurde. Laut We Leak Info wurden die gefundenen Informationen im Februar gestohlen und enthielten Namen, E-Mails und Passwort-Hashes. Trotz der großen Zahl der Betroffenen hat sich niemand um den Verstoß von We Leak Info gekümmert. Als Troy Hunt die Daten in die Hände bekam, änderten sich die Dinge dramatisch.

Hunt hat kürzlich von einer Person, die es vorzieht, unter ihrer E-Mail-Adresse - JimScott.Sec@protonmail.com - bekannt zu sein, die scheinbar gefährdeten CafePress-Informationen erhalten. Am 5. August lud Hunt es in seinen Dienst " Wurde ich angeschaut" und begann, Benachrichtigungen an die Opfer zu senden, die seine Benachrichtigungen abonniert hatten. Zuerst sah es so aus, als hätten sich die Daten von denen unterschieden, über die We Leak Info berichtet hatte. Hunt sagte anfangs, dass die Datenbank keine Passwort-Hashes enthält. Später aktualisierte er die Beschreibung, als er herausfand, dass einige gehashte und verschlüsselte Passwörter tatsächlich Teil der gestohlenen Informationen waren. Laut dem australischen Cybersecurity-Guru enthält der Dump jedoch auch Telefonnummern und physikalische Adressen.

CafePress tut, als ob nichts passiert ist

Leute, die Troy Hunts Benachrichtigungen erhielten, gingen in die sozialen Medien, um herauszufinden, was los ist, und schon bald waren Filialen wie Forbes und The Register in der ganzen Geschichte. Vorhersehbar haben Reporter versucht, mit CafePress in Kontakt zu treten und mehr über den Verstoß herauszufinden, aber sie haben keine Antwort erhalten.

Mehr als 24 Stunden nach Beginn der ersten Warnmeldungen von Troy Hunt schweigt das Unternehmen weiter. CafePress hat keine offizielle Erklärung abgegeben, seine Facebook-Seite wirbt weiterhin für neue Produkte und Verkäufe, und auf Twitter hat der Einzelhändler nur auf eine der vielen Fragen geantwortet , die Kunden aufregen.

Der Einzelhändler hat die Sicherheitsverletzung nicht vollständig ignoriert und eine Kampagne zum Zurücksetzen des Kennworts für alle Benutzer gestartet. Die Formulierung in den Benachrichtigungen scheint bewusst so gestaltet zu sein, dass die Aufmerksamkeit der Menschen von der Datenschutzverletzung abgelenkt wird. Wie der Tech-Journalist Darren Pauli berichtete , liegt der Grund für die Passwortänderung in einer aktualisierten Passwortrichtlinie. Der Datenverstoß im Februar wird nicht so oft erwähnt.

Diese Art von Head-in-the-Sand-Verhalten tut der Glaubwürdigkeit von CafePress wirklich keinen Gefallen. Sie könnten argumentieren, dass es bereits zu spät ist, aber wenn das Management-Team auch nur annähernd an der Privatsphäre der Menschen interessiert sein möchte, kann es zumindest öffentlich bekannt geben, dass ihre Systeme verletzt wurden und dass es versucht, dies zu verhindern in der Zukunft wieder passieren. Unter den gegebenen Umständen ist dies die einzig richtige Vorgehensweise.