CafePress Endlich ein Hoch auf die Massive Data Breach
Viele Menschen wissen jetzt, dass der beliebte T-Shirt- und Merchandise-Händler CafePress Anfang 2019 einen schwerwiegenden Datenverstoß erlitten hat. Im Juli erfuhren die Anhänger eines Twitter-Kontos mit dem Namen We Leak Info davon und ein paar Wochen später, Als der Sicherheitsspezialist Troy Hunt die Daten in die Hände bekam, wurde die Nachricht viel weiter verbreitet.
Wie bereits erwähnt , ereignete sich der Vorfall im Februar und war mit rund 23 Millionen betroffenen Konten recht umfangreich. Die durchgesickerten Daten enthielten auch Details wie physische Adressen, und laut Troy Hunt waren die Passwörter, die sich auf dem Dump befanden, nicht sehr gut geschützt. In Anbetracht dessen war das Verhalten von CafePress äußerst seltsam.
Es gab keine offizielle Erklärung, und obwohl etliche Reporter versuchten, um einen Kommentar zu bitten, blieb der Einzelhändler knapp. Einige Benutzer gaben an, gezwungen worden zu sein, ihre Kennwörter zu ändern, ihnen wurde jedoch anscheinend mitgeteilt, dass die Aktion durch eine neue Kennwortrichtlinie ausgelöst wurde, nicht durch einen Datenverstoß.
Im Moment, mehr als eineinhalb Monate, nachdem Troy Hunt die Datenbank in Have I Been Pwned geladen hat, und etwas mehr als sieben Monate, nachdem die Informationen gestohlen wurden, gibt CafePress öffentlich zu, dass es einen Datenverstoß erlitten hat.
CafePress-Kunden erhalten Benachrichtigungen über Datenschutzverletzungen über die E-Mails
Letzte Woche begann CafePress, E-Mails zu versenden, die "geschätzte Kunden" über "einen Datenschutzvorfall" informierten, bei dem es um ihre persönlichen Daten ging. Der Einzelhändler entschuldigte sich ausgiebig für die Undichtigkeit und machte die Sache noch etwas klarer. Aber war es genug?
Laut Screenshots, die in sozialen Medien geteilt wurden , wurde den Benutzern mitgeteilt, dass persönliche Informationen, einschließlich Namen, E-Mail-Adressen und Passwörtern, beteiligt gewesen sein könnten. Man versicherte sich, dass die Daten in eine "andere Umgebung" verschoben wurden. Es wurde jedoch empfohlen, das Kennwort zu ändern, das für das CafePress-Konto bei anderen Onlinediensten verwendet wurde, bei denen es möglicherweise noch aktiv ist. In der E-Mail wurde auch darauf hingewiesen, dass Benutzer "wachsam bleiben" und auf Anzeichen von Identitätsdiebstahl achten sollten.
Viele Leute, die die Benachrichtigung erhielten, waren nicht besonders zufrieden damit. Einige von ihnen waren ziemlich verärgert über die Tatsache, dass ihre Passwörter in einem scheinbar abrufbaren Format gespeichert wurden (die Benachrichtigungen geben keine Einzelheiten zu den genauen Speichermechanismen an). Andere meinten, dass diese Art von Nachrichten nicht von einer "nicht-richtigen" Adresse kommen sollte, und die meisten waren ziemlich verärgert über die Tatsache, dass der Einzelhändler mehr als ein halbes Jahr nach dem Vorfall über den Verstoß informiert wird. Es gibt jedoch einige Dinge, die sie in eine noch dunklere Stimmung versetzen könnten.
Die Details sind immer noch schwer zu finden
Dank der Leistungsfähigkeit des Internets können wir feststellen, dass die Anwälte von CafePress am 4. September, ungefähr zwei Wochen bevor die ersten Benachrichtigungen über Datenschutzverletzungen in den Posteingängen eingingen, einen formellen Brief [PDF] an den Generalstaatsanwalt von Iowa schickten, um die Institution darüber öffentlich zu informieren die Verletzung. Einen Tag später, am 5. September, veröffentlichte der Einzelhändler auf seiner Website eine Seite , die dem Vorfall gewidmet war. Versionen für britische , kanadische und australische Staatsbürger sind ebenfalls erhältlich, aber aus unklaren Gründen ist es nicht einfach, sie zu finden. Zum Zeitpunkt des Schreibens scheint dieser Inhalt nicht über die Suchmaschine von CafePress verfügbar zu sein, und soweit wir das beurteilen können, wurde er in keiner Weise an Benutzer weitergegeben. Die Informationen in dem Brief an den Generalstaatsanwalt von Iowa und die schwer zu lokalisierende Webseite enthalten jedoch weitere Einzelheiten zu der gesamten Datenschutzverletzung.
Es gibt uns eine Aufschlüsselung der geografischen Lage der betroffenen Personen. Anscheinend wurden weltweit mehr als 22 Millionen Menschen getroffen, darunter 450.000 Australier, rund 495.000 Kanadier und etwas mehr als 1 Million EU-Bürger (von denen 880.000 in Großbritannien leben). Zusätzlich zu Namen, E - Mail - Adressen und Kennwörtern konnte der "unbekannte Dritte", der die Sicherheit von CafePress verletzt hat, die letzten vier Ziffern und das Ablaufdatum einiger Kreditkarten sowie vertrauliche Informationen wie Sozialversicherungs - und Steuernummern (einschließlich Steuernummern) stehlen die Äquivalente in Kanada, Australien und Großbritannien). Zum Glück wurden nur etwa 1% aller betroffenen Personen Informationen wie Sozialversicherungsnummern offengelegt, und sie erhalten alle einen von CafePress bezahlten Schutz gegen Identitätsdiebstahl.
Der Brief an den Generalstaatsanwalt von Iowa besagt, dass CafePress am 6. August "herausgefunden" hat, dass die persönlichen Daten seiner Kunden "angeblich zum Verkauf angeboten und im dunklen Internet verfügbar" werden. Die Sicherheitsleute des Einzelhändlers waren von dieser "Entdeckung" wahrscheinlich nicht allzu überrascht, da sie laut demselben Dokument am 13. März eine Sicherheitslücke in der betroffenen Datenbank beseitigten. Damals fanden sie "keine forensischen Beweise", die darauf hindeuten, dass Informationen gestohlen wurden, aber am 15. April 2019 erzwangen sie dennoch ein Zurücksetzen des Passworts für alle, die sich in ihrem Konto anmelden wollten. Aus diesem Grund heißt es in dem Dokument, dass die "Passwörter, die möglicherweise während dieses Vorfalls erhalten wurden, ab dem 15. April 2019 nicht mehr gültig waren".
Selbst wenn wir davon ausgehen, dass dies der Fall ist, können wir die Tatsache nicht ignorieren, dass die Benutzer ständig Passwörter wiederverwenden . Wir können auch die Tatsache nicht ignorieren, dass CafePress das Problem nicht auf möglichst transparente Weise behandelt hat.
