Waren Zahlungsinformationen wenigstens anonymisiert? Waren Kennwörter gehasht / salted? Was war/ist offen einsehbar? Ich bestelle ab und zu auch bei Gearbest, deshalb frage ich. Ich nutze zwar für jeden Dienst ein anderes Passwort, aber ich glaube bei Gearbest habe ich meine Haupt-Mailadresse genutzt (iirc). Und Kreditkarteninformationen sollten ja auch nicht offen im Netz rumgeistern -.-

Passwörter einfach zur Sicherheit tauschen und fertig. BRAWNDO: The Thirst Mutilator It's got Electrolytes

Ich kann nur spekulieren, aber: ElasticSearch wird zur Suche verwendet und dementsprechend sind nur Klartext-Daten durchsuchbar. Es kann natürlich trotzdem sein, dass die einfach alle Datensätze in ES importieren, also ggf. auch salted hashes. Im Übrigen sind alleine beim deutschen Rootserver-Anbieter Hetzner 238 offene ElasticSearch-Instanzen auf port 9200 am Start. Dabei hat selbst das BSI schon mal diesbezüglich gewarnt: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-Elasticsearch-Server/Offene-Elasticsearch-Server_node.html Bei AWS in eu-central-1 sind es sogar um die 1000 Instanzen. 1 mal bearbeitet, zuletzt am 15.03.19 13:38 durch AynRandHatteRecht.

DeathMD schrieb: -------------------------------------------------------------------------------- > Passwörter einfach zur Sicherheit tauschen und fertig. Und das bringt was wenn die DB noch immer offen im Netz steht?

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

Weiß jemand mehr? - Datenleak: Kundendaten von Gearbest öffentlich im Internet

‹
Thema
›

Neues Thema

Weiß jemand mehr?

Autor: Kleba 15.03.19 - 12:24

Waren Zahlungsinformationen wenigstens anonymisiert? Waren Kennwörter gehasht / salted? Was war/ist offen einsehbar?

Ich bestelle ab und zu auch bei Gearbest, deshalb frage ich. Ich nutze zwar für jeden Dienst ein anderes Passwort, aber ich glaube bei Gearbest habe ich meine Haupt-Mailadresse genutzt (iirc). Und Kreditkarteninformationen sollten ja auch nicht offen im Netz rumgeistern -.-
Re: Weiß jemand mehr?

Autor: DeathMD 15.03.19 - 12:30

Passwörter einfach zur Sicherheit tauschen und fertig.

BRAWNDO: The Thirst Mutilator

It's got Electrolytes
Re: Weiß jemand mehr?

Autor: AynRandHatteRecht 15.03.19 - 13:37

Ich kann nur spekulieren, aber: ElasticSearch wird zur Suche verwendet und dementsprechend sind nur Klartext-Daten durchsuchbar. Es kann natürlich trotzdem sein, dass die einfach alle Datensätze in ES importieren, also ggf. auch salted hashes.

Im Übrigen sind alleine beim deutschen Rootserver-Anbieter Hetzner 238 offene ElasticSearch-Instanzen auf port 9200 am Start. Dabei hat selbst das BSI schon mal diesbezüglich gewarnt: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-Elasticsearch-Server/Offene-Elasticsearch-Server_node.html

Bei AWS in eu-central-1 sind es sogar um die 1000 Instanzen.

1 mal bearbeitet, zuletzt am 15.03.19 13:38 durch AynRandHatteRecht.
Re: Weiß jemand mehr?

Autor: Hotohori 15.03.19 - 21:52

DeathMD schrieb:
--------------------------------------------------------------------------------
> Passwörter einfach zur Sicherheit tauschen und fertig.

Und das bringt was wenn die DB noch immer offen im Netz steht?
Re: Weiß jemand mehr?

Autor: Hotohori 15.03.19 - 21:54

Uff, na das trägt doch sehr zum Glauben an die Internetsicherheit bei. XD

‹
Thema
›

Neues Thema

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login