Bitter! Sicherheitsexperte schreibt ein Buch über Hacker und sein Verlag wird gehackt

Es wird sicherlich ein herausragendes Buch, denn, ehrlich gesagt, ist alles was Brian Krebs anfasst herausragend.

Aber falls auch Sie seinen Blog aufmerksam verfolgen und sein Buch oder andere Produkte aus seinem Verlag Sourcebooks vielleicht bereits vorbestellt haben, sollten Sie Ihre Kreditkartenabrechnungen genau im Auge behalten.

Denn in einem Fall besonderer Ironie wurde der Verlag von Brian Krebs selbst gehackt.

 

Bitter!

Details zu dem Sicherheitsproblem wurden über einen Eintrag in Brian Krebs Blog bekannt, in dem sich auch ein Link auf eine Bekanntmachung des Verlags gegenüber der kalifornischen Generalstaatsanwaltschaft  befand.

Sourcebooks hat kürzlich erfahren, dass es zwischen dem 16. April 2014 und dem 19. Juni 2014 zu einer Sicherheitsverletzung bei der Warenkorb-Software gekommen ist, die auf einer Reihe unseren Websites zum Einsatz kommt,  bei der Unbefugte Zugriff auf die Kreditkartendaten unserer Kunden nehmen konnten. Die Kreditkartendaten umfassten Kartennummer, Ablaufdatum, Name des Karteninhabers und  Kartenprüfnummer (CVV2). Die Rechnungsdaten umfassten Vor- und Nachname, E-Mail-Adresse, Telefonnummer und Adresse. In einigen Fällen waren auch die Versanddaten mit Vor- und Nachname, Telefonnummer und Adresse betroffen. In einigen Fällen konnten auch die Kontopasswörter erbeutet werden. Unseres Wissens nach sind Nachverfolgungsdaten, PIN-Nummern und gedruckte Kartenprüfziffern (CVD) nicht betroffen. Momentan lassen wir eine externe Prüfung der Vorgänge durchführen, um das Ausmaß der Sicherheitsverletzung zu bestimmen.

 

 

Leider finden sich aktuell auf der Sourcebooks-Homepage oder im Blog des Verlages keinerlei Informationen zu dem Sicherheitsproblem – dabei würde man erwarten, dass das Unternehmen die Gelegenheit ergreifen würde, um seine Kunden an diesen Stellen zu informieren und zu warnen.

Ein Blick auf die Sourcebooks-Website legt nahe, dass es aktuell die E-Commerce-Software CS-Cart nutzt, auch wenn nicht bekannt ist, ob diese zum Zeitpunkt der Sicherheitsverletzung den gleichen Online-Store-Code verwendet hat.

Auch zur genauen Art der Sicherheitslücke in der Warenkorb-Software von Sourcebooks wurden keine Eingaben gemacht, doch das Unternehmen wird zweifellos Rede und Antwort stehen müssen, ob es seinen Online-Shop zur Abwehr von Angreifern stets ordnungsgemäß gepatcht und konfiguriert hatte.

Bei Websites, die Code und Software von externen Quellen nutzen, muss unbedingt sichergestellt werden, dass die Daten bestmöglich geschützt sind – ganz besonders dann, wenn es gilt, die personenbezogenen Daten von Kunden zu schützen.

Es muss natürlich betont werden, dass Brian Krebs keinerlei Schuld daran trägt – er hat seine Leser bereits in der Vergangenheit in seinen Blog-Einträgen dazu aufgefordert, sein Buch bei bekannteren Händlern wie Amazon und Barnes & Noble vorzubestellen. Ich bin mir sicher, dass er jetzt sehr glücklich ist, dass er die Menschen nicht noch aktiv auf seinen Verleger verwiesen hat.

Er ist zweifellos von den Vorgängen genauso enttäuscht wie wir alle.

rn