Spreadshirt informiert über einen Sicherheitsvorfall
von caschy | 16 Kommentare
Das Unternehmen Spreadshirt informiert in einem am 12.7. aktualisierten Beitrag über einen Sicherheitsvorfall. Demnach wurde man Opfer eines organisierten Cyber-Angriffs. Den unbekannten Tätern gelang es, Zugriff auf interne Daten des Unternehmens zu bekommen. Spreadshirt spricht davon, dass der Vorgang mit hoher krimineller Energie durchgeführt wurde – schließlich wurden „die hohen Sicherheitsstandards“ überwunden. Betroffen sind laut Spreadshirt die Adressdaten, vor 2014 gespeicherte Passwort-Hashes sowie Bankverbindungen bzw. PayPal-Adressen. Die Ermittlungsbehörden wurden bereits eingeschaltet, teilt man weiterhin mit. Was empfiehlt man? Wenn Nutzer einen Account bei Spreadshirt haben, empfehle man dringend das Passwort zurückzusetzen. Wobei man dies vermutlich auch selbst hätte für Kunden anstoßen können. Man empfehle außerdem das PayPal-Passwort zu ändern, wenn man dies als Zahlungsmethode hinterlegt hat.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Warum das Paypal-Passwort? Hat Spreadshirt etwa das Paypal-Passwort der Kunden in ihren Datenbanken gespeichert, wenn man Paypal als Zahlungsmethode hinterlegt? Wie geht sowas?
Vielleicht nur eine Sicherheitsempfehlung für die unbedarften Leute, die überall das gleiche Passwort verwenden? Die soll’s immer noch geben.
Hab ich mich auch gefragt. Außerdem erwarte ich dann doch, dass wie bei ähnlichen Vorfällen woanders, bitte automatisch alle Passwörter neu gesetzt werden. Einfach zu sagen: Hey, gab einen Hack. Ändert mal bitte all eure Passwörter, ist jetzt nicht die feine Art.
Das glaube ich nicht, jedoch dürfte die Paypal-Mailadresse gespeichert sein und in Kombination mit den geleakten Passwörtern von Spreadshirt direkt (und da Menschen häufig das gleiche Passwort bei mehreren Diensten verwenden) ist ein Angriff durchaus denkbar.
Ich meinen Account dort vor über fünf Jahren aufwändig geschlossen, geprüft, dass ich mich nicht mehr einloggen kann UND beim zurücksetzen die Nachricht kommt, dass sie die email Adresse nicht kennen.
… heute hab ich die eMail bekommen. Sie haben also bloß ein deleted-flag gesetzt und die Daten ganz normal online gelassen.
Große Amateure. 😀
Bei mir genau der gleiche Fall. DSGVO Verstoß 😉
Abrechnungsrelevante Daten müssen mindestens 10 Jahre aufbewahrt werden. Da hat die DSGVO keinen Einfluss.
Aufbewahrt werden muss die ausgestellte Rechnung. Wenn die alte Emailadresse wieder auftaucht, dann war sie auf der Rechnung oder es wurde einfach vergessen, die aus dem Emailverteiler zu löschen.
Hier genau das Gleiche, habe meinen Account vor Urzeiten gelöscht und heute diese Email erhalten. Auf Nachfrage beim Support hieß es jetzt, dass man nun (endlich) meine Daten löschen würde…
Bei mir das selbe Spiel!
– Account schon ewig gelöscht, heute die eMail erhalten!
– PW-Rücksetzung meldet , das der Account nicht bekannt sei.
Tja, wie kann das denn sein?
Hab die Mail mit der Info auch bekommen. Kann mich nicht daran erinnern, dort jemals einen Account eröffnet zu haben. Auch kennt die Seite beim Zurücksetzen des Passwortes keine meiner Mailadressen.
Sehr spooky…
Das verhalten von Spreadshirt ist sehr unanständig. Man versucht das ganze anscheinend „geheim“ zu halten, info nur auf einer Hilfeseite über Umwege. Das Rücksetzen des Passwortes wäre das mindeste gewesen. Mal eben verifizierte Daten frei Haus, da kaufe ich nicht mehr ein – ist ja nicht das erste mal bei Spreadshirt. Warum zur Hölle können die Daten nicht „sicher“ abspeichern?
Na war es ihr persönliches T-Shirt PrinterNightmare und ein vergessener Praktikanten-Account? PayPal Passwörter sollten aber doch wohl nicht in deren Datenbank liegen?!!!!!
Warum wird man von Spreadshirt nicht direkt darüber informiert, sondern erfährt über ein Tech-Blog (danke an dieser Stelle) von diesem Mist?
Man bekam eine E-Mail.
Ich hab selbst eine bekommen, aber der Login funktioniert auch nicht (mehr).
Weder Nutzername, noch E-Mail sei bekannt.
Frage mich, weswegen dann eine alte E-Mail Adresse welche dennoch weiter als eine der aktivsten bei mir gilt einfach so im System bei denen schlummert.
Nicht alle haben die E-Mail bereits bekommen. Bei mir flatterte sie vor zwei Minuten rein. Und: ich kann mich weder einloggen, noch eine Passwortänderung anfordern. Super Laden…