OnlineTvRecorder.com wurde gehackt
von caschy | 31 Kommentare
Sicherlich kennen einige von euch den Dienst OnlineTvRecorder.com. Hier kann man sich anmelden und entweder ein Gratis- oder ein Bezahlangebot wahrnehmen. TV-Sendungen lassen sich online zur Aufnahme vormerken und dann später auf eure Festplatte herunterladen. Nun musste man sich eingestehen, dass man gehackt wurde. In einer E-Mail an Kunden gab man bekannt, dass man im Februar Opfer eines Hacks wurde, die offene Tür sei aber gefunden und geschlossen worden.
Konkrete Informationen verrät man in der E-Mail nicht, man gibt seinen Nutzern lediglich mit auf den Weg, dass diese ihr Passwort ändern sollten. Inwiefern die Passwörter verschlüsselt waren, geht aus der Mail nicht hervor, so gibt man als weiteren Tipp mit, dass man bei Verwendung der identischen Kombination aus Mail-Adresse und Passwort bei anderen Diensten auch dort das Passwort ändern solle. Bankdaten, Kreditkartendaten, Einzahlungen seien nicht betroffen, wie man abschließend mitteilt. (danke Torsten & Oliver)
Wird geladen ...
„In der Praxis ist aber schon klar, daß es für viele User Lieblingspasswörter gibt, die sie auch auf Amazon etc. einsetzen. Insofern dient das Problem hier auch dazu, einmal mehr dem User klarzumachen, daß er seine Passwörter individuell vergeben muß.“
Krass, mit welcher Arroganz die auftreten.
@ Andre: Bei solchen Aussagen reißt es einem echt den Boden unter den Füßen weg! Den Usern Fahrlässigkeit vorzuwerfen, weil sie Passwörter unter Umständen für mehrere Dienste benutzen, sich selbst aber nicht einmal an die grundlegendsten Dinge in Bezug auf Sicherheit zu halten.
OK, dann dürfte es tatsächlich damit zusammenhängen. Schon komisch mal selbst betroffen zu sein, nur gut, dass ich für so Zeug etliche Mail-Adressen hab, bei denen nicht all zu viel Schaden angerichtet werden kann.
Ein sicheres Passwort ist aber doch viel einfacher zu wählen als Entwicklungsaufwand in den Decoder etc. zu stecken, damit es auch nach der Umstellung funktioniert. /Arroganz-Mode: Off
Und dann noch die Begründung, dass die Zugangsdaten für OTR selbst ja sonst nichts wert sind. Was vielleicht sein mag, aber wenn ich da Guthaben drauf habe, möchte ich trotzdem nicht, dass da jemand anderes überhaupt die Möglichkeit erhält, darin rumzufuschen (im schlimmsten Fall könnte der Hacker die Accounts von Mitgliedern kündigen)
„Es kann also dazu führen, daß die Passwörter weiterhin im Klartext gespeichert bleiben. Aber es wird in jedem Fall deutlichst darauf hingewiesen.“
Oh, wie nett. „Lieber Mieter, leider lässt sich ihre Tür nicht mehr schließen. Ist zwar nicht ganz so sicher, aber wir haben Sie zumindest darauf hingewiesen.“ – jetzt wissen natürlich auch andere Hacker, dass die Passwörter im Klartext sind und es vielleicht auch bleiben wird. Wie nett von OTR.
@SteeBee: Und wie dieser „deutliche“ Hinweis aussieht, sieht man zum Beispiel hier unterhalb des Passwortfeldes: http://www.onlinetvrecorder.com/v2/?go=signup
@SteeBee: Und wie dieser „deutliche“ Hinweis dann aussieht, sieht man zum Beispiel hier unterhalb des Passwortfeldes: http://www.onlinetvrecorder.com/v2/?go=signup
Wow, das ist natürlich ein sehr deutlicher Hinweis, dass es im Klartext gespeichert wird. Bei der PW-Änderung ist selbst dieser „Hinweis“ nicht mal aufgeführt.
Ich habe dort seit Ewigkeiten ein Konto beim OTR, dass ich bereits seit Jahren nicht mehr geöffnet habe. Mit einer alten E-Mail-Adresse, die ich seit Jahren nicht mehr verwende und die – damals war man ja noch so blauäugig – auch dasselbe Kennwort hatte, wie der Account bei OTR. Und – was ein Zufall – vor ein paar Tagen wurde diese E-Mail-Adresse als Spamschleuder verwendet, was ich auch nur zufällig mitbekam, weil eine der Spam-Mails an eine meiner neuen Adressen ging. Das wundert mich jetzt natürlich nicht mehr. Passwörter im Klartext zu speichern ist ja mal das dümmste, was man als Betreiber einer Seite mit Login machen kann. Und da gibt es definitiv keine Entschuldigung für, egal welche technischen Gründe angeführt werden. Und Warn-Mail von OTR habe ich naürlich auch nicht bekommen. Danke für den Artikel, sonst hätte ich nicht so schnell erfahren, warum der Mail-Account gehackt wurde. Das Passwort hatte ich natürlich sowieso schon geändert.
Scheint der einzige Beitrag über OTR hier im Blog zu sein. Liest noch jemand mit?
Heute kam Mail, angeblich von webmaster@onlinetvrecorder.com:
„Ihr Konto auf OnlineTvRecorder.com wird in einigen Tagen deaktiviert, weil Sie sich vor 3 Monaten das letzte mal angemeldet haben. Um dies noch zu verhindern, können Sie sich einfach hier auf OnlineTvRecorder.com einloggen:
Jetzt schnell einloggen!
..und dann wird Ihr Konto nicht deaktiviert.“
Finde dazu im Web nichts. SPAM?
Support für OTR, WLT, HLT, YTD, OMF schrieb mit gerade im Chat, dass die Mail/Warnung KEIN Spam/Fake war:
„Sie müssen sich öfter einloggen. Die Frist ist aber unterschiedlich. Das Konto lässt sich einfach wieder aktivieren (reaktivieren)“
Ups. Mein Posting von ~16:30 fehlt (noch?): hatte von einer Mail von OTRs Webmaster berichtet – „Ihr Konto auf OnlineTvRecorder.com wird in einigen Tagen deaktiviert, weil Sie sich vor 3 Monaten das letzte mal angemeldet haben.
Um dies noch zu verhindern, können Sie sich einfach hier auf OnlineTvRecorder.com einloggen:
Jetzt schnell einloggen!“