Producteev: ToDo-Tool gehen unverschlüsselte Daten flöten

bildschirmfoto-2016-09-24-um-07-01-11Das ToDo-Tool Producteev war 2012 mal bei mir im Einsatz. Zu diesem Zeitpunkt eine hoffnungsvolle, gut realisierte Lösung, die mir besser gefiel als Wunderlist. Doch schon bald merkte man, dass da wenig passiert. Funktionierte zwar, fühlte sich aber wie das berühmte und gerittene tote Pferd an. Damals ging es für mich persönlich dann irgendwann wieder zu Wunderlist, jenem Tool, welches wir nun nach drei Tagen Downtime erst einmal den Laufpass geben mussten und mal wieder bei ToDoist landeten. Aber in diesem Beitrag soll es ja um Producteev gehen.

Die verschicken gerade Mails an Kunden mit unschönem Inhalt. Am 24. August habe man Probleme mit der Kombination Mail und Passwort von Nutzern festgestellt. Diese Kombination solle sich außerhalb der „normalen Verschlüsselungsprozedere“ befunden haben und man glaubt, dass ein nicht autorisierter Dritter Zugriff auf die Daten bekommen habe. Bestätigen kann man dies aber nicht, nur dem Kunden mitteilen, dass man dies glaubt.

Das Krasse ist halt, Producteev beschreibt es so: We learned on August 24 that your Producteev username and password had been held in a file outside our normal encryption procedures, and we believe that this file was potentially accessed by an unauthorized third party.

Da schrillen doch meine Alarmglocken. Wieso passiert das? Wie ist dies möglich? Sollte der Angreifer also Daten haben, so hat er diese offensichtlich unverschlüsselt. Nutzt ihr die Kombination auch bei anderen Diensten, so ist das natürlich noch schlechter.

Wohl dem, der mal Producteev nutzte, aber nach Aufgabe des Tools seinen Account löschte. Alle anderen dürfen jetzt ihr Passwort ändern, das vielleicht sinkende Schiff verlassen und auch noch dafür sorgen, dass woanders genutzte, gleiche Kombinationen geändert werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

6 Kommentare

  1. OMG, Security wird leider immer noch unterschätzt. Passwörter unverschlüsselt in einer Datei?!? So ein Unternehmer gehört in den Knast.

  2. Ich habe diese eMail auch bekommen, aber die eMail-Adresse an die sie geschickt wurde ist beim Login auf deren Website nicht bekannt…

  3. kann Ted nur zustimmen, das ist deletantisch hoch 10 und gehört hart bestraft. Aber auf der andere Seite sind es die Nutzer doch selber schuld, hauptsache billig, mal bloss nichts oder nicht viel bezahlen und möglichst viel nutzen.

  4. OK, hab gerade am Rechner noch mal nachgesehen: Ich habe mich schon 2015 dort abgemeldet, die eMail ging wohl an alle deren Daten verloren gingen.

    Allerdings schrieb man mir im April 2015:

    This email is to inform you that your Producteev user account ***** has been successfully deleted.

    Also entweder ist der verloren gegangene Datensatz älter, oder es wird doch nicht wirklich gelöscht wenn man sich dort abmeldet…

  5. Hatte dem Caschy die Email weitergeleitet und als Antwort bekommen „Habe es schon im Blog“. Schnell seid ihr, sauber.
    Als „Passwordtool“ nutze ich https://www.pwdhash.com/ . Man nutzt ein Standardpassword und das wird mit der URL gehasht. Einfach und per Webseite auch mal unterwegs nutzbar.

    @Thomas
    Was das jetzt mit „billig und nichts bezahlen“ zu tun haben soll, verstehe ich nicht. Irgendjemand hat es programmiert und Mist gebaut. Und glaub mir es gib noch genug bezahlte Dienste, die dir auf „Passwort vergessen“ und „Sicherheitsfrage“ dein Originalpasswort zuschicken können…

  6. hm war da auch mal angemeldet habs aber schon ca. 4 Jahre nicht mehr genutzt…
    wenn ich jetzt noch mein Password das ich da benutzt habe wüsste…