Thalia informiert Kunden über „Hackerangriff“
Am Morgen des 20. Januar 2022 wurde der Online-Shop thalia.de Opfer eines Hackerangriffs. Darüber unterrichtet das Unternehmen derzeit per E-Mail betroffene Kunden.
Interessanterweise schreibt Thalia so, als habe es sich um „einfaches“ Brute Force gehandelt, nicht um eine direkte Schwachstelle in den Systemen.
Ein schädliches Computerprogramm aus dem Ausland habe über einige Stunden systematisch bei thalia.de-Kundenkonten Benutzername/Passwort-Kombinationen ausprobiert, um sich Zugriff zu diesen zu verschaffen. Bei einigen Kundenkonten war der Angriff erfolgreich. Scheinbar hat man da bislang keine automatisierten Sperren nach x falschen Eingaben am Start.
Nach dem aktuellen Kenntnisstand wurden im Rahmen des Angriffs weder Daten aus betroffenen Kundenkonten verändert noch wurden unberechtigte Bestellungen über diese ausgelöst.
Nutzer, die die gleichen Login-Daten für verschiedene Internetdienste und Onlineshops verwenden, unterliegen dem Risiko, dass der Angreifer die Benutzername/Passwort-Kombination auch dort testet und wiederum Zugriff erhält.
Man habe unmittelbar nach Bekanntwerden des Angriffs umfangreiche Gegenmaßnahmen eingeleitet. So habe man u. a. bereits Passwörter zurückgesetzt. Weiterhin arbeite man daran, die Systeme noch stärker gegen unberechtigte Zugriffe zu schützen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Beste Bildunterschrift ever, bei so einem Beitrag.
Als Augenarzt muss ich aber leider korrigieren, dass schlechtes Licht nicht zu schlechten Augen führt
Belastet nur, oder?
Na ja, Sport belastet auch den Körper, ist aber nichts schlechtes. Es ist letztendlich nicht schädlich. Ob es belastet ist dann irrelevant, da irgendwie alles was man macht, den Körper „belastet“ Auch nichts tun belastet den Körper
Wenn man es aber mit dem Sport übertreibt kann es zu einer Überbelastung führen, was dann wiederum schlecht für die Gesundheit ist.
Wenn nun schlechtes Licht das Auge belastet, kann es dort doch sicherlich auch zu Überbelastungserscheinungen kommen, wenn man nur so vorm PC sitzt.
Ich bin kein Augenarzt, klingt für mich nur nach einer logischen Herleitung. 😀
Klar, wenn ich 20 Stunden stehe sind die Beine auch müde…
Licht ist Licht und per Definition nicht schlecht, sondern neutral. 😉
Wenn ich mich recht erinnere ist die Problematik eher das ständige konzentrieren auf kurze Entfernung. Die Augen mögen es gern mal entspannt in die Ferne zu schauen.
Dann guck dir doch das nächste Mal im Solarium, das lustige Leuchten 10 Minuten ohne Schutzbrille an. Da lernst du schnell wie neutral kurzwelliges energiereiches Licht so ist. 😛
Also mir fehlt das Bild mit den typische Hacker mit der Skimaske, alles andere ist einfach Fake.
Am 13 Zoll Laptop ohne Maus!
Du sagst das so, als wäre das was Schlechtes … ich arbeite so schon seit vielen Jahren.
Mit Skimaske?
Unfassbar, dass selbst solch einfachste Sicherheitsmechanismen nicht genutzt werden…
Das habe ich mir auch gerade gedacht und prompt mein Thalia-Konto gelöscht. Sorry, aber wer im Jahr 2022 nicht einmal die Login-Versuche beschränkt, dem traue ich nicht mehr. Allein dafür sollte es eine Strafe geben, weil das fahrlässig ist.
Weil es gar nicht mal so einfach umzusetzen ist. Im Gegensatz zu einem physischen Gerät, dass Du in der Hand haben musst, kann ein Login-Request ja von überall geschickt werden. Zum einen greift ein Mechanismus wie „jetzt wartest Du aber 2 Minuten!“ nicht, zum anderen werden BruteForce-Attacken ohnehin von verteilten Quellen abgeschickt, und zum Dritten muss man bei Verteidigungsmaßnahmen immer bedenken, dass sie sich nicht zur Angriffswaffe umdrehen lassen: Zum Beispiel, um gezielt den Shop oder legitime Nutzer zu sperren.
Ich mache seit 10 Jahren was mit Shopsystemen. Ich hätte noch nie gesehen, dass ein eShop eine Login-Limitierung hätte. Letztlich ist das sicherlich auch eine pragmatische Entscheidung: In einem Shop-Konto befindet sich i.d.R. nichts, was einen Angreifer interessieren können, da die meisten Shops keine Hinterlegung von Zahlungsmitteln erlauben und/oder nicht an anonyme Orte liefern. Genau aus Gründen wie diesem Vorfall hier.
Es macht halt keinen Sinn, ein Kundenkonto zu hacken, wenn ich am Ende doch mit einer geklauten Kreditkartennummer an eine gescamte Adresse liefern lassen muss, und am Ende habe ich bloß Ware statt Geld. Sehr riskant, lohnt nicht.
Klar greift der soweit. Brute Force Attacken sind ja nicht intelligent. Wenn die IP ausgeschlossen wird, hat sie keinen zugriff mehr. Können sie mit einer anderen versuchen, aber das gibt dann trotzdem immer nur 3, statt unendlich Versuche. Und du könntest auch die Mail als Login einfach sperren, nicht die IP, um es universeller zu machen. Mal ganz davon abgesehen, dass da eh vorher schon eine Firewall gegen sowas massives greifen sollte.
So eine Attacke kommt ja natürlich von wechselnden IPs, das Botnet mietest Du einfach. Würdest Du nach 3 Logins sperren, könntest Du deinen Shop gleich zumachen.
Meine Vermutung hier ist ohnehin, dass jemand aus anderen Quellen bereits eine Account/Passwort-Datenbank hatte. Bruteforce lohnt sich sonst nicht. In dem Fall gab es höchstens drei, vier Loginversuche auf ein Konto, und selbst die konnten stundenlang auseinanderliegen.
Kann da auch nur den Kopf schütteln.
Hoffentlich hat eine derart grobe Fahrlässigkeit für Thalia spürbare Folgen.
Die grobe Fahrlässigkeit sehe ich eher beim Kunden, der in mehreren Diensten die gleichen Logins nutzt.
Reicht doch, wenn sie die ganzen E-Mails ergattern und es wieder Spam ohne Ende gibt. Oder Kreditkartennummern, Mails von den PayPal-Konten. Letztere will Thalia seit einiger Zeit fest speichern und erlaubt gar keine Zahlung, sondern nur Abbuchungen, weshalb das Konto hinterlegt sein muss.
Nein, wenn Thalia nicht einmal solche primitiven Schutzvorkehrungen umgesetzt hat wie eine automatische Sperre nach x fehlerhaften Anmeldeversuchen dann ist das grob fahrlässig.
Das macht kein Shop. Wieso auch? Im Kundenkonto ist nichts, was sich zu klauen lohnt.
Ich frag mich, was für Leute solche Bilder erstellen … Muss ein krasser Hacker sein, der mit nem Stylesheet angreift xD
Zum Thema: Mit 2FA wäre das kein Problem gewesen. Vielleicht nehmen die das ja als Anlass.
2FA für ein Unternehmen, das Umsatz machen möchte? Jeder versucht doch dem Kunden so wenig Barrieren wir nötig geben. Bin sonst großer Freund von 2FA, aber im E-Commerce gibt es kaum Unternehmen, die das machen, oder liege ich falsch?
Muss ja nicht Pflicht sein. Es gibt generell wenig Internetseiten, die das anbieten, aber gerade beim Online Shopping halte ich es für sinnvoll. Bei Amazon geht’s zumindest.
Ich muss schon sagen, ich habe noch nie so „dramatisch“ CSS programmiert, wie auf dem Artikelbild…..
Informier dich mal! Für DeCSS sind Leute in den Knast gewandert!!!!!!!11elf
Der Hacker auf dem Bild ist mega. Ändert gerade die css einer Website und liest was über Link in Opera und Chrome.
Inwiefern? Security kostet Geld und Zeit und solange ein Sicherheitsvorfall keinen Handlungsdruck erzeugt gilt, Et hätt noch emmer joot jejange.
Ich finde es durchaus amüsant und interessant zugleich, wie viele hier sich anscheinend intensiver mit dem Bild als mit dem darunter stehenden Text befassen – hatte mein alter Lehrer also doch Recht, als er behauptete, das Bilder immer interessanter sind als der liegende Text 😉 …
Ja, so ist das wohl heute bei vielen, komplett darauf getrimmt, nur das Unwesentliche wahrzunehmen … 😉
Früher war ja alles besser als heute, ne?
Ist es nicht eher so: Wir sind das Verbummeln unserer Kundendaten trotz eigener supersicherer Passwörter durch die Dienstbetreiber samt Schönrederei hinterher, mittlerweile gewohnt und reagieren mit Spott.