Sport und Fitness in den sozialen Medien

[Buck]

Das ist doch kein zweiter Leak... das ist genau der Leak, der auch schon auf Andro Thema war. Auch das mit den 72h Information wurde da schon diskutiert. Sie haben sich einfach jetzt erst dazu durchgerungen, was zu sagen.

[Pathelion]

edit

[Netzokhul]

Das ist doch kein zweiter Leak... das ist genau der Leak, der auch schon auf Andro Thema war. Auch das mit den 72h Information wurde da schon diskutiert. Sie haben sich einfach jetzt erst dazu durchgerungen, was zu sagen.

Gehe ich auch mal von aus.

[Gast]

Weil das vielleicht der erste Leak war und jetzt der Zweite?
Wir wissen es nicht.

Und beim ersten Mal muss man niemanden informieren?

Mal schauen, ob diesmal eine Mailantwort kommt. Hab per Kontaktformular mal gefragt, warum sich Mitte 2022 auf meinen Hinweis auf eine Datenpanne keiner gemeldet hat.

Wenn wieder keine Antwort kommt, ruf ich nächsten Freitag mal beim LDI an

Wer mehr wissen will und denen ein wenig Arbeit machen will: einfach Mal nach § 15 dsgvo die Auskunft einholen:
https://www.bfdi.bund.de/DE/Buerger/Inh ... t%20werden.

[GastXY]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

[Stephen]

Hm,

das scheint ein ziemlich großer "Newsletter" gewesen zu sein, den Fitmart heute rausschicken musste :psst:

Über Google findet man auch schnell eines der Foren, in denen die Daten veröffentlicht worden sind:
https://breachforums.is/Thread-fitmart-de-1m

Was hier am 29.06.2023 veröffentlicht worden ist, scheint die User-Tabelle (oxuser) aus dem alten Fitmart-Shop zu sein. Würde auch stark vermuten, dass der Data Breach aus dieser Zeit ist und nicht vom 15.01.2022.

Der alte Fitmart-Shop ist übrigens am 26.09.2021 abgelöst worden. War damals selbst der Projektleiter bei Fitmart, der mit seinem Team den neuen Shopify-Shop gebaut und die Migration durchgeführt hat

Was die Passwörter angeht: Ein Teil hat noch die alte MD5-Verschlüsselung. 2016 gab es aber auch ein Versionsupdate des Fitmart-Shops, bei dem auf das neuere SHA256-Verfahren umgestellt worden ist. Wer sich also vor 2016 registriert hat und sich dann bis Ende September 2021 nicht mehr im Fitmart-Shop angemeldet hat, dessen Passwort ist noch MD5-verschlüsselt und damit gefährdet. Das Risiko ist also nicht so groß, weil es doch eine ganze Weile her ist. Ich selbst habe keinen Bock deswegen jetzt irgendetwas mit meinen Passwörtern zu machen.

In den aktuellen Shop sind die Passwörter übrigens nicht übernommen worden, weil es technisch nicht möglich war.

War selbst Mitarbeiter in der Fitmart-IT bis Ende April diesen Jahres. Wenn Anfang 2022 etwas in der Art passiert wäre, dann hätte ich es garantiert mitgekriegt. Theoretisch könnte natürlich ein Hack im Stillen stattgefunden haben, von dem Fitmart nichts mitbekommen hat, aber das kommt mir doch sehr unwahrscheinlich vor.

[Stephen]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

ESN und Fitmart waren nie zusammengeschaltet. Ich würde vermuten, dass du dich doch mal irgendwann bei Fitmart registriert hattest. Den Fitmart-Shop gibt es ja schon viel länger als den ESN-Shop.

[GastXY]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

ESN und Fitmart waren nie zusammengeschaltet. Ich würde vermuten, dass du dich doch mal irgendwann bei Fitmart registriert hattest. Den Fitmart-Shop gibt es ja schon viel länger als den ESN-Shop.

Team Andro Shop ja.

Habe dieses ganze Konstrukt nie verstanden.

[Stephen]

Habe die Mail von Fitmart erhalten aber auf der Mail kein Konto dort sondern nur auf ESN. Ist das zusammengeschaltet oder ist nur der Server der Fitmart Domain betroffen?

ESN und Fitmart waren nie zusammengeschaltet. Ich würde vermuten, dass du dich doch mal irgendwann bei Fitmart registriert hattest. Den Fitmart-Shop gibt es ja schon viel länger als den ESN-Shop.

Team Andro Shop ja.

Habe dieses ganze Konstrukt nie verstanden.

Ja, das war schon ein komisches Konstrukt

[Stephen]

Hm,

das scheint ein ziemlich großer "Newsletter" gewesen zu sein, den Fitmart heute rausschicken musste :psst:

Über Google findet man auch schnell eines der Foren, in denen die Daten veröffentlicht worden sind:
https://breachforums.is/Thread-fitmart-de-1m

Was hier am 29.06.2023 veröffentlicht worden ist, scheint die User-Tabelle (oxuser) aus dem alten Fitmart-Shop zu sein. Würde auch stark vermuten, dass der Data Breach aus dieser Zeit ist und nicht vom 15.01.2022.

Der alte Fitmart-Shop ist übrigens am 26.09.2021 abgelöst worden. War damals selbst der Projektleiter bei Fitmart, der mit seinem Team den neuen Shopify-Shop gebaut und die Migration durchgeführt hat

Was die Passwörter angeht: Ein Teil hat noch die alte MD5-Verschlüsselung. 2016 gab es aber auch ein Versionsupdate des Fitmart-Shops, bei dem auf das neuere SHA256-Verfahren umgestellt worden ist. Wer sich also vor 2016 registriert hat und sich dann bis Ende September 2021 nicht mehr im Fitmart-Shop angemeldet hat, dessen Passwort ist noch MD5-verschlüsselt und damit gefährdet. Das Risiko ist also nicht so groß, weil es doch eine ganze Weile her ist. Ich selbst habe keinen Bock deswegen jetzt irgendetwas mit meinen Passwörtern zu machen.

In den aktuellen Shop sind die Passwörter übrigens nicht übernommen worden, weil es technisch nicht möglich war.

War selbst Mitarbeiter in der Fitmart-IT bis Ende April diesen Jahres. Wenn Anfang 2022 etwas in der Art passiert wäre, dann hätte ich es garantiert mitgekriegt. Theoretisch könnte natürlich ein Hack im Stillen stattgefunden haben, von dem Fitmart nichts mitbekommen hat, aber das kommt mir doch sehr unwahrscheinlich vor.

Also deiner Meinung nach ein zweiter Leak und der Erste vom 15.01.2022 wurde verschwiegen?

Also wie ich auch vermutet habe.

Wie oben geschrieben: Zwei Leaks sehr unwahrscheinlich. Eher ein Leak im Juni diesen Jahres.

[Stephen]

Und wie erklärst du dir dieses NordVPN-Ding vom 15.01.2022?

Da habe ich keine Erklärung. Vermute, dass die Datumsangabe einfach ungenau ist.

[Stephen]

Dann bleibt noch immer die Frage, wenn es nur ein Leak war und die Daten daraus im Juni in deinem o.g. Forum veröffentlicht wurden, warum Fitmart die Kunden erst jetzt, ca. 6 Wochen später, informiert.

Sie werden es halt auch erst jetzt mitbekommen haben :sunglasses:

[Buck]

Danke für die Einblicke @stephen du bist dann also wohl DER Stephen, ehemals Admin von Team Andro, oder? Schön, dass du auch hier bist! Herzlich Willkommen und wie gesagt Danke für das Licht ins Dunkle bringen.

[Stephen]

Danke für die Einblicke @stephen du bist dann also wohl DER Stephen, ehemals Admin von Team Andro, oder? Schön, dass du auch hier bist! Herzlich Willkommen und wie gesagt Danke für das Licht ins Dunkle bringen.

Genau - bin der Stephen, der 2004 zusammen mit Jan TA gegründet hatte.

Danke für den freundlichen Willkommensgruß

[Stephen]

Und

Ich habe auch gerade die Meldung von Fitmart bekommen und ich kann es nicht glauben wie unfähig die sind.
Gerade nochmal nachgeschaut und Mitte 2022 hab ich denen eine Mail geschickt, dass ich Spam auf eine Adresse bekommen habe die nur mit meinem Fitmartkonto registriert ist und sie einmal einen Datenbankleak überprüfen sollen. Es kam bis heute keine einzige Rückmeldung.

wirft dann auch Fragen auf.

@Stephen

Hm, dass da keine Rückmeldung kommt, wundert mich gar nicht, da die Mitarbeiter vom Fitmart-Support mit solchen Anfragen schlicht überfordert sind. Was sollen sie machen? Wenn sie die IT fragen, dann werden die ihnen nur sagen, dass das völlig unmöglich ist

Wenn es jetzt wirklich so wäre, dass die E-Mail-Adresse nur bei Fitmart verwendet worden ist, dann wäre das natürlich sehr komisch.

Aber vielleicht ist die Mail-Adresse doch mal sonstwo verwendet worden irgendwie?

Habe eben mal einen Check bei F-Secure mit meiner privaten Haupt-Mail-Adresse gemacht. Ohje. Aber man beachte: TA ist nicht dabei

datenpannen.jpg