citdoks.de Datenleak?

[Till]

Es kann sein, dass ich es damals nicht mitbekommen habe: Gab es eine offizielle Stellungsnahme dazu, dass angeblich Passwörter und E-Mailadressen von Citdoks im öffentlichem Umlauf sind? Laut Auswertung von https://sec.hpi.de/ilc/ ist meine Hauptmailadresse inklusiv des Passworts geleakt worden.

[Kugelblitz]

@admin: Bitte übernimm hier mal. Danke!

[Till]

Keinerlei Reaktion? Schade.

[Grinda]

Am 7.1.2019 um 21:57 schrieb Till:

Es kann sein, dass ich es damals nicht mitbekommen habe: Gab es eine offizielle Stellungsnahme dazu, dass angeblich Passwörter und E-Mailadressen von Citdoks im öffentlichem Umlauf sind? Laut Auswertung von https://sec.hpi.de/ilc/ ist meine Hauptmailadresse inklusiv des Passworts geleakt worden.

Bei mir auch, in 2017.
Komisch, daß wir nicht drauf hingewiesen wurden.

[soleil]

Ergebnis Ihrer Anfrage bei HPI Identity Leak Checker

Achtung: Ihre E-Mail-Adresse xxxxxxxx taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf. 
Folgende sensible Informationen wurden im Zusammenhang mit Ihrer E-Mail-Adresse frei im Internet gefunden:

Betroffener Dienst	Datum	Verifiziert	Betroffene Nutzer	Passwort	Vor- und Zuname	Geburtsdatum	Anschrift	Telefonnummer	Kreditkarte	Bankkontodaten	Sozial-versicherungsnr.	IP-Adresse
citdoks.de	Dez. 2017		15.362	Betroffen	–	–	–	–	–	–

 

Peter

[Till]

Ich denke, dass man der angegebenen Zahl der Nutzer (15.362) schon trauen kann. Ich gehe davon aus dass damit quasi jeder hier im Forum betroffen seien wird, da ja oft auf citdoks verwiesen wurde.

Was mich dann wundert ist

A.: Warum haben die übrigen Nutzer kein Interesse an dem Verbleib und Umgang mit ihren Daten?

B: Warum nimmt der Seitenbetreiber keine Stellung dazu bzw. warnt die betroffenen Nutzer nicht? Ist das egal? Eigentlich sollte man sowas als erstes vom dementsprechenden Betreiber erfahren und nicht durch Zufall...

[khs2212]

Ich habe meine Mailadressen, die ich hier im Forum verwende, über die oben verlinkte Seite checken lassen - ohne Befund!

Gruß, Karl-Heinz

[schwinge]

+1

[Till]

vor 2 Minuten schrieb khs2212:

Ich habe meine Mailadressen, die ich hier im Forum verwende, über die oben verlinkte Seite checken lassen - ohne Befund!

Die Mailadresse fürs Forum und für citdoks muss nicht die gleiche sein. Was sagt die Überprüfung dann ggf. mit der Adresse die du dort verwendet hast?

[khs2212]

Ah, sorry, man sollte alles lesen. Ich bin nur im ACC-Forum angemeldet.

Gruß, Karl-Heinz

[admin]

Hallo zusammen,

es kam bisher keine Stellungnahme, weil ich davon bis  letzen Freitag nichts mitbekommen hatte. Am Freitag bekam ich eine WhatsApp-Nachricht, die mich auf diesen Thread hier hinwies. Seither versuche ich heraus zu bekommen, was passiert ist.

Was ich dazu sagen kann:

- der Server, auf dem citdoks.de lief, wurde immer regelmäßig gewartet und war zu jeder Zeit up to date. Eine Zero-Day Lücke kann ich natürlich nicht ausschließen. Es wurden auf dem Linux Server aber jede Nacht alle verfügbaren Updates automatisch eingespielt.

- in der citdoks-Datenbank wurden neben dem Namen, dem Nickname, der Mailadresse auch das verschlüsselte Passwort gespeichert. Es waren keine weiteren Daten enthalten. Insbesondere keine Bank- oder Kreditkartendaten.

- die Passwörter wurden schon seit vielen Jahren verschlüsselt abgespeichert. D.h. wenn der Angriff nach ca. 2006 geschehen ist, dann konnten nur unleserliche Passwörter abgegriffen werden. Als Verschlüsselung wurde ein sog. "gesalzener md5-Hash" verwendet. Wenn diese Daten in Umlauf geraten sind, dann nur als verschlüsselte und gesalzene Hashwerte. Diese sind theoretisch mit großen Rainbowtabellen und großem Hardwareaufwand entschlüsselbar, aber in der Praxis ist dies sehr, sehr aufwändig. Dies bedeutet, das die Passwörter selbst nicht bekannt sein dürften, wohl aber die Mailadressen, die Nicknames und ggf. die Echtnamen.

- im von Till genannten "HPI Identity Leak Checker" ist die Rede von über 15.000 geleakten Datensätzen. Citdoks hatte aber nie mehr als ca. 3.500 registrierte Benutzer (Fake-User, die ich immer wieder mal gelöscht habe, ausgenommen). Ich bin mir daher nicht sicher, ob es sich hier um echte Daten aus unserer Datenbank handelt, halte es aber für möglich.

- seit dem 15.12.2017 ist die Datenbank komplett vom Netz. Um der DSGVO gerecht zu werden, habe ich am 25.5.2018 alle personenbezogenen Daten (Name, Mailadresse, Nickname, Passwort) auch aus der letzten Sicherung der Datenbank entfernt. Alle vorherigen Sicherungen habe ich ebenfalls gelöscht. Daher ist es mir nicht möglich, alle Benutzer von citdoks.de anzuschreiben.

- obwohl mir von einem Leak bei citai.de nichts bekannt ist, nehme ich diese Seite ebenfalls zur Sicherheit vom Netz. Bei citai.de wurde eine ähnliche Technik verwendet wie bei citdoks.de.

Es tut mir sehr leid, dass hier wahrscheinlich ein Angriff erfolgreich war. Zur Sicherheit empfehle ich jedem, der sein citdoks-Passwort auch anderswo verwendet hat, dies zu ändern.

Ich möchte jedem raten, seine Mailadresse mit Diensten wie z.B. https://sec.hpi.de/ilc/ zu überprüfen. Es wurden auch Anbieter, wie z.B. Adobe, Dropbox, last.fm, moneybookers, twitter und andere geleakt (insgesamt über eine Milliarde Benutzerdaten). Bitte ändert Eure Passwörter regelmäßig.

Betrübte Grüße,

Martin

 

[Till]

Ich finde gut, dass jetzt Klarheit herrscht. Zudem kann ich beruhigen: Da ich mich erst frühstens 2016 dort registriert habe, werden die Passwörter wohl in verschlüsselter Form veröffentlicht worden sein. Auch sehe ich die Chance, dass sich jemand die Mühe macht und versucht die Daten zu entschlüsseln, als sehr gering an. Wer macht sich schon die Mühe für 3500 Nutzer (Die auch noch so blöde, schrottige Autos fahren...  )...

Ich kenne wie schwierig es ist, seine eigenen Daten beisammen zuhalten, aber auch wie anspruchsvoll es ist Webseiten mit vielen Nutzern aufrechtzuerhalten. Oft ist man ja auch selber gar nicht für Leaks verantwortlich sondern oft ein Softwarehersteller auf dessen Arbeit man zurückgreift. Es reicht ja ein winziger Fehler, egal auf welcher Seite, der über Monate unentdeckt bleibt, der für unzählige Opfer sorgt.

Ich bedauere sehr, dass die zusätzlichen Services neben dem Forum eingestellt werden, allerdings schließt das ja nicht aus, dass ein modernes Äquivalent geschaffen werden kann.

[spätActiva]

Ich danke Till für dieses Thema und dem admin für seinen (unermüdlichen) Einsatz und seinen Durchblick in der Materie.

Meine mail-Adressen habe ich natürlich mit dem angegebenen Link überprüft: ohne Befund (ich war aber auch nicht bei citdoks registriert)

Dank und Gruß
Stefan

[chef_de_tout]

Ich bin hier auch betroffen und kann jedem nur raten alle Passwörter zu ersetzen, zumal wohl nach Auskunft von HPI Identity Leak Checker die Passworte betroffen sind.

 

[Kugelblitz]

Ich weiß gar nicht, ob ich mich mal bei citdoks.de registriert habe...

[Till]

Am 3.2.2019 um 00:31 schrieb Kugelblitz:

Ich weiß gar nicht, ob ich mich mal bei citdoks.de registriert habe...

Bist du denn betroffen?

[Kugelblitz]

Am 6.2.2019 um 19:45 schrieb Till:

Bist du denn betroffen?

Das kann ich erst sagen, wenn ich weiß mit welcher Adresse ich mich eventuell bei CitDoks registriert habe. Aber die Prüfungen meiner E-Mail Adressen waren alle unauffällig...

[LordAir]

Moin,
eine meiner E-Mailadressen war betroffen, sie wird nur im Bereich "Citroën" von mir benutzt. Da wo sie noch wichtig ist wurden schon vor einiger Zeit die Passwörter geändert. Bei citlog.de war ich auch damit angemeldet.

MfG
N.

 

[jozzo_]

Ich glaube dass jeder der irgendwo in einem Computer mit seinen Daten aufscheint betroffen ist.

Die meisten werden es aber nie erfahren.

[Amokhahn]

Ich bin auch betroffen. Treffer 2013, 2017 und 2019

Gesendet von meinem Motorola G7 Power

[Ronald]

Was bedeutet das nun für mich?

Was ist 19.351.766?

Ronald

 

[CX Fahrer]

Ich sehe das so: du bist ein Spambot.

Die Menschheit ist naïv und extrem leicht in Panik zu versetzen. Millionen von Menschen breiten ihr Leben im Internet aus und schreien dann nach Datenschützern. Ich bin bei den Citdoc registriert, sehe aber keinen grund jetzt Angst zu haben. Erstens habe ich da sicher kein Password hinterlegt das Zugang zu sensiblen Daten zulässt (ausser meiner Bank ist davon wohl eh nichts im Netz zu finden) Zweitens bin ich nicht so naiv gleiche Daten in verschiedenen Bereichen zu verwenden. Drittens scheint dieses tolle Analysewerkzeug sehr zuverlässig zu sein, es findet 15000 Betroffene in einer Datenbank die gerade mal 3500 Nutzer hat.

[Kugelblitz]

Am 6.2.2019 um 19:45 schrieb Till:

Bist du denn betroffen?

Citdoks ist betroffen. Passend sind die Daten in "Cit0day"-Sammlung aufgetaucht:

https://haveibeenpwned.com/PwnedWebsites

Dazu gibts noch eine Untersuchung von Troy Hunt, bei der man sehen kann, welche Websites betroffen sind/waren:

https://www.troyhunt.com/inside-the-cit0day-breach-collection/

Da kann man dann mal prüfen, welche der eigenen Standard-Webseiten da auftauchen. 

Viele Grüße

Fred

[Till]

Man könnte meinen, dass Citdoks die einzig stilechte, zum Leaknamen passende Domain in dem Datensatz sei

Die Datenbank ist tasächlich mit ca. 13.000 Datensätzen in der Liste angegeben, was drin steht weiß ich leider nicht, konnte also auch die User-Anzahl nicht verifizieren.

Den Leak kann man zeitlich leider nicht zuordnen, auch nicht die Art des Angriffs. Fakt ist, die Datenbank der Domain taucht mit den E-Mailadressen auf. Andere Webseiten, die davon betroffen sind, sind zum Teil noch heute online. Die Betreiber haben sich offensichtlich nicht damit auseinander gesetzt, im Gegensatz zu Martin.

Rückblickend sehr schade, dass eine Website, die im Internet kostenlos Hilfe für unsere Fahrzeuge angeboten hat, davon betroffen war. Glück wiederum, dass die Passwörter verschlüsselt waren und "nur" E-Mail Adressen offen gelegt wurden.

 

Danke noch mal an Martin, dass er damals eine transparente Antwort gegeben hat. Auch ein großes Dank, dass das Forum bis heute in seiner Form besteht - ohne wäre ich vermutlich nicht mehr mit dem Xantia unterwegs.

In dem Sinne: Passt auf euch auf im WWW, checkt regelmäßig, ob eure Email-Adressen auf solchen Listen auftaucht und verwendet einen Passwortmananger eurer Wahl.

 

Schönen Abend und viele Grüße

Till