CHIP
noreply@chip.de über xpressus.emsmtp.com
an mich
Liebe Forums-Mitglieder,
ein unberechtigter Dritter hat sich Zugriff auf die Verwaltung des CHIP
Forums verschafft. CHIP nimmt diesen Vorfall sehr ernst: Deshalb wurde
das Forum sofort abgeschaltet und unabhängige Forensik-Experten mit der
Untersuchung des Angriffs beauftragt. Bis der genaue Angriffs-Weg
nachvollzogen und die ausgenutzte Sicherheitslücke behoben ist, arbeiten
die Systeme in einem sicheren Read-Only-Modus. Die Anmeldung am System
ist so lange nicht möglich.
Was bedeutet das für die betroffenen User?
Wir wissen nicht, ob überhaupt Nutzerdaten entwendet wurden. Diese
Meldung ist eine Vorsichtsmaßnahme im Sinne unserer User. Es ist jedoch
nicht auszuschließen, dass E-Mail-Adressen und verschlüsselte Passwörter
(so genannte Passwort-Hashes) entwendet wurden. Der Angreifer könnte
mithilfe der Passwort-Hashes schwache User-Passwörter entschlüsseln.
Daher sollten Nutzer, die dasselbe Passwort auch bei anderen Diensten
verwenden, dort umgehend ein neues, sicheres Passwort erstellen.
Was unternimmt CHIP, um solche Angriffe in Zukunft zu verhindern?
Gemeinsam mit den externen Experten prüfen wir den genauen Angriffsweg.
Anschließend wird die ausgenutzte Sicherheitslücke geschlossen. Sobald
die Anmeldung im CHIP Forum wieder möglich ist, werden wir euch über
einen Forenbanner informieren. Die User des Forums müssen ihr Passwort
beim nächsten Login zurücksetzen.
Weitere Informationen und Tipps findet ihr in den FAQ, die wir für euch erstellt haben:
http://www.chip.de/artikel/CHIP-Forum_68832986.html
Die
Sicherheit der User-Daten liegt uns sehr am Herzen. Wir werden alles
unternehmen, um diese Sicherheit wiederherzustellen und bedauern den
Vorfall. Solltet ihr noch Fragen haben, stellt diese bitte an
forum@chip.de . Möchtet ihr euren Account löschen lassen, schreibt bitte in den Betreff der E-Mail
„Löschen“. Als Mailinhalt schreibt bitte euren Usernamen dazu.
Vielen Dank für euer Verständnis!
Florian Konrad Schmitz,
Teamleiter Social und Community im Namen des gesamten Community-Teams
Dear community members,
An unauthorized third party gained access to the administration of our
CHIP bulletin board. CHIP is taking this matter very seriously and has
therefore taken the board offline immediately. Furthermore we have
contracted independent forensic experts to investigate the incident. The
board will operate in a read only mode until the attack vector has been
determined and the source of vulnerability has been patched. Until
then, the login to the system will not be possible.
What does this mean for the affected user?
We are uncertain at this point, whether user data was taken. This
notification is a precaution for your protection. It cannot be ruled out
that email addresses and encrypted passwords (so called password
hashes) were taken. The attacker could attempt to use the hashes to
decrypt weak passwords. Therefore we urge all users of
download.chip.eu to change their passwords immediately. If you are a user of
forum.chip.de, you have to change your passwords once the login is activated again.
What is CHIP doing, to prevent such attacks in the future?
Together with external experts we are verifying the exact attack vector
and patching the exploited source of vulnerability. We will post a
message in the forum once the login will be possible again.
You can find additional information and tips in the FAQ.
http://www.chip.de/artikel/CHIP-Forum_68832986.html
We take our users’ security very seriously and will do everything
possible to protect it. If you have any further questions please feel
free to contact us at
forum@chip.de. If you want to delete your account, please send an email with subject
“Delete” to
forum@chip.de containing your username.
Thank you for your understanding.
We regret the incident.
Florian Konrad Schmitz, team leader social and community, in the name of the whole community team