Hackerangriff und Erpressung bei AdCell

von Andreas am 14. Mai 2011
adcell-logo

Wie wir heute durch puren Zufall nach einem Login beim Affiliate-Netzwerk AdCell erfahren haben, gab es dort vor einigen Tagen einen Hackerangriff, bei dem die Hacker offenbar Zugriff auf die Kundendatenbank und die dort gespeicherten Daten hatten. Wie AdCell mitteilt, soll der Angriff durch eine nicht näher betitelte "bekannte Hackergruppe" erfolgt sein, die momentan versucht, AdCell zu erpressen und nur nach einer Geldzahlung die Veröffentlichung sensibler Netzwerk- und Kundendaten  unterlassen will. AdCell gelobt in dieser Mitteilung Besserung und will zukünftig die Sicherheit des Netzwerks verbessern.

Hierzu von uns einige Anmerkungen:

  1. Es wurden nicht alle Kunden per Email über den Angriff und die Kompromittierung der Daten informiert.
    Wir haben eben noch mal unseren Email-Account eingehend geprüft, inklusive des Spam-Ordners, und konnten keine Benachrichtigung von AdCell finden, in der auf den Umstand hingewiesen worden wäre, dass unsere Kundendaten und wahrscheinlich auch unser Passwort kompromittiert wurden. Einige Affiliates haben offenbar von Adcell Email-Benachrichtigungen erhalten, andere nicht (wozu wir auch zählen). Es kann sein, dass dies mit den Email-Einstellungen im Adcell-Account zu tun hat. Bei so einem gravierenden Angriff auf die Nutzerdaten hätte aber unabhängig von den Email-Einstellungen eine sofortige Benachrichtigung aller Nutzer durch Adcell per Email erfolgen müssen.
    .
  2. Die Passwörter werden weiterhin unverschlüsselt und im Klartext per Email durchs Netz geschickt.
    Mit der angekündigten Verbesserung der Sicherheitsmaßnahmen scheint es nicht weit her zu sein, denn nachdem wir das Passwort wie gefordert geändert hatten, wurde es uns erneut im Klartext über ein hochgradig unsicheres Medium namens Email zugeschickt, was überflüssig ist, weil wir das Passwort gerade selber eingegeben hatten und es somit schon bekannt war. Die einzige Stelle, an der ein Passwort unverschlüsselt gespeichert werden sollte, ist das Gehirn des Nutzers und sonst nirgends.
    .
  3. Es gibt keine genauen Informationen, welche Kundendaten genau kompromittiert wurden. Handelt es sich nur um allgemeine Daten, oder auch um die Bankverbindungen, oder sind potenziell auch die Passwörter betroffen?
    AdCell verweigert momentan per Email genauere Informationen hierzu mit der Begründung, dass die "polizeilichen Ermittlungen noch nicht abgeschlossen seien" und meint, dass man das nicht genau mitteilen müsse, weil die alten Passwörter ohnehin nicht mehr verwendet werden könnten, da jeder Kunde beim Login ein neues Passwort erstellen müsse. Leider benutzen aber viele Menschen (aus Faulheit) bei allen Webseiten das gleiche Passwort, weshalb genauere Infos über den Umfang des Datenklaus wünschenswert wären, inbesondere auch beim potenziellen Zugriff auf Bank-Verbindungsdaten.

Leider muss erwähnt werden, dass es auch andere Affiliate-Netzwerke gibt, die es mit der Sicherheit nicht so genau nehmen. So werden z.B. bei SuperClix die Passwörter im Klartext gespeichert und Hackern bei einem erfolgreichen Angriff somit auf dem Präsentierteller serviert.
Es ist zu empfehlen, bei AdCell und auch bei allen anderen passwortgeschützten Webseiten jeweils unterschiedliche Passwörter zu benutzen, damit der Schaden bei Hackerangriffen auf eine der benutzten Webseiten begrenzt werden kann, und die Angreifer nicht automatisch auch Zugriff auf den eigenen Amazon-Account oder gar die Accounts von Banken erhalten, bei denen man sich mit derselben Email-Adresse angemeldet hat. Außerdem sollte die bei AdCell hinterlegte Bankverbindung zukünftig verstärkt auf verdächtige Aktivitäten/Abbuchungen geprüft werden.

Schlagwörter: ,

Kommentare

Hinweis: Die Kommentare geben nicht die Meinung von VermarkterCheck.de wieder. Kritische Kommentare und Diskussionen sind willkommen, Beleidigungen, nicht nachprüfbare Unterstellungen oder Werbung hingegen nicht. Wer sich an einem Kommentar stört, kann die "melden"-Funktion nutzen, wir werden diesen dann umgehend überprüfen.
  • Ulf sagt:
    14. Mai 2011 um 19:14

    Hatte das Ganze gerade dort auch auf der Seite gelesen. Ist schon erschreckend, dass es immer mehr Leuten gelingt private Daten zu erschnüffeln. Dagegen muss es endlich etwas geben und diese Leute müssen hart bestraft werden.

  • RonniL sagt:
    16. Mai 2011 um 08:25

    Hallo an alle Leser,

    ich bin selbst SEM Affiliate bei AdCell und kann mich bei den Jungs wirklich über nichts beklagen. Ich finde das Statement hier total überzogen und habe mir mal die Mühe gemacht in einem Telefonat mit Adcell auf die drei hier behaupteten Punkte einzugehen.

    Eure Behauptung 1:
    Die Kunden wurden nicht per Email über den Angriff und die Kompromittierung der Daten informiert!

    Das ist unwahr, alle Kunden, Merchants und Agenturen haben die Mail über Experian CHeetahmail zugesangt bekommen.Adcell kam der Informationspflicht also nach.

    Eure Behauptung 2:
    Die Speicherung der Passwörter erfolgt nach wie vor unverschlüsselt und die Passwörter werden weiterhin unverschlüsselt und im Klartext per Email durchs Netz geschickt!

    1. Die PW werden bei Adcell verschlüsselt gespeichert.
    2. wenn jemand deine Mail abfangen kann, dann solltest Du DIr mal Sorgen um Die Sicherheit deiner Daten machen. Sicherster Vorschlag von mir: Gehe bitte mit deinem Personalausweis bei Adcell vorbei und lass DIr ein neues PW geben, dann ist es ganz sicher, außer jemand fängt dich vor oder nach deinen Besuch bei Adcell ab.

    3. Es gibt keine genauen Informationen, welche Kundendaten genau kompromittiert wurden. Handelt es sich nur um allgemeine Daten, oder auch um die Bankverbindungen, oder sind potenziell auch die Passwörter betroffen?

    Ich habe bei ADCELL angerufen und bekomme auch meine Mails beantwortet, warum das bei Dir anders sein sollte, kann ich nicht beurteilen. Adcell hat auch klar geschrieben, dass der Umfang des Datenklaus nicht bekannt ist, aber aufgrund der Bekanntheit der Hacker mit dem Schlimmsten gerechnet werden muss. Dann rechne doch einfach damit, wenn Du dich dann besser fühlst.

    Ich muss schon sagen, das was Adcell passiert ist, ist mega scheisse und für Adcell mit sicherheit am schlimmsten. Aber so ein Quotenjournalismus wie hier, das ist einfach nur schlecht recherchiert und oben draufgehauen - sehr unprofessionell.

    • Andreas sagt:
      16. Mai 2011 um 08:59

      Hallo,
      wir haben tatsächlich keine Email erhalten. Bei uns werden auch keine Spammails geblockt oder gelöscht, sondern nur in einen Ordner einsortiert und dort dauerhaft auf dem Server gespeichert und nur Kopien lokal abgerufen, von daher ist ein Irrtum ausgeschlossen.
      Vielleicht hat es mit den Email-Einstellungen zu tun, denn ich hatte im AdCell-Account eingestellt, dass keine Infos zu neuen Partnerprogrammen per Email zugeschickt werden sollen. Wahrscheinlich haben also nur diejenigen Affiliates eine Mitteilung per Email bekommen, die alle Partnerprogramm-Infos per Email abonniert haben. Ich werde die Angaben oben im Text entsprechend korrigieren.

      Und an der Tatsache, dass es überflüssig ist, Passwörter im Klartext durchs Netz zu schicken, ändern auch sarkastische Kommentare nichts. Zum Thema (Un)-Sicherheit von Email zwei Links zur Lektüre:
      http://hossrants.com/email-is-insecure-heres-what-you-can-do-about
      http://www.geekwisdom.com/dyn/emailinsecure

  • Benjamin Bode (www.benjamin-bode.de) sagt:
    17. Juni 2011 um 22:37

    u.a. @RonniL > Behauptung 1 (ist wie von Andreas ausgesagt wurde definitiv WAHR):

    WEIL ich habe ebenfalls "keinen" newsletter über den hackerangriff erhalten UND exakt 15 minuten bevor der newsletter an AdCell Publisher rausging (von dem newsletter habe ich ERST durch meine kunden bezüglich script coding / programmierung erfahren) hatte ich 3 emails an adcell geschrieben mit der vermutung dass die passwort änderung vermutlich aufgrund eines hackerangriffes stattfand ... und der vermutung dass die "csv export schnittstelle / api" die schwachstelle ist ... allerdings habe ich mich damit vermutlich zum tatverdächtigen gemacht und daher ggf. keine info erhalten ...

    Behauptung 2 (können nur insider wissen):
    woher will bitte jemand wissen ob die passwörter in klartext oder nicht in klartext gespeichert werden ??? dieses wissen kann man nur besitzen wenn man zugriff auf die adcell datenbank hat uns "sieht" ob die passwörter im klartext oder nicht im klartext gespeichert werden... rückschlüsse wegen ausgabe des pw in klartext wären falsch, da man passwörter mit diversen verfahren ver- und wieder entschlüsseln kann ... md5 ist zwar eine einweg verschlüssellung ABER wie erwähnt es gibt diverse andere verfahren die nicht auf dem einweg prinzip basieren ...

    UND die schwachstelle sind weniger die klartext passwörter als dass bei dem CSV EXPORT / API SCHNITTSTELLE "die SELBEN login daten verwendet werden" ... und jeder hoster auf dem ein script läuft mit zugriff auf die adcell api sieht anhand der log dateien die aufgerufenen links inkl. userid und passwort ... einfach nen ganz ungünstiger fehler der offenbar nicht bedacht wurde und mir erst nach der passwort änderungsaufforderung schlagartig klar wurde....

    also klartext oder nicht spielt keine rolle sondern wie gesagt die API dort ist der bug ... alle anderen großen netzwerke haben getrennte passwörter für die api und wurden bislang nicht gehackt ...

    u.a. @RonniL > Behauptung 3 (ist wie von Andreas ausgesagt wurde definitiv WAHR):
    da wie direkt aus der adcell email hervor geht erst mind. 2 tage vergingen ehe adcell (15 minuten nach meinen drei emails an adcell) die info über den hackerangriff bekannt gegeben hatte ... und wie erwähnt ICH habe AUCH KEINE info bekommen - nachweislich ....

    also die aussage "Quotenjournalismus wie hier, das ist einfach nur schlecht recherchiert und oben draufgehauen" ist falsch weil es sind fakten und keineswegs schlecht recherchiert ...

    ABER man muss auch aus der sicht von adcell das ganze betrachten - da stimme ich RONniL zu ... die aktion war einfach dumm gelaufen ... und u.a. aus ermittlungstaktischen gründen war es vermutlich richtig vorerst die polizei ermitteln zu lassen ... ebenso hat adcell ja einen bislang sehr guten ruf damit riskiert über den angriff aufzuklären ... die aufklärung von adcell spricht für adcell - dass die info nicht an alle publisher ging kann bedingt durch die ermittlungen sein ODER wie erwähnt durch die email einstellung ... zumal es hat sich wie man hier ja lesen kann rumgesprochen ...

    WOBEI ich die offene berichterstattung auch etwas kritisch sehe - allerdings quotenjournalismus ist was ganz anderes - hier wurde relativ vernünftig und sachlich berichtet ... JEDOCH wie gesagt ist adcell ein herrvoragendes netzwerk meiner meinung nach und es sollte wie erwähnt zu gunsten von adcell angesehen werden dass eine info wegen dem hackerangriff gesendet wurde ....

    was mir allerdings sehr suspekt vorkommt ist dass eine "untergrund hackergruppe" dafür verantwortlich sein soll ... weil ich kann mir nicht vorstellen dass "hacker" erst solche straftaten begehen UND dann noch eine erpressung begehen - zumal wie sollte bitte eine geldübergabe stattfinden ? hacker auf parkbank wartet auf adcell mitarbeiter der geld in ner plastiktüte mitbringt ? also des klingt eher nach "tatort" aus dem fernseh oder "k11" von sat1 ...

    hackern wird ne ganze menge in die schuhe geschoben aber hacker erpressen niemanden ... wenn wäre es eine untergrund "cracker" gruppe ... nur wie gesagt "erpressung > geldübergabe" ??? also hmm hmm so viel phantasie hab selbst ich nicht :)

    FAZIT: adcell gehört zu den großen und sehr gut ausgerüsteten netzwerken egal ob technik oder support ... den vermutlichen bug bei der api hab selbst ich nicht als so gefährlich eingestuft obwohl mir die schwachstelle schon öfter aufgefallen ist ...

    es bleibt einfach zu hoffen dass die polizei erfolgreich die täter überführen kann und adcell die sicherheitslücke vernünftig schließt ggf. bereits geschloßen hat ... leider gibt es nunmal überall fehler und kritik wobei adcell nach wie vor zu meinen "favorite netzwerken" gehört (trotz der hier kritisierten punkte) ...