Hallo zusammen,
bitte entschuldigt, dass ich hierzu bislang noch keine Stellung bezogen habe. Zum einen wollte ich zunächst recherchieren, da ich das Thema Sicherheit sehr ernstnehme. Zum anderen wollte ich im Falle des Auffindens eventueller Lecks gleich Lösungsmöglichkeiten vorstellen.
Danke für eure Information und den Link zum HPI Identity Leak Checker. Tatsächlich habe ich auch meine E-Mailadresse im Leak Checker wiedergefunden. Aus heutiger Sicht auf den Juli 2017 zurückgreifen und nachforschen zu können, ist mir leider nicht mehr möglich. Unter anderem aus datenschutzrechtlichen Gründen werden Logs sobald als möglich gelöscht. Ich kann es daher nicht zu 100% ausschließen, dass ein etwaiges Hacking stattgefunden hat, muss aber umgekehrt dazu sagen, zu keinem Zeitpunkt Auffälligkeiten festgestellt zu haben. Ich erhalte regelmäßig Warnungen aus dem aufgesetzten Sicherheitsmonitoring über abgewehrte Angriffe und kontrolliere auch regelmäßig Zugriffe auf den Server. Der Server ist geschützt über eine restriktive Firewall, verfügt stets über aktuelle Softwareversionen des an sich schon auf Sicherheit ausgelegtem Debian-Betriebssystems und ist auch sonst umfassend geschützt. So ist bspw. kein Zugriff mit reinem Passwort auf den Server möglich, sondern nur mit einem Authentifizierungsschlüssel. Passwörter werden ausschließlich über verschlüsselte Verbindungen übertragen. Die Forensoftware ist so programmiert, dass sie etwaige Datenbankabfragen erkennt und verschleiert.
Was mich stutzig macht: HPI Leak Checker spricht von "67.295 Nutzern" und "Passwort: betroffen". Milwaukee V-Twin hat Stand heute 18.400 User, im Juli 2017 waren es ca. 15.000 User, d. h. die Zahl passt nicht. Außerdem werden Passwörter niemals und nirgends in Klartext gespeichert, sondern verschlüsselt. Prinzipiell könnten durch Durchprobieren aller möglichen Optionen ("Bruteforcing") auf diese Weise Passworte herausgefunden werden, ja. Das muss aber für jeden User gemacht werden. Den Verschlüsselungsalgorithmus werde ich in den nächsten Tagen nochmal überarbeiten.
Ändert sicherheitshalber eure Passwörter; es kostet schließlich nichts. Wie oben gesagt, kann ich einen Angriff nicht zu 100% ausschließen. Ich habe im Augenblick aber zumindest keinen Anhaltspunkt, dass es zu einem Hacking mit Datenklau kam.
Ich hoffe, das hilft euch weiter. Bei Fragen, wendet euch gerne an mich.
Viele Grüße!
Falk