Sicherheitsvorfall Februar 2019: Häufig gestellte Fragen
AKTUALISIERT: 13. Feb. 2019, 11 Uhr EST
(Übersetzung; Originalversion hier abrufbar)
Was ist geschehen?
Am 8. Februar 2019 erfuhr unser Technik-Team von einem potentiellen Sicherheitsvorfall, der bestimmte Benutzerprofildaten betraf. Wir haben umgehend eine umfassende Prüfung unserer Systeme eingeleitet, um Art und Umfang des Vorfalls nachzuvollziehen. Wir haben einen unabhängigen Sachverständigen beauftragt, uns bei der Untersuchung zu unterstützen, und koordinieren uns in dieser Angelegenheit mit den Strafverfolgungsbehörden.
Auf Grundlage unserer bisherigen Untersuchung sind wir der Auffassung, dass um den 5. Juli 2018 Unbefugte Zugriff auf unsere Systeme erlangt haben und in den Besitz von Teilen der Benutzerdaten gekommen sind. Wir haben daraus den Schluss gezogen, dass dieser Vorfall die unten aufgeführten Daten betroffen hat, die von Benutzern beim Ausfüllen ihrer Benutzerprofile angegeben worden waren. Unsere Techniker überwachen unsere Plattform sorgfältig und wir haben bisher keine Hinweise gefunden, dass sich dieser Vorfall wiederholt hätte.
Als Vorsichtsmaßnahme setzen wir die 500px-Kontopasswörter aller Benutzer zurück. Betroffene Personen erhalten eine E-Mail-Benachrichtigung mit Anweisungen zum Zurücksetzen ihres Passwortes.
Derzeit läuft eine systemweite Passwortzurücksetzung für alle Benutzer, wobei eine Priorisierung nach potentiellem Risiko erfolgt. Wir haben zudem bereits eine Zurücksetzung aller mit MD5 verschlüsselten Passwörter erzwungen.
Welche Benutzerdaten waren betroffen?
- Ihr Vor- und Nachname, wie auf 500px angegeben
- Ihr 500px-Benutzername
- die mit Ihrem 500px-Login verknüpfte E-Mail-Adresse
- ein Hashwert Ihres Passwortes, der durch einen kryptografischen Einweg-Algorithmus erzeugt wurde
- Ihr Geburtsdatum, sofern angegeben
- Ihre Stadt, Ihr Bundesland/Ihre Provinz und Ihr Land, sofern angegeben
- Ihr Geschlecht, sofern angegeben
Woher weiß ich, ob ich betroffen war?
Wenn Sie am oder vor dem 5. Juli 2018 Benutzer von 500px waren, so waren Sie betroffen.
Wir benachrichtigen gegenwärtig alle Benutzer per E-Mail sowie auf der Website und mit mobilen Benachrichtigungen. Angesichts der Menge betroffener Benutzer können die Benachrichtigungen mit Verzögerung bei Ihnen eintreffen.
Unabhängig davon, ob Sie direkt betroffen waren, machen wir Sie aufgrund der Art der betroffenen personenbezogenen Daten auf diese Angelegenheit aufmerksam, damit Sie Schritte unternehmen können, um sich gegen die Gefahr von Phishing, Spam und anderem Missbrauch Ihrer Daten infolge dieses Vorfalls schützen zu können. Wir empfehlen, dass Sie Ihr Passwort für alle anderen Websites und Apps ändern, auf/in denen Sie ein Passwort verwenden, das dem Passwort für Ihr 500px-Konto entspricht oder ähnelt.
Ich habe noch keine E-Mail zur Zurücksetzung meines Passwortes erhalten
Wir arbeiten aktuell daran, unsere gesamte Nutzerschaft zu benachrichtigen, wobei eine Priorisierung nach potentiellem Risiko erfolgt. Angesichts der Menge betroffener Benutzer wird diese Aufgabe jedoch mindestens einen Tag in Anspruch nehmen. Benutzer erhalten die E-Mail-Benachrichtigung mit der Aufforderung zur Passwortzurücksetzung möglicherweise zu unterschiedlichen Zeiten. Wenn Sie die E-Mail noch nicht erhalten haben, bitten wir Sie, sofern noch nicht geschehen, Ihr Passwort zurückzusetzen.
Sollten Sie E-Mails von 500px in der Vergangenheit als Spam markiert haben, so kann es sein, dass Sie die E-Mail-Benachrichtigung nicht erhalten. Dieses Problem können wir leider nicht für Sie beheben (damit unsere Benutzer keine E-Mails empfangen, die sie als Spam betrachten). Stattdessen müssen Sie E-Mails von 500px.com zulassen, um sie über Ihren E-Mail-Anbieter wieder empfangen zu können. Dieser Vorgang kann je nach verwendetem E-Mail-Anbieter unterschiedlich aussehen.
Ich habe mein Passwort bereits zurückgesetzt. Muss ich diesen Schritt wiederholen?
Wenn Sie Ihr Passwort nach 3 Uhr EST am 12. Februar zurückgesetzt haben, müssen Sie es nicht erneut zurücksetzen. Falls Sie dies jedoch möchten, können Sie Ihr Passwort hier zurücksetzen.
Wann haben Sie zuerst von dem Sicherheitsvorfall erfahren?
Unser Technik-Team hat am 8. Februar von einem potentiellen Sicherheitsvorfall erfahren und sofort mit dessen Untersuchung begonnen.
Was haben Sie unternommen, um das Problem zu beheben?
- Aufgrund der Art der betroffenen personenbezogenen Daten haben wir bereits eine Zurücksetzung aller mit MD5 verschlüsselten Passwörter erzwungen. Zudem läuft gegenwärtig eine systemweite Passwortzurücksetzung.
- Wir haben den Zugriff auf unsere Server, Datenbanken und andere sensible Datenspeicherungsdienste einer genauen Prüfung unterzogen.
- Wir haben unseren öffentlich wie intern eingesetzten Quellcode kontrolliert und führen diese Überprüfung weiter fort, um uns gegen Sicherheitsvorfälle zu schützen.
- Wir arbeiten mit führenden Sachverständigen für Cybersicherheit zusammen, um unsere Website, unsere mobilen Apps, unsere internen Systeme und unsere Sicherheitsabläufe weitergehend abzusichern.
- Wir passen unseren internen Softwareentwicklungsprozess an.
- Wir rüsten unsere Netzwerkinfrastruktur weiter auf.
Warum erfahre ich erst jetzt von der Sicherheitsverletzung, wenn Sie bereits seit dem 8. Februar davon wissen?
Es war wichtig, dass wir unseren Benutzern genaue Informationen würden bereitstellen können, bevor wir die Einzelheiten der Sicherheitsverletzung bestätigen. Angesichts der Art der betroffenen personenbezogenen Daten bestanden unsere vorrangigen Interessen und somit unsere Maßnahmen in der Reihenfolge ihrer Priorität darin, sicherzustellen, dass
1) unser System gesichert ist,
2) die Daten unserer Benutzer vor weiteren Sicherheitsverletzungen und unbefugtem Zugriff auf die Konten geschützt sind und
3) unseren Benutzern genaue Informationen übermittelt werden, gefolgt von einer öffentlichen Mitteilung.
Wir arbeiten aktuell daran, unsere gesamte Nutzerschaft zu benachrichtigen, wobei eine Priorisierung nach potentiellem Risiko erfolgt. Angesichts der Menge betroffener Benutzer wird diese Aufgabe jedoch mindestens einen Tag in Anspruch nehmen. Auch wenn diese Sicherheitsverletzung keine Benutzer betrifft, die sich nach dem 5. Juli 2018 registriert haben, möchten wir jede mögliche Vorkehrung treffen, um die Sicherheit unserer Benutzer zu gewährleisten.
Welche Daten wurden nicht entwendet?
Zum gegenwärtigen Zeitpunkt gibt es keine Anzeichen eines unbefugten Zugriffs auf Ihr Konto und keine Hinweise darauf, dass weitere mit Ihrem Benutzerprofil verknüpfte Daten betroffen gewesen wären, wie beispielsweise für etwaige Käufe verwendete Kreditkarteninformationen (die nicht auf unseren Servern gespeichert werden) oder andere sensible personenbezogene Daten.
Haben Sie die Strafverfolgungsbehörden benachrichtigt?
Wir haben die Strafverfolgungsbehörden informiert und darüber hinaus eine Sicherheitsfirma beauftragt, uns bei der Untersuchung und mit Blick auf die nächsten Schritte zu unterstützen.
Wie können wir sicher sein, dass so etwas nicht erneut vorkommt?
In Zukunft werden wir unsere Sicherheitsmaßnahmen weiter verbessern, damit Ihre Daten sicher bleiben. Ferner treffen wir zusätzliche Maßnahmen, um erneuten Vorfällen dieser Art vorzubeugen.
Wir rüsten unsere Netzwerkinfrastruktur weiter auf. Im Laufe der letzten 12 Monate haben wir eine bedeutende Aufrüstung unserer Netzwerkinfrastruktur durchgeführt – dieses Projekt nähert sich dem Abschluss und wird ebenfalls für eine erhebliche Verbesserung der Sicherheit sorgen.
Haben Sie auch dann mein Passwort, wenn ich mich mit einem Social-Networking-Konto (Google+, Facebook) angemeldet habe?
Wenn Sie sich als Benutzer über eine externe soziale Plattform anmelden, können Sie zwar bei uns ein Passwort eingeben, aber Ihre Passwörter für Google+, Facebook oder Social Sign-in werden von uns nicht gespeichert. Wenn Sie sich über ein Social-Networking-Konto anmelden, erhalten wir ein Sitzungstoken, das auf unseren Servern gespeichert wird. Wenn das Sitzungstoken abläuft, bitten wir Sie, sich über Ihr Social-Networking-Konto anzumelden, damit wir jeweils ein neues Token erhalten.
Ich möchte mein Konto bei 500px löschen.
Denken Sie daran: Die Löschung Ihres 500px-Kontos hat keinen Einfluss darauf, ob Ihre Daten durch diese Sicherheitsverletzung gefährdet worden sind. Die Schritte zur Löschung Ihres Kontos finden Sie hier:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Entsprechend unserer Datenschutzrichtlinie dürfen wir Ihre Daten bei Bedarf aufbewahren, um speziellen gesetzlichen Verpflichtungen gerecht zu werden.
Wie kann ich von 500px eine Kopie all meiner Daten erhalten?
500px kann Ihnen ein Archiv Ihrer Daten per E-Mail zusenden. Bitte senden Sie Ihre diesbezügliche Anforderung an help@500px.com. Wir können der Datenanforderung dann innerhalb von 72 Stunden ab Bestätigung des E-Mail-Eingangs durch unser Team nachkommen.
Ich habe die E-Mail zur Passwortzurücksetzung nicht erhalten.
Sofern wir Ihr Passwort außer Kraft gesetzt haben, werden Sie zur Zurücksetzung Ihres Passwortes aufgefordert, wenn Sie sich das nächste Mal mit einem Passwort bei 500px anmelden möchten. Wir kontaktieren betroffene Benutzer schnellstmöglich in den nächsten Tagen.
Der Link in der E-Mail funktioniert nicht.
Sofern wir Ihr Passwort außer Kraft gesetzt haben, werden Sie zur Zurücksetzung Ihres Passwortes aufgefordert, wenn Sie sich das nächste Mal mit einem Passwort bei 500px anmelden möchten. Wir empfehlen, dies schnellstmöglich zu tun.
Warum muss ich mein Passwort zurücksetzen? / Warum kann ich mich nicht anmelden?
Wir setzen zwar bereits Maßnahmen zur Passwortsicherheit ein, unternehmen jedoch zusätzliche Schritte, um Ihre personenbezogenen Daten zu schützen. Als Vorsichtsmaßnahme müssen alle Benutzer ihr 500px-Kontopasswort zurücksetzen.
Warum habe ich mehrere E-Mails und Links?
Sie haben möglicherweise mehrere Nachrichten oder Aufforderungen zur Passwortzurücksetzung von 500px erhalten. Der Grund hierfür ist, dass wir alle Vorkehrungen treffen, um sicherzustellen, dass all unsere Benutzer über diesen Vorfall in Kenntnis gesetzt werden.