RCZ-Glaskugel: Wartezimmer, Spekulationen, Austausch

[morph027]

Geht ja auch mit virtuellen Postfächern, also zb [email protected]

So mach ich das auch meist.

 

[Nordschleifeb1]

Und dann richtest Du immer ne Weiterleitung ein? Weil mit wildcard *@meine-email-domain bekommst noch deutlich mehr Spam…

Die Weiterleitung ist innerhalb von 10 Sekunden eingerichtet. Ebenso das blockieren, falls dann mal so wie jetzt die Adresse abhanden kommt.

 

[surbriese]

Weiß man, von wann die Datengrundlage ist? Also nicht der Leak selbst.

Der neuste Eintrag ist vom 10.01.24 in den Morgenstunden. Ist also quasi aktuell.

Bei Mailadressen gehe ich mittlerweile mit dem muster anbieter@meine-mail-domain vor, dann weiß ich wenigstens wo die Mailadresse abhanden gekommen ist.

Viele Anbieter wie Gmail / Outlook.com bieten auch Tags. Beispiel: [email protected] ist deine Adresse. Ebenfalls wird [email protected] funktionieren oder [email protected].

Bzgl. der Häufung von Spam / Scam. Meine Mutter hat mal gesagt, wenn du schwanger bist, siehst du überall Schwangere. Was ich damit sagen will: Schiebt das nicht alles auf RCZ - Das kann auch einfach Zufall sein. Handynummern sind fortlaufend, Mailadresse erratbar / sicher auch schon anderweitig im Umlauf ab einem gewissen Alter. Meine Gmail Adresse ist inzwischen über 14 Jahre alt - Sieht aus wie ne Müllhalde, aber mei…ist halt so

 

[ecafecar]

Die Weiterleitung ist innerhalb von 10 Sekunden eingerichtet. Ebenso das blockieren, falls dann mal so wie jetzt die Adresse abhanden kommt.

Dann solltest Ru bei Deinem Hoster schnell 2FA aktivieren. In 10 Sekunden mit einloggen ?

Im Ernst, das finde ich bei iOS sehr komfortabel, er generiert bei Registrierungen im Browser virtuelle Aliase Deiner Email die Du später bei Bedarf einfach kappen kannst. Ohne gros Aufwand. https://support.apple.com/de-de/guide/iphone/iphcb02e76f7/ios

 

[Nordschleifeb1]

Dann solltest Ru bei Deinem Hoster schnell 2FA aktivieren. In 10 Sekunden mit einloggen ?

Im Ernst, das finde ich bei iOS sehr komfortabel, er generiert bei Registrierungen im Browser virtuelle Aliase Deiner Email die Du später bei Bedarf einfach kappen kannst. Ohne gros Aufwand. https://support.apple.com/de-de/guide/iphone/iphcb02e76f7/ios

Ist aktiviert, aber wird vom KeePassXC PasswortManager direkt ausgefüllt

 

[Incun]

Im Ernst, das finde ich bei iOS sehr komfortabel, er generiert bei Registrierungen im Browser virtuelle Aliase Deiner Email die Du später bei Bedarf einfach kappen kannst. Ohne gros Aufwand. https://support.apple.com/de-de/guide/iphone/iphcb02e76f7/ios

Das hatte ich für meinen zweiten RCZ Account gemacht, um irgendwie den Newsletter zu bekommen. Zu dieser einzig für RCZ angelegten E-Mail Adresse kam noch nicht eine einzige Spam Mail.

Neue KK habe ich auch schon bestellt und als Grund Missbrauch angegeben, obwohl ich noch keinen Schaden erlitten hab. Kann sein, dass der KK Tausch sogar kostenlos bei der DKB erfolgt.

 

[job1]

Dann schalte umatrix mal wieder aus

Nee, ich finde das eigentlich ganz gut. Ich musste ein paar google-domains freischalten, dann ging es. Konnte dann meine Bestellung prüfen, die Zahlung ist vermerkt und Bestellung "en cours". Die verwendete Debit-Karte habe ich mal geleert.

 

[rockwurst1]

Bzgl. der aktuellen Situation mit dem Datenabgriff, bestellt ihr jetzt nicht mehr bei Nieves? Also mittels KK ausser Revolut zahlen war ja vorher schon klar das es nicht zu empfehlen ist. Wie sieht es aus mit Zahlung per Überweisung? Ich meine die Daten sind sowieso bereits geklaut. Wie schätzt ihr die Lage ein?

 

[xforce1]

Wie Davez schon sagte. Die sind nicht hinter der Ware her, sondern machen ihr Geld mit KK Datenklau und Betrug.
Die Lieferungen erfolgen ja normal.

 

[gosing]

Meine Prognose: Daten sind schon raus, weitere Daten werden weiter abgezogen werden (RCZ hat sicher noch nicht gepatched), und auch in Zukunft immer wieder mal abgezogen. Passwörter werden kompromittiert werden. Kreditkarten-Zahlung weiterhin schlechte Idee (egal ob Revolut oder nicht).
Angreifer werden nicht viel Energie in customization stecken und z.b. die IBAN für Überweisung auf ein Geldwäsche-Konto investieren.
Verteidiger (RCZ) werden minimal patchen aber wieder die Probleme nicht sauber angehen. Shop wird alle paar Monate wieder automatisiert durch Angreifer übernommen werden, die Live Kreditkarten-Zahlungen werden gesniffed / umgebucht / etc. Laden läuft weiter und "part of the game".

Grundsatz gilt weiter, gibt keinem wenig vertrauenswürdigen dritten Daten von dir die nicht im Zweifel verloren gehen können. Name, Adresse, Email, Tel sehe ich mittlerweile als "öffentlich" an weil immer wer was verbockt. Passwort zumindest aus Hygiene-Gründen eigenes automatisch generiertes Passwort für jede Site.

 

[rockwurst1]

Wie Davez schon sagte. Die sind nicht hinter der Ware her, sondern machen ihr Geld mit KK Datenklau und Betrug.
Die Lieferungen erfolgen ja normal.

Das ist mir klar. Meinte generell bzgl. Sicherheit ggf. von Zahlungen mittels Überweisung oder Einkäufe, welche nicht von uns autorisiert sind, da ja Zugangsdaten auch abgegriffen sind? Ich habe da nicht so die Ahnung von aber vieleicht bestehen ja noch weitere Gefahren...

 

[lmart1n]

Nur wenn er ne GDPR-Strafe zahlen muss

Bis das "durch" wäre, vergeht eine Weile. Und sollte ein größerer Zeitraum sein, als die "üblichen" Lieferzeiten.

Gleichzeitig spricht es dafür vor allem JETZT mit (Einmal-)Kreditkarte zu bezahlen, da hier Chargeback möglich ist und damit auch im Falle einer Insolvenz etc. das Geld nicht weg wäre.

Was ist ein Chargeback-Verfahren?
Ein Chargeback-Verfahren ist ein Weg, durch den eine kartenausgebende Bank das bezahlte Geld wieder zurückerstatten kann. Die Bank wendet sich dazu an die Bank des Händlers (Acquirer), der das Geld erhalten, aber die Ware oder Dienstleistung nicht geliefert hat – auch dann, wenn der Händler Insolvenz angemeldet hat. Die Händlerbank wiederum kann das Geld von anderen Stellen einfordern. So ist der Karteninhaber am Ende in der Lage, sein Geld von seiner kartenausgebenden Bank zurückerstattet zu bekommen.

Quelle: Visa

Meine Prognose: Daten sind schon raus, weitere Daten werden weiter abgezogen werden (RCZ hat sicher noch nicht gepatched), und auch in Zukunft immer wieder mal abgezogen. Passwörter werden kompromittiert werden. Kreditkarten-Zahlung weiterhin schlechte Idee (egal ob Revolut oder nicht).
Angreifer werden nicht viel Energie in customization stecken und z.b. die IBAN für Überweisung auf ein Geldwäsche-Konto investieren.
Verteidiger (RCZ) werden minimal patchen aber wieder die Probleme nicht sauber angehen. Shop wird alle paar Monate wieder automatisiert durch Angreifer übernommen werden, die Live Kreditkarten-Zahlungen werden gesniffed / umgebucht / etc. Laden läuft weiter und "part of the game".

Grundsatz gilt weiter, gibt keinem wenig vertrauenswürdigen dritten Daten von dir die nicht im Zweifel verloren gehen können. Name, Adresse, Email, Tel sehe ich mittlerweile als "öffentlich" an weil immer wer was verbockt. Passwort zumindest aus Hygiene-Gründen eigenes automatisch generiertes Passwort für jede Site.

Umleitung von Kreditkartenzahlungen passieren sehr sehr selten. Dazu ist großes technisches Knowhow nötig. Es muss im Shop tief eingegriffen werden. Aufwand für Ertrag tendenziell zu hoch, erst recht bei einer so kleinen Bude wie RCZ. Daneben ist die Gefahr, dass es sehr schnell auffällt zu groß, weil ja dann Ware nicht bezahlt etc. Meist gibt es mit abgefangenen Kreditkartendaten einfach weitere nicht-autorisierte Abbuchungen.

Neben Revolut mit der virtuellen Einmal-Kreditkarte, gibt es noch andere Anbieter wie beispielsweise Klarna, wo man die virtuelle Kreditkarte direkt sperren kann in der App. D.h. Bezahlen und im Anschluss direkt wieder sperren. Die wenigen Sekunden, wo die Kreditkarte freigegeben ist zur Zahlung, ist es unwahrscheinlich, dass genau in diesem Zeitraum versucht wird nicht-autorisierte Zahlungen abzubuchen.

 

[Incun]

Neben Revolut mit der virtuellen Einmal-Kreditkarte, gibt es noch andere Anbieter

Hab mal kurz gegooglt und folgende virtuelle KK-Anbieterübersicht bei BILD gefunden.
https://www.bild.de/kreditkarten/virtuelle-kreditkarten/

 

[demlak]

Wollte ich sowieso die ganze Zeit schon machen und habe ich jetzt als Anlass genommen: Das verwendete E-Mail Postfach sollte man IMO besser mit 2FA schützen.

Ein ordentliches Passwort würde auch reichen.. solche Leaks werden nicht genutzt um stundenlang an einem einzigen Postfach/Passwort rumzudocktern.. entweder das Passwort was im Leak dabei ist, klappt, oder eben nicht..

Regarding the attack in progress, redirecting the domain to 127.0.0.1 in the hosts file on your local computer could help.

Gute temporäre Sache.. die Angreifer können aber jederzeit die Domain in dem Malwarescript anpassen.
Darum ist ein Plugin wie "uMatrix" eine gute Sache.

Also kann ich jetzt noch überhaupt auf die rcz Seite um das Passwort zu ändern? Bringt ja nix wenn der Breach/exploit immer noch nicht gefixt ist?

Du solltest dich sogar schnell dort einloggen und das Passwort ändern. Es ist zwar richtig, dass das neue Passwort vermutlich ebenfalls abgegriffen wird. Jedoch ist das alte Passwort evtl. schon weiter verbreitet und damit potenziell gefährdeter, genutzt zu werden um sich in deinem Namen bei RCZ einzuloggen.
Sinnvoll wäre es jetzt eine Fake-Telefonnummer zu hinterlegen und Mailadresse so wie Passwort anzupassen, auf etwas, das ruhig verbrannt werden kann.

Nö, bringt nicht wirklich was. Falls du das Passwort aber auch wonanders benutzt, solltest du es auf jeden Fall dort ändern.

Mit der wichtigste Tipp hier!

RCZ hüllt sich in Schweigen. Ewig können sie das aber nicht machen, denn auch in Luxemburg gilt die DSGVO und die klärt in diesem Fall ganz klar die Rechte Betroffener und die Pflichten Verantwortlicher. Erwarten können wir demnach von Nieves, dass sie sich innerhalb von 48 Stunden seit sie davon Kenntnis erhalten hat bei der zuständigen Aufsichtsbehörde meldet und Maßnahmen ergreigt. Da ich sie zeitgleich mit meinem Post heute morgen hier informiert habe, können wir davon ausgehen, dass die Frist läuft.

Setzt voraus, dass sie sich selber kümmern. Ich vermute aber, dass sie nicht von sich aus auf Behörden zugehen und es aus-sitzen. Es müsste wohl jemand anderes den Behörden stecken, was da los ist.

Jetzt erklären sich die Spam E-Mails auf meiner E-Mail Adresse.

Meine Mailadresse ist auch im Leak und ich habe keine Auffälligkeiten in Sachen Spam.

Bei Mailadressen gehe ich mittlerweile mit dem muster anbieter@meine-mail-domain vor, dann weiß ich wenigstens wo die Mailadresse abhanden gekommen ist.

Das mach ich auch so seit zwei Jahrzehnten. Hat auch schon mal vor Gericht als Beweis gedient, dass Firma x die Daten von Firma Y geklaut hat. Hab hier etliche hundert verschiedene Mailaliase =)

Wenn man sich die CSV anschaut, machen das auch mind. 221 der 48269 Kunden so bei RCZ =)

---

Übrigens nochmal danke an die Person, die hier zu erst darüber sprach, dass sie eine Fake-Telefonnummer angibt.. hab ich dann mit dem neuen Account auch so gemacht und diese steht so in dem Leak nun drin.
Sprich: Die Daten scheinen auch nur die aktuellen zu sein. Das was vor dem Problem mit dem Einloggen in den Account vor ein paar Monaten in der Datenbank stand, ist evtl. überschrieben/gelöscht. Zumindest in meinem Fall, wo ich beim neuen Account die selbe Mailadresse genutzt habe. Aber was da nun wirklich alles geleakt wurde, werden wir vermutlich nich so schnell erfahren.

 

[demlak]

Ich hab dazu mal einen Punkt in der Mini-FAQ hinzugefügt. Bitte unterstützt hier für weitere Infos/Tipps/Richtigstellungen, danke.

https://www.mtb-news.de/forum/t/rcz...-spekulationen-austausch.968348/post-18935046

 

[gosing]

Übrigens nochmal danke an die Person, die hier zu erst darüber sprach, dass sie eine Fake-Telefonnummer angibt.. hab ich dann mit dem neuen Account auch so gemacht und diese steht so in dem Leak nun drin.
Sprich: Die Daten scheinen auch nur die aktuellen zu sein.

Minimaler Datenpunkt, aber in der CSV sind wohl die Daten aus den Contact Details und dem Address book default shipping address. Ich habe in meinem alten Account vor kurzem geändert und es sind bereits die aktuellen Daten.
Würde aber davon ausgehen das sämtliche aktuellen Account Daten (inkl Bestell-Historie samt Lieferadressen, Bezahlmethode & Co) abgegriffen wurden, also nur weil einzelnen Tabellen nicht in dem Datensatz enthalten sind würd ich nicht davon ausgehen das die nicht bereits wo gehandelt werden im Rahmen eins Daten-Dumps.

 

[demlak]

@gosing @MTBMaverick Schaut mal bitte über den FAQ-Punkt zum Leak.. sollte ich noch was mit aufnehmen und/oder anpassen?
https://www.mtb-news.de/forum/t/rcz...-spekulationen-austausch.968348/post-18935046

 

[freetourer]

Wo findet man denn besagte CSV - Datei?

Würde mir den Datensatz gerne einmal ansehen um zu schauen ob/was von mir da drin ist.

 

[demlak]

Ich hoffe hier postet keiner einen Link oder Hinweise wie man an die Daten kommt. Muss ja nicht sein, dass sie noch weiter verbreitet werden, als sie ohne hin schon verbreitet wurden.

 

[MTBMaverick]

@gosing @MTBMaverick Schaut mal bitte über den FAQ-Punkt zum Leak.. sollte ich noch was mit aufnehmen und/oder anpassen?

Passt denke ich so.

Wo findet man denn besagte CSV - Datei?

Ich hoffe hier postet keiner einen Link oder Hinweise wie man an die Daten kommt. Muss ja nicht sein, dass sie noch weiter verbreitet werden, als sie ohne hin schon verbreitet wurden.

Jegliche weitere Verbreitung der Datei dürfte strafrechtlich relevant sein. Allein deshalb sollte man das im eigenen Interesse schon unterlassen. Selbst das Beschaffen ist schon nicht harmlos. Es gibt hier im Thread genug Hinweise, wie sie zu finden ist. Wenn du sie dir besorgst achte auch darauf, was du da eigentlich runterlädst und du dir keinen verseuchten Mist auf den Rechner holst.

Würde mir den Datensatz gerne einmal ansehen um zu schauen ob/was von mir da drin ist.

Um zu sehen ob was von dir drin ist, reicht der Leakchecker. Was wirklich drin ist, weißt du sowieso nicht. Wir gehen hier aktuell davon aus, dass der öffentlich einsehbare Datensatz nur ein kleiner Teil der betroffenen Gesamtdaten ist. Es gibt keinen Grund, warum ein umfangreicherer Datensatz nicht noch irgendwo verkauft werden sollte. Du musst davon ausgehen, dass alle Daten, die du jemals an RCZ übermittelt hast betroffen sind. Die stehen aber nicht in der veröffentlichten Datei. Du hast also überhaupt nichts davon, wenn du sie dir ansiehst.

Solange du nicht hingehst und den ganzen Datensatz kaufst, ist das nur Kaffeesatzleserei.

 

[freetourer]

Ich hoffe hier postet keiner einen Link oder Hinweise wie man an die Daten kommt. Muss ja nicht sein, dass sie noch weiter verbreitet werden, als sie ohne hin schon verbreitet wurden.

Schon klar - ich will sie ja nicht weiter verbreiten.

Da ich aber vermutlich selbst betroffen bin wäre ja ein Hinweis wie man suchen muss ganz hilfreich. - Das geht ja auch per PN.

 

[davez]

Schon klar - ich will sie ja nicht weiter verbreiten.

Da ich aber vermutlich selbst betroffen bin wäre ja ein Hinweis wie man suchen muss ganz hilfreich. - Das geht ja auch per PN.

Google kennst Du?

 

[MTBMaverick]

Es ist soweit: Die Angreifer liefern nun über den bereits gestern entdeckten Weg schädliches JavaScript aus. Anstatt der harmlosen cross-fetch wird nun obfuskiertes JavaScript von der Domain divimob[dot]space ausgeliefert. Was das genau macht weiß ich noch nicht. Die Kreditkartenzahlung scheint weiterhin auf saferpay.com zu verweisen. Ich sehe daher den Zweck noch nicht so ganz.

Dennoch nochmal die eindringliche Warnung: Ab jetzt passiert da wirklich etwas, sobald in der Adresszeile irgendwo checkout auftaucht.

 

[k0p3]

Danke für die ganzen Infos

Kann mir aber mal jemand mit einfachen Worten erklären, was das jetzt aktuell bedeutet. Wenn ich es überlesen habe, dann sorry...

Wird schon beim Einloggen, z. B. zum Prüfen des Bestellstatus Daten abgegriffen? Oder erst beim Abschluss einer Bestellung?
Wann startete dieser letzte Leak ungefähr?
Wenn die Mailadresse bei dem Check in Deiner Signatur nicht aufgeführt ist, bedeutet das, dass man zumindest beim letzten Datenklau nicht dabei war oder handelt es sich nur eine Teilprüfung?
Aktuell besser überhaupt nicht bestellen?

Sorry für die Noobfragen, aber bei vielen Eurer Fachbegriffe bin ich leider raus.

 

[MTBMaverick]

Wird schon beim Einloggen, z. B. zum Prüfen des Bestellstatus Daten abgegriffen? Oder erst beim Abschluss einer Bestellung?

Das untersuche ich gerade noch im Detail. Technisch wäre das alles möglich, passieren tut es derzeit scheinbar nicht. Ist wahrscheinlich gerade auch gar nicht notwendig, weil die Angreifer ohnehin lesenden Zugriff auf die Datenbank haben.

Wann startete dieser letzte Leak ungefähr?

Die Veröffentlichung der Daten läuft so seit dem 11.01.2024. Der eigentliche Angriff wird logischerweise früher stattgefunden haben.

Wenn die Mailadresse bei dem Check in Deiner Signatur nicht aufgeführt ist, bedeutet das, dass man zumindest beim letzten Datenklau nicht dabei war oder handelt es sich nur eine Teilprüfung?

Soweit ich die Daten abschätzen kann, handelt es sich um einen großen Teil des Kundenstamms oder sogar den gesamten Kundenstamm. Wenn deine Adresse darin nicht enthalten ist, wäre das eine interessante Erkenntnis. Das Problem ist: Niemand garantiert, dass die Daten die frei verfügbar sind, wirklich vollständig sind. Vielleicht hast du Glück, vielleicht auch nicht. Gewissheit hast du eigentlich nur dann, wenn du auftauchst.

Aktuell besser überhaupt nicht bestellen?

Disclaimer als Abmahnschutz: An der Stelle möchte ich betonen, dass es sich hier nicht um eine Empfehlung handelt, sondern wie ich es persönlich halte. Ich mache dort derzeit keine neuen Bestellungen auf und bezahle auch eine ausstehende Bestellung nicht. Die Angreifer sind offensichtlich tief im Webshop drin und könnten im Prinzip deine Bestellungen verschwinden lassen. Auch könnten sie RCZ erpressen und die Daten verschlüsseln. Wir wissen nicht, wie gut die Backups des Shops sind und schlimmstenfalls sitzt Nieves auf einem Haufen Zahlungen, die sie nicht mehr zuordnen kann und vielleicht auch kaum noch zurückerstatten kann. Auch besteht nach so einem Angriff immer das Risiko einer Insolvenz.