Sicherheit: Livestream meldet unautorisierten Zugriff auf die Kundendatenbank

[Mitglied 128076]

Wer Apfeltalk LIVE am Freitagabend sieht, tut dies per Browser entweder über die Apfeltalk-Homepage oder über seinen LiveStream-Account, um sich dort im angeschlossenen Chat mit Jesper, Michael und den anderen Zuschauern austauschen zu können. in der Nacht auf den Heiligen Abend hat Livestream eine Mail versandt, die durchaus beachtet werden sollte.

In dieser Mail teilte Livestream mit, dass es einen unautorisierten Zugriff auf die Kundendatenbank gab, bei dem wahrscheinlich folgende Daten ausgelesen werden konnten:

• Benutzername​
• eMail-Adresse
• Passwort (in verschlüsselter Form)

Falls diese vom Benutzer eingetragen wurden, könnten auch Daten wie das Geburtsdatum und die Telefonnummer ausgelesen worden sein. Zahlungsdaten wie Bankverbindungen oder Kreditkarteninformationen wurden Livetream zufolge nicht gespeichert.

Auch wenn der Vorfall derzeit noch von Livestream untersucht wird und noch nicht bekannt ist, ob überhaupt Daten gestohlen wurden, wird dringend zu einer Änderung des Benutzer-Passwortes geraten, da nicht bekannt ist, ob dieses im schlimmsten Fall auch entschlüsselt werden könnte.

Zur eigenen Sicherheit wird (wie immer) hiermit davon abgeraten, den in einer solchen Mail angegebenen Link oder Button zu benutzen. Ein Einloggen auf Livestream ist per Eingabe in der Adressleiste des Browsers zu empfehlen.

Ändern des Passwortes auf der Homepage von Livestream​

Auf der Eingangsseite von Livestream klickt ihr oben rechts auf "Login" und tragt eure bisherigen Nutzerdaten ein. Nun müsst ihr zur Änderung des Passwortes folgendermaßen vorgehen:

Auf das Benutzerbild (falls eines eingerichtet wurde) klicken danach "My Account & Events" auswählen.​

Im Anschliessenden Menü klickt ihr auf "Edit Account"

Ändert daraufhin unter dem Menüpunkt "Password" euer Passwort. Abgeschlossen wird die Änderung mit einem Klick auf den Button "Save Changes".​

Solltet ihr noch andere Accounts (zum Beispiel bei Ebay, Amazon etc.) mit der selben Benutzername / eMail / Passwort-Kombination haben, ist es ratsam, auch bei diesen das Passwort zu ändern.​

zurück zum Magazin...

 

[raven]

@Oliver Bergmann Besten dank für die zeitnahe Info. Passwort eben geändert.
Frage: kann man sich bei Livestream auch vollkommen abmelden? Meine Englischkentnisse reichen nicht aus, um es zu finden. Danke.

 

[Mitglied 128076]

@raven

Ja, wenn Du bei Edit Account und dann unter dem Menüpunkt Account bist, dann ganz unten rechts in grau "delete Account".

 

[raven]

@Oliver Bergmann Im Webbrowser? Oder verstehe ich dich falsch? Bin am suchen.

Edit: habs gefunden. Ich logge mich da seit Monaten nicht mehr ein, und musste erst das passwort suchen. Und damit noch einen Mailaccount ändern. Danke für deine Hilfe.

 

[Mitglied 128076]

@Oliver Bergmann Im Webbrowser? Oder verstehe ich dich falsch? Bin am suchen.

Wenn du bei Livestream angemeldet bist.

​

auf dem letzten Bild rechts in grau.

Aber wieso willst Du den löschen?

 

[raven]

Aber wieso willst Du den löschen?

ich logge mich seit Monaten dort nicht ein. Was auch der Grund ist, weshalb ich erst mal das Passwort suchen musste. Fand es dann als Notiz auf meinem iPhone. Wobei mit der Notiz keiner was anfangen könnte. Sind nur für mich logische *Eselsbrücken* heisst: 2 Buchstaben und eine Zahl. Daraus kann niemand erkennen um was es sich handelt noch was es bedeutet.

Habe eben dicht gemacht. Wenn ich Livestream wirklich wieder mal nutzen wollte, melde ich mich da wieder an.

 

[Schönebecker-Apfelbaum]

Zunächst euch allen ein besinnliches Weihnachtsfest. Danke Olli für deinen Hinweis in dieser Sache. Wurde von Livestream auch angeschrieben. Habe direkt das Passwort geändert. Hat nicht einmal 15 Sekunden gedauert.
Sensible Daten wie Kreditkartennummer hatte ich dort nicht hinterlegt. Ich bin aber immer sehr überrascht darüber, wie einfach es sein muss an Daten heranzukommen. Es ist erst eine kurze Zeit her, da wurde das PlayStore gehackt. Dort hatte ich meine Kreditkarte hinterlegt. Vorsichtshalber habe ich diese sperren und mir eine Neue schicken lassen.
Sowas darf einfach heutzutage nicht mehr passieren.

 

[Schupunkt]

Ich wusste bisher nicht mal das es noch eine andere Möglichkeit gibt Apfeltalk live zu sehen, als eben über eure Website.
Hatte mich immer gewundert wie die Leute live zur Sendung chatten...

 

[meru]

Hab die Mail von livestream für Spam gehalten und gelöscht. Mfg Meru

 

[Mitglied 128076]

Hab die Mail von livestream für Spam gehalten und gelöscht. Mfg Meru

Ich zuallererst auch. Daher sollte man den Link in der Mail auch nicht nutzen sondern lieber direkt per eigenem Bookmark oder URL-Eingabe im Browser anwählen. Und: Sicher ist sicher, daher lieber einmal mehr PW ändern als das Nachsehen haben

Ich bin aber immer sehr überrascht darüber, wie einfach es sein muss an Daten heranzukommen.

Ja, das ging mir auch so. Ich denke, wenn man etwas von Datenbanken und Webservern versteht, kann man per Injection zum Teil erschreckend leicht in solche Systeme eindringen. Und gerade in der heutigen Cloud-Zeit ist es ja fast immer üblich, sensible Daten irgendwo hoch zu laden...

 

[DjRedStorm]

Account gelöscht, fertig

 

[raven]

Aber wieso willst Du den löschen?

Kurzes Feedback nochmals. Ich bekam von Livestream übrigens keine Mail. was mich gestern dann dazu veranlasste den Account dort zu schliessen.

 

[McMartin_de]

Frohe Wehnachten zusammen. Was ist bezüglich des möglichen Livestream-Datenklaus zu beachten, wenn man sich dort - wie ich - über den Google-Account eingeloggt hat. Einen eigenen Account bei Livestream habe ich nicht angelegt. Sind diese Nutzer trotzdem betroffen?

 

[Mitglied 128076]

Was ist bezüglich des möglichen Livestream-Datenklaus zu beachten, wenn man sich dort - wie ich - über den Google-Account eingeloggt hat. Einen eigenen Account bei Livestream habe ich nicht angelegt. Sind diese Nutzer trotzdem betroffen?

Ich denke, dass in diesem Fall über eine "Rückabfrage" bei Google eine Verifizierung erfolgt. Allerdings kann - sofern diese auch ausgelesen worden sind - hiermit ebenfalls Schaden angerichtet werden, wenn zum Beispiel diese Verifizierung für andere Seiten genutzt würde... Daher würde ich in dem Fall raten, das Google-Passwort ebenfalls zu ändern.

 

[raven]

@Oliver Bergmann Kurze Rückfrage:
Wenn man bei Livestream registrert war, meinst du damit, dass man das Passwort für Gmail ändern sollte. Versteh ich das richtig oder verstehe ich dich miss?

Und nein ich bekam keine mail von Livestream wegen dem Passwort zurücksetzen.

 

[Mitglied 128076]

Wenn man bei Livestream registrert war, meinst du damit, dass man das Passwort für Gmail ändern sollte. Versteh ich das richtig oder verstehe ich dich miss?

Das kann ich leider nicht zu 100% sagen, da ich nicht weiß, inwiefern Livestream mit Google bei "Verbinden mit Google" Daten tauscht. Sofern Du einen reinen Account mit Passwort hattest, dann wohl nicht, weil keine Verbindung zu Google erfolgte.

 

[raven]

@Oliver Bergmann Ich habe ich bei Livestream einfach mit der Gmail-Addy registriert damals. Mit Goole an sich mache ich sonst bisher nichts. Die Mailadresse ist bei Mail eingebunden. Anders konnte man ja bei Livestream nichts sehen.

Und alle paar Monate logge ich mich mal bei Google ein.
Trotzdem Danke für deine Info.

 

[Mitglied 128076]

Schönebecker-ApfelbaumIch bin aber immer sehr überrascht darüber, wie einfach es sein muss an Daten heranzukommen.​

Ja, das ging mir auch so. Ich denke, wenn man etwas von Datenbanken und Webservern versteht, kann man per Injection zum Teil erschreckend leicht in solche Systeme eindringen. Und gerade in der heutigen Cloud-Zeit ist es ja fast immer üblich, sensible Daten irgendwo hoch zu laden...