Hinweis: OTR-Passwörter werden im Klartext gespeichert, daher diese nirgends sonst verwenden.

1. Die Passwörter wurden im Klartext abgespeichert und auch sehr wahrscheinlich im Klartext entwendet/vom Hacker im Februar 2015 kopiert.

2. Warum haben wir nicht auf salted hash umgestellt? Das haben wir schon vor einiger Zeit zu 99% programmiert und hausintern war ein Teil der Mitarbeiter daher der Meinung, das sei so schon aktiv. Tatsächlich kam aber kurz vor Umstellung raus, daß die Decoder dann nicht richtig funktionieren und alle Decoder umgestellt werden müssen. Das wiederum hat Entwicklungs-Projekte bei Zulieferern ausgelöst und das Ganze ist im Sande verlaufen, bzw. in der Prioritätenliste nach unten gerutscht.

3. Was können wir tun? Wir haben gestern alle User angeschrieben, alle Logins zum Passwortwechsel gezwungen und weisen Neu-Anmelder darauf hin, daß das Passwort nur für OTR und sonst nirgends verwendet werden soll (in der Kombination mit der Email zumindest).

4. Letztlich ist es zumutbar bzw. eben ein hinzunehmender Nachteil, daß der User sich ein Passwort ausdenkt, was er nur bei OTR benutzt. In der Praxis ist aber schon klar, daß es für viele User Lieblingspasswörter gibt, die sie auch auf Amazon etc. einsetzen. Insofern dient das Problem hier auch dazu, einmal mehr dem User klarzumachen, daß er seine Passwörter individuell vergeben muß. Denn jeder Dienst bekommt das Passwort vor dem Speichern ja unverschlüsselt übergeben und jeder Mitarbeiter jedes Dienstes könnte es potentiell dazu mißbrauchen, es auf anderen Diensten einzusetzen.

5. Die Sicherheitslücke selbst, die zum Einbruch führte ist geschlossen und ein Hack in 10 Jahren ist jetzt auch nicht wirklich viel. OTR-Passwörter selbst sind auch an sich nicht lohnend, viel lohnender waren wohl die Emailadressen, die dazu benutzt wurden, Fake-Rechnungen zu versenden. Es wurde dabei ein größerer Pool verwendet, also auch nicht-Otr-User angeschrieben.

6. Natürlich arbeiten wir nun daran, die Decoder umzustellen. Aber auch hier kann ich nicht versprechen, ob und wann das zu einem Ergebnis führt. Es kann also dazu führen, daß die Passwörter weiterhin im Klartext gespeichert bleiben. Aber es wird in jedem Fall deutlichst darauf hingewiesen.

Die IP des Hackers: 109.195.181.44
Tula, Russland, vielleicht kann jemand damit was anfangen.

Wir bedauern das Ganze natürlich sehr, aber obige Erklärung mag vielleicht etwas zum Verständnis beitragen.