AVAST (Deutschland) gehackt: Paypal-Accounts und Passwörter im Netz

Es ist noch keine Woche vergangen, dass wir von einem Daten-Leak bei Evernote berichtet haben, bei dem Kundendaten von über 50 Millionen Nutzer durch Hacker entwendet wurden. Am Vormittag des gestrigen Samstag, den 09. März. 2013, wurden nunmehr auch die Webseiten des deutschen Vertriebsarms (avadas.de) des Anti-Virenherstellers AVAST gehackt und sichtbar manipuliert.

Maxney

Wie man anhand der auf der Webseite hinterlassenen Botschaft (Defacement) erkennen kann, zeichnet sich Maxney von der “Turkish Agent Hacker Group” für den Angriff verantwortlich, welcher in den letzten Monaten schon einige andere “High Profile Targets” kompromittierte. So zum Beispiel: Asus in Italien, McDonalds in Thailand, Acer in India, Nokia in Taiwan und die Renault Car Group.

Doch damit nicht genug: Kurz nach diesem Angriff, bei welchem noch weitere Subdomains der avast.de (hier & hier – was vermuten lässt, dass der Server komplett kompromittiert wurde) betroffen waren, wurde auf dem Filehost-Dienst Speedyshare eine .rar-Datei veröffentlicht, mit brisantem Inhalt: E-Mail Adressen, Nutzernamen, Passwörter (Klartext & verschlüsselt), Geburtdaten, Telefonnummern & Paypal-Accountdaten von ca. 20.000 Avast Kunden:

Avast-rar

Es bleibt abzuwarten wie der AVAST Distributor, die AVADAS GmbH, nun reagiert und in wieweit sie ihre Nutzer von der ungewollten Veröffentlichung ihrer personenbezogen Daten informiert. Zum Zeitpunkt des Schreibens dieses Artikels finden sich auf den Webseiten leider noch keinerlei Informationen über den Hacker-Angriff.

Wir empfehlen: Ändern Sie dringend Ihre Kennwörter zu Ihrem AVAST.de-Konto. Darüberhinaus sollten Sie prüfen, inweit von diesem Hack auch Ihre E-Mail-Adresse und Ihr Paypal-Account betroffen ist und auch hier die Passwörter vorsorglich ändern. Bitte beachten Sie unsere Tipps für sicherere Passwörter!

Updates:

  • 2013-03-10 14:45 Uhr
    Im Support-Forum diskutieren Avast-User das Thema und bitten um eine Aufklärung. Das Unternehmen ist jedoch weiterhin zögerlich und hält sich bisher mit einer Stellungnahme zurück.
  • 2013-03-10 18:24 Uhr
    Weiterhin keine Stellungnahme der AVADAS GmbH. Bis auf den Sachverhalt, dass das Support-Forum unter avast.de sicher sei und die Sicherheitslücke beseitigt wurde. Man solle eine offizielle Stellungnahme abwarten.
  • 2013-03-10 21:36 Uhr
    Heise.de hat das Thema aufgegriffen und berichtet nun ebenfalls darüber. Es bleibt weiterhin spannend wie und ob das Unternehmen mit einer offiziellen Stellungnahme reagiert.
  • 2013-03-11 10:07 Uhr
    Informations-Gau: Die AVADAS GmbH löscht Anfragen von Usern (“Forum wurde gehackt – warum erfährt man hier nichts ?) zum zurückliegenden Hack aus dem Forum. Ferner stellt sie die Meldung als Falschmeldung bzw. Ente dar: “Auch dieses Mal war keines unserer avast! Systeme (shop.avast.de, www.avadas.de, forum.avadas.de) direkt vom Hack betroffen”, doch der ScreenShot eines Google-Suchergebnissen von gestern belegt, dass sehr wohl die Hauptseite betroffen war:google ergebnis
  • 2013-03-10 17:08 Uhr
    Die AVADAS GmbH hat eine Stellungnahme veröffentlicht und bestätigt nunmehr den Hackangriff auf Systeme des Hauses. Dort spricht man von der Entwendung von Zugangsdaten zum Forum, lässt aber weiterhin offen um welche Zahlungsinformationen es sich hierbei handelt. Wir vermuten jedoch, dass es sich hierbei um Daten aus dem Shop http://shop.avast.de/, der von AVADAS betrieben wird, handelt. Auf den Seiten http://www.avadas.de/ wird jedoch weiterhin von einer Falschmeldung gesprochen.
  • 2013-03-10 08:40 Uhr
    In einem Telefonat mit dem Geschäftsführers stellte er klar, dass nicht das CMS auf avast.de bzw. avadas.de kompromittiert wurde, sondern ein Zweites. Aufgrund Settings greifen jedoch beide auf dieselbe Datenbasis und Serverinfrastruktur zurück. Trotz des Hinweises (vor 15 Stunden) dass dies aus der Stellungnahme nicht hervorgehe, sondern vielmehr das Ganze als “Falschmeldung” darstelle, zieht die Firma AVADAS GmbH es weiterhin vor, eine missverständlich Stellungnahme auf avadas.de zu publizieren, die die Geschehnisse herunterspielen. Mittlerweile scheint auch AVAST eingegriffen zu haben: avast.de (und sämtliche Subdomains dazu) zeigt nun eine leere Seite.
  • 2013-03-15 23:25 Uhr
    Kehrtwende von AVADAS – Stellungnahme erweitert – nun doch Angriff auf avast.de: “Wir gehen von einem zielgerichteten Angriff gegen die Marke avast! aus. (…) Hacker gezielt nach avast! Merkmalen gesucht haben (…) Zugriff auf Teile der Serververwaltung (…) zielgerichtet manipuliert (…) Adressdaten mit zufallsgenierten Passwörtern (…), welche wir unseren Kunden beim Login zusenden. Alle betroffenen Kunden sind informiert worden.”

Bleiben Sie auf dem Laufenden: Folgen Sie dem Autor & uns auf Twitter / Facebook. 

22 thoughts on “AVAST (Deutschland) gehackt: Paypal-Accounts und Passwörter im Netz”

  1. Das zeigt mal wieder, dass nichts vor Hackern sicher ist, wenn selbst die Site eines
    Antiviren-Herstellers infiltriert wird. Einerseits ist es gewissermaßen eine Demütigung für das Unternehmen, andererseits sollte man aus den Fehlern lernen, welche der Hacker aufgezeigt hat und dafür dankbar sein. Trotzdem sind die Unschuldigen Kunden am Ende die Verlierer. Wer hat es schon gern, dass seine persönlichen Daten frei im Netz kursieren? Verachtungswürdig!

  2. Es gibt wie man sieht keine 100 % Sicherheit.

    Aber schwammige Aussagen und die Angaben, das Forum ist sicher sind auch keine Vertrauensbildenden Maßnahmen.

    Und es wäre auch mal an der Zeit die Nutzer über den Schaden und die eventuellen Folgen aufzuklären.

  3. Ich fasse mal zusammen: Spätestens im Laufe des gestrigen Montags hat die Blogosphäre offensichtlich alle relevanten Informationen bezüglich der entwendeten Daten. Zeitgleich behauptet der Reseller, daß weder Shop- noch Forendaten betroffen seien. Man geht noch weiter und erklärt: “wir (können) bisher nicht bestätigen, dass diese Datensätze von avast! Kunden stammen”. Ebenfalls wird gesagt, dass sicherheitsrelevante Daten nur im Hause gespeichert würden und abschließend versichert er, dass “wir auch weiterhin nur die minimal nötigen Daten online speichern.”

    Seltsam, daß der Rest der Welt sich zu dieser Zeit bereits vom Gegenteil überzeugen konnte. Es fragt sich auch, was das Unternehmen unter “minimal nötigen Daten” versteht und wo deren Grenze zu “sicherheitsrelevanten” Daten liegt.

    Das war alles gestern Vormittag. Am späten Nachmittag wird allen betroffenen Shop- und Forenbenutzern eine entsprechenden Info-Mail in Aussicht gestellt: Die Mail bezüglich meines Foren-Accounts steht noch aus, für den Shop gab’s dafür gleich zwei Stück. In dieser wird angekündigt, dass der Shop-Zugang gesperrt wurde. Das sieht in der Praxis dann so aus, daß der komplette Shop vom Netz genommen wurde.

    Man hat sich aber professionellen Beistand herbeigeschafft, denn die Info-Mail endet hoffnungsvoll mit “Unser Unternehmen ist bemüht den sichereren Betrieb unserer Systeme wieder herzustellen und arbeitet mit dem LKA an einer Lösung.”

    Na, dann ist ja alles gut.

    1. Hallo Jello B.,

      danke für deinen Beitrag, im Grunde kann man es nicht glauben wie leichtsinnig Firmen bzw. große bekannte Unternehmen mit Kundendaten jonglieren.

      Grüße,
      TB, ABBZ

    2. Ja, diese Zusammenfassung trifft es in etwa. Neben der Tatsache, dass das Telefonat mit dem Geschäftsführer der Firma sagen wir mal speziell war, da er anfing die Sache herunterzuspielen: Die Einbrecher hätten nicht die “Eingangstür” (avast.de) aufgebrochen, sondern nur den “Hintereingang” (eine andere Domain in seinem Bestand). Was aufgrund des verwendeten Settings vollkommen egal ist, da das Ganze auf einer gemeinsamen Datenbasis liegt und man von beiden Türen aus direkt in den Tresorraum (auf die DB) kommt und wenn man dann mal drauf ist, alles bekommt. Das hat er aber erst bestätigt, nachdem ich ihm mehrfach gesagt hatte, dass ich LIVE gesehen haben, dass avast.de auf ein Defacment zeigt. Das kann entweder daran liegen, dass er nicht genau weiß was Sache ist oder …

      Aus meiner Sicht ist das Schlimmste (neben dem Datensammeln) hier, eigentlich die Art & Weise, wie hier kommuniziert bzw. NICHT-kommuniziert wird und weniger die Tatsache, dass es zu einem Einbruch kam. Daher habe ich auch versucht mittels “Updates” mglst. genau an den Geschehnissen zu bleiben.

      Grüße,
      Thorsten Kraft

    3. Ja, so sehe ich das auch. Was den Kunden zugemutet wird, ist schon eine Klasse für sich. Ich hätte erwartet, daß sie ersteinmal die (Online-)Schotten dicht machen ,vor den Kunden zu kreuze kriechen und um Vergebung bitten. Was uns aber geboten wurde lässt nur eine Schlußfolgerung zu: Sie können’s nicht.

  4. Es gab noch nie 100% Sicherheit! Nicht im Mittelalter, nicht heutzutage. Sicher sind nur der Tod und die Steuern. 🙂

  5. Nach fast einer Woche ist der Shop immer noch offline. Entweder haben die ihre Konfiguration immer noch nicht im Griff oder da ist jemand mächtig sauer und dreht den Vertriebshahn zu – so meine ersten Überlegungen.

    Dafür hat Procello bereits am 14. ein Update zum Sachverhalt veröffentlicht, das neben einigen Details zum Verlauf des Einbruchs mit der scharfsinnigen Erkenntnis schliesst: “Die bisherigen Spuren zeigen in die Türkei”.

    Ach….

  6. Eine wirkliche Sicherheit im Internet kann nie gegeben werden und wer online shoppt, der sollte auch wissen, dass die Daten abhanden kommen könnten. Ich wechsel deshalb mein Paypal Passwort regelmäßig um mich selbst abzusichern und shoppe nur dann, wenn es wirklich sein muss. Es ist mir nach wie vor zu unsicher das Ganze.

  7. solche Angriffe machen Hacker nicht umsonst und nicht aus Zeitvertreib ! da wird ein Konkurrent, oder ein anderer Antivirenhersteller heftig für bezahlt haben !
    und bevor irgend ein bla bla kommt, ich weiss wovon ich rede !

  8. Ja, ja, so geht es halt, wenn man sich zu sicher fühlt.
    Habe gerade den Shop aufgerufen und fand das hier:

    avast Shop

    Sehr geehrte Kunden,

    zurzeit ist unser Shop offline. Wir arbeiten mit Hochdruck daran, dass Sie in Kürze wieder in gewohnter Weise über unseren Shop bestellen können. Sollten Sie Fragen zu Produkten oder Bestellungen haben, steht Ihnen unser Vertiebsteam gerne telefonisch unter +49 2175.16601400 oder per E-Mail vertrieb@procello.de zur Verfügung.

    PROCELLO Informationssysteme GmbH
    Neustraße 12A
    D-42799 Leichlingen – Germany

    Tel: +49.2175.16601400
    Fax: +49.2175.16601409
    E-Mail: info@procello.de

  9. HALLO;

    Über Computerbild “AVAST” runtergeladen und in der Freeware Version genutzt.
    Danach habe ich am 06.03.2014 “PRO ANTIVIRUS” geordert und mit Zahlungsnummer überwiesen. Bis heute, trotz mehrmaliger Anfragen, keine Antwort und Zusendung des Schlüssels. Also, Geld weg. Ob dieses mit dem Hackerangriff zu tun hat? Angeblich kennt AVAST auch nicht meine E-Mail Adresse. Ich werde AVAST nicht mehr nutzen.

    VG Willi

    1. Hallo Wilftried Schneider,

      hört sich nicht gut an, kann ich mir aber auch nicht vorstellen. Hast du wirklich Kontakt mit dem Support von Avast aufgenommen?

      Grüße,
      TB, ABBZ

  10. Habe update gekauft,geld uberwiesen.kein neuen aktivierungs code erhalte.geld wohl futsch.mein avast ist durch einen virus ifiziert.kann nichts von avast installieren weder bezahl noch free versionen.bin vorlaufig aud avira umgestiegen.sollte avast dieses problem nicht in zukunft losen konnen werde ich avast komplett von meinem computer löschen.

Kommentare sind geschlossen.