Guten Morgen aus Griechenland. Jetzt muss ich mich hier wohl doch mal melden,... (mein Status ist eigentlich gerade: Urlaub).
Zunächst einmal das Wichtigste: Es gibt keinen "Hack", und es sind auch keine Daten bei uns abhanden gekommen.
Das hätten wir wohl als Erstes einmal kommunizieren müssen, mit der Meldung von
@King Bill konnte man dies ja nicht ausschließen.
Ist ein wenig mein Fehler, ich habe nur hier aus dem Urlaub intern die Anweisung gegeben "Aktion bitte umsetzen"
Was ist passiert: Wir haben in den letzten Wochen ein paar Übernahmen von alten Accounts abgefangen. Das Vorgehen war hier immer dasselbe: Es wurde mit alten Accounts das Passwort geändert, die Emailadresse und 2FA aktiviert. Die betroffenen User haben sich aktiv bei uns gemeldet, da sie über die Änderungen bis zur Passwort-Änderung per Email in Kenntnis gesetzt worden sind und somit alarmiert waren. Das Forum hat ja glücklicherweise einige Sicherheitsmechanismen, so auch diese.
Insofern ist auch hier nichts passiert, die Accounts konnten ohne Nutzung des Angreifers wiederhergestellt werden.
Zumindest bei zwei Accounts konnte nicht ausgeschlossen werden, dass die Passwörter nicht ausschließlich fürs Luxx verwendet worden sind. Ein weiterer Leser hatte uns sogar davon in Kenntnis gesetzt, dass ihm das durch einen Leak schon bei anderen Plattformen/Apps passiert ist. Insofern gehen wir nicht von einem Leak bei uns aus. Dafür gibt es keine Anzeichen.
Intern ist dadurch aber eine Diskussion entstanden, wie man verhindern könnte, dass so etwas in Zukunft vielleicht passiert, ohne entdeckt zu werden - und somit dann für evtl. einen Betrugsversuch im Marktplatz genutzt werden könnte. Denn mehr kann man mit einem gekaperten Account bei uns ja auch nicht anfangen, höchstens dumm rumspammen. Um aber das Risiko zu minimieren, dass evtl. im Marktplatz mit einem falschen Account betrogen wird, haben wir jetzt angestoßen, die Passwörter auszutauschen.
Es wurden auch andere Maßnahmen diskutiert: 2FA ist eine davon. Heutzutage setzt jeder 2FA für seine wichtigen Apps ein, insofern würde ich empfehlen, das auch für Hardwareluxx zu aktivieren. Von der Admin-/Moderationsseite ist es sowieso aktiviert. Für die Leser wollten wir darauf noch verzichten als verpflichtende Maßnahme (was ja die Diskussion hier im Thread auch zeigt).
Edit: Übrigens als kleine Ergänzung: Während ihr einen Aufruf bekommen habt, das Kennwort selber zu ändern, sind alle inaktiven Accounts vor 2024 momentan gesperrt und können sich erst dann wieder einloggen, wenn (mit der existierenden Emailadresse) ein neues Kennwort vergeben worden ist.