Einige haben es gemerkt, gestern war das Weblog kurzfristig nur eingeschränkt nutzbar. Ich war gerade unterwegs, da klingelte mein Handy und ich wurde verständigt, daß Hunderte von Fehlermeldungen eingegangen sind. Diese bezogen sich auf die Nichterreichbarkeit der Bestellseite.
Etwas später machten wir uns an die Fehlersuche und mußten leider feststellen, daß irgendjemand in das System eingedrungen ist und explizit die Bestellseite und die Seite mit der Bestellbestätigung korrumpiert hat. Hierzu waren Manipulationen an der Datenbank notwendig.
Wie er genau vorgegangen ist, ist derzeit noch nicht ganz klar. Die üblichen Sicherheitsvorkehrungen haben wir aber getroffen und arbeiten derzeit daran, das System nochmals sicherer zu machen.
Ist ja bald Weihnachten, da darf man sich ja was wünschen.
Ich wünsche demjenigen, der mich da ärgern will sechs Wochen schmerzhaften Durchfall und beide Arme in Gips.
Ich habe noch einmal die wichtigsten Schlagwörter (Hashtags) dieses Artikels für Sie zusammengestellt, damit Sie sich besser orientieren können:
Guter Wunsch. Da schließe ich mich an für die Typen, die in der Nacht zum Samstag unsere Autos aufgebrochen haben. 🙂
Hab das Buch schon bestellt, bei mir klappte noch alles. Freu mich drauf!
Hmm. Ich wollte gestern eigentlich auch ein Buch vorbestellen. Dann habe ich das schon ausgefüllte Formular wieder verworfen, denn: Wer weiß, wer hinter Tom steckt und auf meine Daten scharf ist. Als ob ich es geahnt hätte … 🙂
Ne, wenn das Buch über den Handel erhältlich ist, dann gerne. Der Versand gleicht ja den Subskriptionsvorteil eh aus.
Hat das jetzt irgendwelche Folgen wegen der Bestellbestätigung per Mail und der dazu enthaltenen Banhkverbindung? Kann das sein, dass da ein Betrüger am Werk war und ich nun an ein falsches Konto überweisen soll? Kann man das irgendwie klarstellen, wo das Geld richtigerweise hinsoll? Wäre nett… Danke!
Das war eben auch meine Idee:
Tom, kannst du uns vielleicht die ersten 3 Ziffern von der Kontonummer hier veröffentliche, damit wir wissen, dass wir auf das richtige Konto überwiesen haben?
Wären die letzen drei nicht sinnvoller?
Hatte nicht einer vor paar Tagen hier ein SQL Auszug gepostet? Mit den Infos + WordPressversion + DB Version + Ahnung + ein Bestellformular, das in die DB schreibt und evtl. nicht alle Ausdrücke checkt bevor dem Ausführen = Sicherheitsproblem
Was ist mit den Daten in der DB? Sind die ausgelesen worden?
Ich würde dir ja raten einfach die Kommentare und sonstige Interaktivität abzustellen. Je „größer“ der Blog wird, desto anfälliger wird er natürlich für solche Angriffe, und vor allem wird den „Spionen“ hier dann auch die Möglichkeit genommen drüber zu diskutieren wer du wirklich bist etc.
Kannst du bitte allen, die eine ECHTE Bestellung ausgelöst haben noch eine Bestätigung schicken? Habe auch eine Überweisung getätigt…
Danke Volker
@Maja: Natürlich WordPress sperren ihm das Blog…. und danach werden die Bullen bei ihm Einrücken und ihn festnehmen. Auserdem werden alle Blogs von Firmen geschlossen, ist ja auch nur Kommerz…
Und danach wird jede Metalband die ein Video auf MTV oder Viva hatte auf den Mond gepustet, weil das nicht reicht werden wir auch noch die Autohersteller und Supermarktleiter töten.
Bis wir dann am Ende alle wieder in der Höhle Wohnung, das Bloggen sich auf gejagte Mammuts beschränkt, und endlich wieder Frieden ist in der Blogsphäre…
Nee, nee, nee. Da wünscht man solchen Leuten, dass der „nächste schiss n Igel is.“
Die Wiederkehr von Henning?
Obwohl, einen sonderlich aufgeweckten Eindruck hat er nun nicht hinterlassen.
Auf störungsfreie Zeiten!
Sanne
Also nochmals ganz kurz: Durch den Angriff wurde lediglich das Bestellen unmöglich gemacht.
Zu keiner Zeit ist da etwas umgeleitet worden.
Die Bestelldaten werden NICHT in der Datenbank gespeichert.
Und nein, ich kann nicht allen nochmals eine Mail schicken.
Die Mail mit der Bestellbestätigung und unseren Bankdaten kommt von einem völlig anderen System und das war zu keiner Zeit betroffen.
Für alle zur Sicherheit: Die letzten Ziffern der Kontonummer lauten XXXX9406.
Keine Bange, es ist nichts passiert. Da hat uns nur jemand das Bestellen vermiesen wollen.
@Lobo: Du hast ja wohl gar keine Ahnung, oder?
Kannst du bitte deine Kontoauszüge einscannen und hier posten? Dann kann jeder sehen ob er dabei ist.
ich weis ja nicht wie genau der angriff ablief aber ich muss hier mal die lanze brechen so nur das bestellformular kaputt war war es ja keine schwerwiegender eingriff sondenr lediglich der hinweis auf eine sicherheitsluecke
diese ist jetzt geschlossen
bösartige computerfachpersonen haetten sicherlich schlimmeres angestellt
Immer den Ball flach halten.
Na ich find schon dass Tom hier die aktuellen Verkaufszahlen mal posten soll. Kommerz ist ja in der Blogosphäre nicht erwümnscht und daran sollte auch der Undertaker sich halten.
Wenn dem so sein sollte das da was hängen bleibt, könnte ich mir gut vorstellen, das im wordpress das Blog sogar sperrt.
Man sollte den Kommerz bekämpfen wo es geht.
Ich meine ja auch, daß die ALDI-Brüder jetzt erst mal ihr gesamtes Vermögen dafür einsetzen sollten, daß wir alle Waren bei ALDI kostenlos bekommen. Ist ja wirklich eine Unverschämtheit, daß die auch noch was für ihr Zeug verlangen.
Beide Arme in Gips? Feine Sache das. Ist schon viele Jahre her, aber ich hab das mal erlebt, als ich im Lazarett lag. Dort wurde ein Uffz. eingeliefert, der sich beim Training für eine größere öffentliche Sport- Vorführung beide Handgelenke gebrochen hatte. Das ging so: Jeweils ein Dutzend Soldaten sollten einen einzelnen Soldaten hoch durch die Luft zu einer anderen Gruppe werfen. Dazu standen sich je sechs Jungs gegenüber, fassten sich an den Händen und obiger Uffz. lag auf den Händen. Und nun mit Schwung hinüber geworfen. Ein paar Trainingstage hat das auch gut geklappt. Aber irgendwie hat der Uffz. dann doch seine Jungs verärgert und die Werfer haben nicht genau gezielt und der Uffz. landete mit einem lauten „Uffz!!!“ neben den Fängern auf der Plautze. Und danach im Lazarett. Dort hatte er nicht nur die Lacher der Patienten auf seiner Seite, sondern auch das gesamte Personal konnte sich kaum zurückhalten mit Lachen. Was für eine Demütigung nach der Schwester klingeln zu müssen, weil er mal aufs Klo musste, besonders beim großen Geschäft. Selbst zum… Weiterlesen »
blablabla… Man sollte den Kommerz bekämpfen wo es geht.
Ich werde alt. Ich erkenne schön langsam echt nicht mehr, was nun Ironie, Trollerei oder ernst gemeinter Schwachsinn ist. :-/
Ich wünsche zu den Gipsarmen und dem Durchfall noch einen fürchterlichen Fließschnupfen dazu
und jucken solls und brennen.
Hat noch jemand Windpocken übrig?
Ich finde auch, dass es ein Hinweis auf eine Sicherheitslücke war…
Was wäre dir lieber?
Ein Formular, dass nicht geht und dafür kannst du das Sicherheitsloch schliessen oder dass das Loch missbraucht wird?
Wenn du das Loch nicht schliesst, passiert das zweite früher oder später ganz sicher…
Obwohl, ein ganz lieber Hacker hätte dir ne Mail geschickt… auch wenn das eventuell nichts bringt weil du denkst „Ach, schon wieder eine leere Drohung“, was vermutlich (immer) öfter passiert…