TUXEDO Computers ist ein in Augsburg angesiedelter Anbieter von Computern. Spezialgebiet sind individuell zusammenstellbare Notebooks und Desktop PCs, die vollständig Linux- und Windows-kompatibel sind. "Linux-Hardware im Maßanzug", so die Eigenwerbung. Bei diesem Hersteller hat es eine Sicherheitslücke gegeben, so dass der Hersteller die Kunden auffordert, ihre Kennwörter für deren Online-Konten zu ändern.
Anzeige
Blog-Leser Wil Ballerstedt hat mich per E-Mail kontaktiert und mich darüber informiert (danke dafür), dass TUXEDO Computers ihm eine Warn-Mail zukommen ließ. Darin wurde mitgeteilt, dass er sein Kennwort bitte sofort ändern möge.
Was ist passiert?
Der Hersteller wurde am Sonntag, den 13.02.2022, über eine mögliche Sicherheitslücke informiert. Im Online-Auftritt von Tuxedo Computer gab es eine Sicherheitslücke, die es am Kundenkonto angemeldeten Benutzern ermöglichte, Adressdaten und Passworthashes (wohl von anderen Kundenkonten) abzugreifen. Dies hätte Unbefugten den Zugriff auf diese Kundenkonten ermöglicht. Nachdem der Hersteller informiert wurde, konnte diese Schwachstelle umgehend, also am Sonntag 13.02.2022 gegen 13:30 Uhr, geschlossen werden. Ein Missbrauch der fremden Informationen ist zwar nicht bekannt, aber die Kunden sollten vorsorglich das Kennwort ändern.
Ergänzung: Ein Leser hat mich darauf hingewiesen, dass er bei "Passwort vergessen" keine E-Mail erhält, mit dem er sein Passwort zurücksetzen könnte. Kann das jemand Betroffenes bestätigen?
Hier ist noch die Information, die Tuxedo Computer Betroffenen per Mail zukommen ließ.
Anzeige
TUXEDO Computers
Montag, 14. Februar 2022 19:19
Betreff: Sicherheitshinweis / Bitte Passwort ändernHallo,
wir wurden am Sonntag, 13.02.2022, über eine mögliche Sicherheitslücke informiert, die es einem Angreifer ermöglichen konnte – sofern er selbst ein Kundenkonto bei uns hat – Adressdaten und Passworthashes abzugreifen. Wir haben die Lücke bereits am Sonntag 13.02.2022 gegen 13:30 Uhr geschlossen!Vielen Dank an dieser Stelle auch an den Entwickler, der uns darüber informiert hat.
Laut dessen Aussage wurden die Daten weder gespeichert noch veröffentlicht.
Uns ist kein Missbrauch und kein Veröffentlichung der Daten bekannt. Da dies auch nur nach Anlage eines Kundenkonto und anschließender Bearbeitung des Adressbuchs möglich war, gehen wir nicht davon aus und haben keine Anhaltspunkte dafür, dass diese Lücke bisher noch jemand entdeckt hat bzw. sie auch nicht ausgenutzt wurde.
Es bestand zwar die Möglichkeit Adressdaten und Passworthashes zu extrahieren, aber keine Passwörter im Klartext! Auf Zahlungsdaten oder -informationen sowie andere sensible Daten bestand kein Zugriff!
Dennoch raten wir Ihnen dazu, Ihr Passwort sowohl bei uns im Shop als auch auf anderen Seiten, auf denen Sie das selbe Passwort verwenden, zu ändern!
Vielen Dank für Ihr Verständnis.
Viele Grüße,
Ihr TUXEDO Team
[English version]
Hello,
we were informed on Sunday, 2022-02-13 about a possible security vulnerability that could allow an attacker – if he has a customer account with us – to access address data and password hashes. We have already closed the gap on Sunday, 2022-02-13 around 13:30!Many thanks at this point to the developer who informed us about it.
According to his statement, the data was neither stored nor published.
We are not aware of any misuse or publication of the data. Since this was also only possible after creating a customer account and subsequent editing of the address book, we have no reason to assume and further have no evidence that anyone else has discovered this gap or that it has been exploited.
Although it was possible to extract address data and password hashes, no passwords in plain text were retrieved There was no access to payment data or any payment information or other sensitive data!
Nevertheless, we advise you to change your password both in our store and on other sites where you use the same password!
Thank your for understanding.Kind regards,
Yours TUXEDO Team
Ergänzung 2: heise hat im Nachgang zum 18. Feb. 2022 noch einige Informationen nachgereicht, die das Shop-System betreffen. Tuxedo hat dieses System angepasst betrieben und das Problem schnell gefixt. Aber es gibt wohl andere Kunden, die dieses Shop-System ohne Anpassungen und wohl auch ohne Fixes einsetzen.
Anzeige
Macht keinen besonders vertrauenserweckenden Eindruck.
Was spricht dagegen, dass hier ein Fall von unterlassenem/verspätetem Patchen vorliegt?
Am Rande, aus WP: "Die Pflicht zur Nennung der Aufsichtsbehörde in der Anbieterkennzeichnung ergibt sich wiederum aus der E-Commerce-Richtlinie 2000/31/EG. Für einen „Bagatellverstoß" ist daher kein Raum mehr."
Unter https://www.tuxedocomputers.com/de/Impressum.tuxedo sehe ich da nichts.
So gewinnt man keine Neukunden.
Für ganz normale Handelsgeschäfte gibt es keine Aufsichtsbehörde.
Deswegen steht da keine, und deswegen siehst du keine.
Die gibt's für Finanzdienstleister, Baugewerbe, Telemediengesellschaften usw.: BAFin, EZB, Bundesnetzagentur, Bauaufsichtsämter…
Du hast Recht (nach TMG § 5, Abs. 1, Nr. 3). Ich nahm irrtümlich an, dass es im Falle Tuxedo einschlägige Aufsichtsbehörden u. a. i. S. v. https://de.wikipedia.org/wiki/Elektromagnetische_Vertr%C3%A4glichkeit gibt.
Enttäuschend fand ich, dass in der Aussendung nichts über den Hash-Algorithmus und das Salz stand. So bleibt nur, vom Schlimmsten auszugehen!
Oh Mann! https://www.heise.de/news/Datenleck-im-Shopsystem-von-Tuxedo-Computers-6496131.html am 18. Februar:
Hatte die Mail auch erhalten, aber als Phishing gelöscht, da mir Tuxedo völlig unbekannt war. Stellt sich die Frage, weshalb ich die Mail erhalten habe, obwohl ich kein Konto bei der Firma habe und auch keinen Newsletter o.Ä. abonniert habe.
Ja super, ich hatte leider da mal ein Konto im Onlineshop gemacht – aber ich wurde nicht angeschrieben.
Danke für die Unterirdischkeiten, liebe tuxedos.