Update zur Kontosicherheit

Vor Kurzem wurde Weebly darauf aufmerksam, dass sich eine unautorisierte dritte Partei Zugriff auf Email-Adressen und/oder Usernamen, IP Adressen und verschlüsselte (bcrypt hashed) Passwörter einer großen Anzahl von Kunden verschafft hat. Zum jetzigen Zeitpunkt haben wir keinerlei Hinweise darauf, dass auf irgendeine Weise unautorisiert auf Kundenwebsites zugegriffen wurde. Auch liegen uns keine Hinweise darauf vor, dass etwaige Kreditkarteninformationen Teil des unautorisierten Zugriffs waren, die für betrügerische Zwecke genutzt werden könnten, da wir keine vollständigen Zahlungsinformationen (wie komplette Kreditkartennummern) speichern. 

Wir versichern Ihnen, dass wir mit Hochdruck daran Arbeiten, die Situation zu klären – Ihre Sicherheit ist für uns von größter Wichtigkeit. Das Weebly-Sicherheitsteam stellt aktuell sicher, dass unser Netzwerk noch sicherer wird, um unsere Kunden zu schützen. Zusätzlich zu einem Passwort-Reset und neuen, komplexeren Anforderungen für die von Ihnen gewählten Passwörter können Sie nun die Login-Historie Ihres Accounts einsehen und erhalten so Informationen zu Login-Vorgängen wie Standort und IP-Adresse aktueller Logins in Ihren Weebly Account. Diese Funktion finden Sie unter “Konto” → “Login-Historie”

Weebly ist und bleibt absolut engagiert, was den Kundenservice betrifft – und das Schützen Ihrer Daten und persönlichen Informationen. Wir werden diesen Artikel laufend mit neuen Informationen aktualisieren, sobald uns welche vorliegen.

Wichtig: Sollten Sie eine Email bekommen, die so aussieht als käme sie von Weebly und besagt, dass Ihre Website abgeschaltet wird und Sie Ihre Account-Informationen aktualisieren sollen – tun Sie bitte nichts. Diese Emails werden nicht von Weebly verschickt. Weebly wird Sie niemals auffordern einem Link zu folgen, der nicht zu weebly.com führt.

 

Fragen & Antworten

 

Wie stelle ich fest ob mein Account betroffen ist?

Derzeit gehen wir davon aus, dass Kunden betroffen sind, die sich vor dem 1. März 2016 registriert haben. Wir benachrichtigen alle betroffenen Nutzer per Mail. Wenn Sie sich nicht sicher sind, wann Sie sich registriert haben, empfehlen wir Ihnen, Ihr Passwort zurückzusetzen.

Wann und wie hat Weebly davon erfahren?

Vor Kurzem wurde Weebly darauf aufmerksam, dass sich eine unautorisierte dritte Partei Zugriff auf Email-Adressen und/oder Usernamen, IP Adressen und verschlüsselte (bcrypt hashed) Passwörter einer großen Anzahl von Kunden verschafft hat. Unmittelbar danach fingen wir an, die Sache zu untersuchen, verifizierten die Authentizität der Daten und begannen sofort, die nötigen Schritte einzuleiten, um unser Netzwerk noch sicherer zu machen und unsere Kunden zu benachrichtigen.

Wer ist dafür verantwortlich?

Zusammen mit externen Sicherheitsexperten arbeitet das Weebly Sicherheitsteam daran, herauszufinden wer dahinter steckt und wie es dazu kommen konnte.

Welche Sicherheitsmechanismen haben Weebly Accounts?

Die große Mehrheit der Weebly Kundenpasswörter sind durch “salted bcrypt hashes” verschlüsselt. Die Daten werden verschlüsselt (hashing) und jedem Passwort wird eine zufällige Zeichenabfolge hinzugefügt (salting). Das erschwert das “Erraten” der Passwörter ungemein.

Nutzerkonten, die vor dem 1. Juni 2011 eingerichtet wurden, nutzen ein älteres “hashed”-Passwort-Format. Diese Passwörter wurden bereits automatisch zurückgesetzt, um die Sicherheit der Konten zu gewährleisten. 

Welche Maßnahmen ergreift Weebly, um die Sicherheit der Accounts weiter zu stärken?

Ihre Konto-Sicherheit ist für uns absolut wichtig und wir arbeiten pro-aktiv und schnell daran, die Situation zu klären. Das Weebly-Sicherheitsteam stellt aktuell sicher, dass unser Netzwerk noch sicherer wird, um unsere Kunden zu schützen. Wir arbeiten außerdem mit externen Sicherheitsexperten zusammen, um den Vorgang weiter zu erforschen. Seit dieser Woche haben wir neue Funktionen integriert, die es Ihnen erlauben, die Login-Vorgänge Ihres Accounts zu verfolgen. Außerdem haben wir die Anforderungen an die Sicherheit der von Ihnen gewählten Passwörter erhöht.

Was passiert, wenn ich mich nicht an meinen Nutzernamen erinnere oder meinen Weebly Account gar nicht mehr nutze?

Während des Logins gibt es die Möglichkeit, einen vergessenen Nutzernamen wiederherzustellen. Wenn Sie Ihren Account nicht mehr nutzen, das gleiche Passwort aber auch auf anderen Websites verwenden, empfehlen wir und andere Sicherheitsexperten, dass Sie die mehrfach verwendeten Passwörter ändern und für jeden Service ein individuelles nutzen.

Sind andere Accounts von mir (außerhalb von Weebly) in Gefahr?

Nein. Allerdings: Sollten Sie ein und dasselbe Passwort auch für andere Logins auf anderen Seiten nutzen, empfehlen wir und andere Sicherheitsexperten, dass Sie die mehrfach verwendeten Passwörter ändern und für jeden Service ein individuelles nutzen.

Wie sicher ist mein Weebly-Passwort?

Die große Mehrheit (alle Accounts, die nach dem 01. Juni 2011 erstellt wurden) der Weebly Kundenpasswörter sind durch “salted bcrypt hashes” verschlüsselt. Die Daten werden verschlüsselt (hashing) und jedem Passwort wird eine zufällige Zeichenabfolge hinzugefügt (salting). Das erschwert das “Erraten” der Passwörter ungemein. Als Vorsichtsmaßnahme ist es aber natürlich trotzdem möglich, das bestehende Passwort zu ändern – am besten in ein komplexes und nur für Weebly genutztes Passwort. Eine kleine Anzahl sehr alter Nutzerkonten, in die sich seit längerer Zeit nicht mehr eingeloggt wurde, wurde mit “MD5 hashed”-Passwörtern verschlüsselt – in diesen Fällen haben wir die Passwörter zurückgesetzt, um die Sicherheit der Konten zu gewährleisten

Wurden Daten meiner Ecommerce-Kunden kompromittiert?

Nach derzeitigem Kenntnisstand ist das nicht der Fall. Die Datei, die wir erhalten haben, enthält keine Kundendaten oder Zahlungsinformationen die für betrügerische Zwecke verwendet werden könnten. Weebly speichert keine kompletten Kreditkartennummern.

Was heißt das für mich?

Nach derzeitigem Kenntnisstand wurden keine Websites beschädigt. Eine Passwortänderung wird helfen, Ihre Daten online zu schützen. Es gibt noch andere Möglichkeiten, sich gegen eventuellen Missbrauch zu schützen: Achten Sie auf auffällige Emails. Hier finden Sie weiterführende Informationen zu Online- und Email-Sicherheit.

Warum habe ich von Weebly noch keine Email zu meinem Account bekommen?
 
Nur betroffene Nutzer bekommen eine solche Email. Wir haben den Benachrichtigungsprozess begonnen, doch durch die hohe Anzahl an registrierten Kunden kann dieser Prozess einige Tage in Anspruch nehmen. In der Zwischenzeit empfehlen wir, dass Sie Ihr Passwort zurücksetzen und etwaige Fragen über diesen Link stellen. Wir werden so schnell wie möglich antworten.


Ich habe Probleme beim Ändern meines Passworts und/oder habe noch weitere Fragen. Wo bekomme ich zusätzlichen Support?

Sollten Sie weitere Fragen haben, sind wir natürlich hier, um Ihnen so schnell wie möglich zu antworten! Übermitteln Sie Ihre Frage bitte über diesen Link.

War dieser Beitrag hilfreich? 27 von 32 fanden dies hilfreich