Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt

[English]Kurze Information für Leute, die ein Konto bei dem Dienst SAVE.TV haben. Der Dienst wurde wohl gehackt. Hier einige Informationen, was mir bisher bekannt ist. Ergänzungen: Auch der Anbieter UseNeXT.de wurde wohl gehackt. Und es liegen inzwischen weitere Informationen vor. Einfallstor war wohl der Dienstleister Omniga. Mit dem Momentum Usenet-Client, der wohl auch Zugangsdaten stiehlt, hat es imho nichts zu tun. Details im Artikel nachgetragen.


Anzeige

Was ist SAVE.TV?

SAVE.TV ist ein Dienst, der als Online-Recorder für TV-Sendungen fungiert und diese in der Cloud speichert. MacLife hat 2016 einen Beitrag veröffentlicht, in dem der Dienst vorgestellt wird. Der Dienst ist kostenpflichtig und erfordert eine Anmeldung. Der Betreiber des Diensts sitzt in Leipzig.

Eine Leser-Info über den Hack

Blog-Leser Christoph W. hat mich vor einigen Stunden per Mail über den Vorgang informiert (danke dafür). Christoph schrieb:

Die [SAVE.TV] sind seit Freitagabend (24.04.2020) nicht mehr erreichbar!

Eben kam diese Mail – weiter unten bei mir an!

Habe soeben meine Kreditkarte sperren lassen und eine neue geordert. (Sicher ist Sicher)

Netzwelt hat hier einen Hinweis, dass die Seite nicht mehr erreichbar sei. Christoph regte an, das hier im Blog zu erwähnen – was ich natürlich gerne aufgreife.

Informationen zum Hack

Die Webseiten von SAVE.TV sind vorübergehend offline, da der Dienst gehackt wurde. Der Sachverhalt, den der Anbieter inzwischen auch auf seiner Webseite (sowie auf deren Facebook-Seite) eingestehen musste:

Save.TV Services vorübergehend offline: was Sie jetzt wissen sollten!

Liebe Save.TV Kunden,

Transparenz ist uns gerade jetzt besonders wichtig. Deshalb möchten wir Sie darüber informieren, dass die Sicherheit Ihrer Daten möglicherweise beeinträchtigt wurde. Hier fassen wir die wichtigsten Fakten und Informationen für Sie zusammen.

Was ist vorgefallen?

Die IT-Systeme unseres Unternehmens wurden von bislang unbekannten Dritten angegriffen. Grund hierfür scheint eine Sicherheitslücke in der Software eines unserer Partner zu sein, für die wir derzeit noch keinen Beleg haben. Dennoch besteht theoretisch die Gefahr, dass personenbezogene Daten betroffen sein könnten. Dies kann potentiell Name, Rechnungsanschrift, Zahlungsdaten wie IBAN und Kontonummer sowie weitere Daten, welche wir im Rahmen der Durchführung Ihres Vertrages verarbeitet haben betreffen.

Das Thema ‘Transparenz ist wichtig’ kann man sich an dieser Stelle knicken. Der Hack könnte persönliche Daten betreffen, der Anbieter ist laut DSGVO verpflichtet, die zuständige Datenschutzaufsicht zeitnah zu informieren. Hier ist noch ein Screenshot der betreffenden Verlautbarung.

safe.tv Hack
(Quelle: heise, Zum Vergrößern klicken)

Als erste Maßnahme hat der Anbieter seine Systeme deaktiviert und ein spezialisiertes IT-Sicherheitsunternehmen beauftragt,das Problem zu analysieren und das genaue Ausmaß des Angriffs festzustellen.

Ergänzung: Auch UseNeXT betroffen


Anzeige

Auch der Anbieter usenext.de wurde wohl gehackt bzw. ist von diesem Hack betroffen. Da die Webseite einen sehr ähnlich lautenden Text aufweist (beide Webseiten der gehackten Anbieter sind zur Zeit massiv überlastet), vermute ich, dass ein Zahlungsdienstleister angegriffen wurde.

UseNeXT-Hack
(Quelle: heise, Zum Vergrößern klicken)

Ergänzung 2: Ich schreibe gerade für heise einen Artikel. Beide Anbieter werden von Omniga betreut. Bleibt jetzt spannend, ob auch andere Kunden demnächst mit Meldungen über Hacks aufschlagen.

VPN-Verbindung bei Omniga als Einfallstor

Ergänzung 3: Auf Grund meines heise-Artikels, der u.a. Screenshots der betreffenden Unternehmensmeldungen und weitere Informationen enthält, hat mich die Sprecherin des Unternehmens telefonisch kontaktiert (deren IT-Infrastruktur ist weiterhin offline, so dass selbst E-Mail nicht verfügbar ist). In dem Telefongespräch wurden mir folgende Informationen bestätigt.

  • Das Problem liegt beim Anbieter Omniga, es sind (so die Aussage) definitiv nur die beiden in obigem Text genannten Kunden betroffen.
  • Direkt nachdem der Hack bemerkt wurde, wurden als die Omniga IT-Systeme als Vorsichtsmaßnahme komplett heruntergefahren.
  • In Folge dieses Shutdowns sind auch die Kunden UseNeXT und SAVE.TV mit ihren Diensten betroffen.
  • Ob wirklich Daten beim Hack abgeflossen sind, lässt sich derzeit nicht sagen. Die forensischen Untersuchungen laufen noch.
  • Die Datenschutzaufsicht wurde zeitnah über den Vorfall informiert.

Interessant ist das vermutliche Einfallstor für den Hack. Im Zuge der Corona-Krise wurden die Omniga-Firmenmitarbeiter ins Home-Office geschickt. Die Anbindung an die Firmen-IT und die dort verwendete Branchensoftware erfolgte über VPN-Verbindungen. Derzeit besteht Kontakt mit dem nicht offen gelegten VPN-Softwareanbieter, um zu klären, warum der Hack erfolgen konnte.

Was sollten Betroffene tun?

Wer ein Konto bei SAVE.TV hat, dürfte inzwischen eine E-Mail-Benachrichtigung erhalten. Zum eigenen Schutz schlägt der Anbieter des Diensts folgende Maßnahmen vor:

  • Achten Sie ab sofort darauf, ob verdächtige Abbuchungen auf Ihren Konten auftauchen.
  • Ändern Sie umgehend alle Passwörter von Accounts, die mit Ihrer Emailadresse oder Ihren Bankdaten verknüpft sind.
  • Priorisieren Sie hierbei den Account, der zur Wiederherstellung anderer Benutzerkonten oder Passwörter benötigt wird.
  • Sollten Sie Ihr Passwort für den Account unserer Dienste auch woanders nutzen, sollten Sie diese Passwörter ebenfalls sofort im Anschluss ändern.
  • Überprüfen Sie die Einstellungen Ihrer Accounts (z.B. automatische Weiterleitungen von Nachrichten). Etwaige Veränderungen deuten auf einen unbefugten Zugriff hin. Korrigieren Sie gegebenenfalls diese Einstellungen schnellstmöglich.
  • Sollten Sie feststellen, dass sich jemand als Sie ausgibt, benachrichtigen Sie bitte umgehend den Anbieter des betroffenen Accounts und veranlassen Sie die Sperrung des Kontos. Lassen Sie dann auch Ihre Freunde wissen, dass Ihre Identität gestohlen wurde.
  • Achten Sie vermehrt auf Phishing-Mails in Ihrem Posteingang und klicken Sie auf keine Links, die Ihnen suspekt erscheinen, sondern melden Sie diese.

Diese Maßnahmen sollten zeitnah durchgeführt werden. Der Anbieter hat in der Info-Mail sowie auf der Homepage Hinweise veröffentlicht, wie er kontaktiert werden kann.

Bei UseNeXT: Stiehlt Malware Zugangsdaten?

Ergänzung: In Kommentaren zu meinem heise-Artikel sowie in einer Mail von Blog-Leser Ralf (danke dafür) bin ich darauf hingewiesen worden, dass bei UseNeXT noch ein weiteres Problem besteht. Es gibt in diesem TorrentFreak-Artikel den Hinweis, dass da Momentum Usenet-Client, eine Software zum Zugriff auf das Usenet Benutzerdaten abgreift. Ralf schrieb dazu:

Es gibt einen Client für den einfachen Zugang, kostenlos, auf diversen Seiten beworben, leider eine Malware die Zugangsdaten stiehlt und noch andere komische Sachen macht.

Das Ganze geht auf diesen reddit.com Thread zurück, wo Details offen gelegt werden. Die Vermutung, dass die UseNeXT-Zugangsdaten so offen gelegt wurden, ist – aber vermutlich auf Basis meiner zwischenzeitlichen Ergänzungen in obigem Text hinsichtlich Omniga – wohl eher unzutreffend.

Ergänzung: Folgebeitrag unter Nachlese: Save.tv/UseNeXT.de nach Hack wieder online.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Hack, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt


  1. Anzeige
  2. Marc sagt:

    born, sie sind mir einer, dank google werde ich immer wieder auf ihren blog geleitet. sie sind ein fuchs, optisch eher der gefühlte wettermann, aber jede news, nicht reißerisch und mit soviel tiefgang das mein hirn es gerade so verarbeiten kann. nur eben ist diese seite nicht so wirklich bekannt, jedoch immer höchst informativ.
    ich danke dem wettermann! :)

    einmal erlaube ich mir doch eine korrektur vorzuschlagen:
    es handelt nicht um http://www.usenet.de sondern http://www.usenext.de

    auf facebook toben sich die unbefriedigten seelen aus:
    https://www.facebook.com/pg/SaveTV/
    https://de-de.facebook.com/usenext.germany

    informativ ist auch diese ecke:
    https://tv-forum.info/viewforum.php?f=33

    • Günter Born sagt:

      Danke für den Hinweis. Der UseNeXT-Text kam kurz bevor ich zur Physiotherapie musste, als Ergänzung rein. Ist korrigiert (im Hinterkopf war mir das fehlende X bewusst).

      • Marc sagt:

        wunderbar, irgendwo steht noch was von safe.tv ;-) sicher an corona gedacht.

        es wäre schön wenn die infos noch etwas abgeklopft werden könnten, zumindest bei save.tv konnte man über iban, paypal und kreditkarte bezahlen, ergibt die frage ob nebst iban weitere zahlungswege in gefahr sind.

        die save.tv user wären sicher dankbar zu hören ob ihre alten aufnahmen ab ausfalltag erhalten bleiben und ob weiter aufgenommen wird. mir war so, als wenn die aufnahmeeinheiten seperat leifen und somit vielleicht nicht heruntergefahren wurden?

        danke für die guten infos und viel erfolg bei der physio, hier in meiner region wären die karten schlechter. ;-)

        • Team Save.TV sagt:

          Hallo Marc,

          Wir möchten uns ungern auf Mutmaßungen einlassen oder Euch falsche Informationen mitteilen. Erst wenn wir eindeutig belegen können, was vorgefallen ist und welche Daten genau betroffen sind, werden wir Euch diesbezüglich updaten. Die zuständigen Behörden und Spezialisten sind genau wie Ihr vorsorglich informiert worden und unser Team arbeitet sehr engagiert an einer sorgfältigen Analyse und Behebung des Problems. Sobald wir die Daten vorliegen haben, werdet Ihr es hier als Erstes erfahren.

          Aktuell können wir leider noch keine Aussage darüber treffen, welcher Aufnahmezeitraum fehlen wird und inwieweit auch Programmierungen zukünftig ausgestrahlter Sendungen betroffen sind. Sobald wir hierzu nähere Informationen haben, geben wir Euch selbstverständlich ein Update.

          Du kannst uns bei Fragen immer via Facebook Messenger oder per Interims-Hotline erreichen: 0341 30213021 (Mo-Fr von 10 bis 20 Uhr, Sa von 10 bis 18 Uhr).

          Viele Grüße
          Dein Save.TV-Team

          • Günter Born sagt:

            Dem Omniga-Team liegen von mir sowie heise ja dedizierte Fragestellungen zu bestimmten Sachverhalten vor. Wäre schön, wenn diese zeitnah beantwortet werden – ich gehe davon aus, dass es einen internen Austausch gibt.

            Danke für die Rückmeldung.

  3. Günter Born sagt:

    Nachtrag zum Thema

    Ich hatte zu diesem Thema bei heise ebenfalls einen Artikel veröffentlicht und dadurch Kontakt mit der Pressebetreuung/Assistenz der Geschäftsführung von Omniga (siehe auch obige Kommentare). Ein heise-Leser vermutete, dass bei SAVE.TV Kennwörter im Klartext gespeichert würden.

    Da das Ganze bei Omniga als Dienstleister abgewickelt wird, habe ich jetzt nochmals nachgefasst, wie der Stand der Dinge sei. Antwort der Assistenz der Geschäftsführung von Omniga:

    vielen Dank für Ihren Reminder. Bitte entschuldigen Sie die späte Antwort.

    Sie können sich bestimmt vorstellen, dass wir in den letzten Tagen und Wochen sehr viele Themen hatten, die es schnellstmöglich zu bearbeiten galt. Natürlich lag hier der Fokus darauf, den Service unserer Kunden schnellstmöglich wieder zur Verfügung zu stellen.

    Bezugnehmend auf Ihre Frage kann ich Ihnen sagen: Wir speichern alle Passwörter verschlüsselt.

    Darüber hinaus auch an dieser Stelle nochmal der Hinweis: Bis zum jetzigen Zeitpunkt gibt es noch immer keine Anhaltspunkte, dass Kundendaten beim Angriff abgeflossen sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.