Nachlese: Save.tv/UseNeXT.de nach Hack wieder online

[English]Der Anbieter SAVE.TV ist nach einem Hack seit einigen Tagen wieder mit seinem Dienst online. Das Gleiche gilt für den Dienst UseNeXT.de. Ich hatte das Thema bei mir auf Wiedervorlage, um eventuell Informationen nachzutragen oder offen zu legen.


Anzeige

Save.tv/UseNeXT.de-Hack und der Shutdown

Ende April 2020 wurde der Dienst SAVE.TV abgeschaltet. SAVE.TV ist ein Dienst, der als Online-Recorder für TV-Sendungen fungiert und diese in der Cloud speichert. Zum gleichen Zeitpunkt passierte der Shutdown beim Dienst UseNeXT.de, der den Zugriff auf das usenet ermöglicht. Auf Grund von Lesermails war schnell klar, dass es ein Hackerangriff war, der die Betreiber zum Shutdown dieser Dienste zwang.

safe.tv Hack
(Quelle: heise, Zum Vergrößern klicken)

Das wurde dann auch einige Zeit später auf den Webseiten der Dienste kommuniziert. Wer sich für die Details interessiert, findet das in meinem Blog-Beitrag Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt sowie in meinem heise-Beitrag hier beleuchtet.

Save.tv/UseNeXT.de wieder zurück

Vor einigen Tagen kam mir dann die Information unter die Augen (Quelle habe ich vergessen), dass der Dienst des Anbieters save.tv wieder verfügbar sei. Ich habe dann nachgeschaut, sowohl die URL save.tv als auch usenext.de sind wieder per Internet erreichbar.

save.tv Passwort-Änderung

Nach dem Hack empfahlen beide Anbieter den Nutzern, ihre Kennwörter für die Konten zurückzusetzen. Save.tv bietet dazu folgendes Formular an, in dem der Benutzername oder die Kundennummer anzugeben sind.

save.tv Passwort-Änderung


Anzeige

Der Grund: Es konnte nicht ausgeschlossen werden, dass Nutzer-, Anmelde- und Zahlungsdaten abgeflossen waren. Auf den erneut verfügbaren Seiten beider Anbieter findet sich daher, neben dem Eintrag ‘Wichtige Informationen zu Ihrem xxxx Account’, auch eine Schaltfläche zum Zurücksetzen des Passworts, welches dann das obige Formular anzeigt.

Ergänzung: Beachtet die Kommentare weiter unten, dass bei save.tv die Funktionalität und der Betrieb wohl arg eingeschränkt zu sein scheinen.

Hintergrundinformationen zum Hack

Durch die Berichterstattung bei mir im Blog sowie bei heise war mir bekannt, dass der eigentliche Hack beim Dienstleister Omniga passierte. Ich hatte im Blog-Beitrag Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt auch berichtet, dass wohl ein Zugriff über einen VPN-Zugang das Einfalltor gewesen sei.

Zudem wurde mir von Omniga berichtet, dass unklar sei, ob überhaupt Daten abgeflossen seien. Die Datenschutzaufsicht ist nach Auskunft des Anbieters zeitnah informiert worden und ein Forensik-Team hatte die Ermittlungen aufgenommen. Vermutungen von Lesern, dass Passwörter von save.tv im Klartext gespeichert wurden, hat Omniga klar verneint.

Ragnar Locker im Einsatz

Allerdings hatte ich bei mir den Vorgang auf Wiedervorlage gelegt. Die Tage sind mir dann Insight-Informationen von Sicherheitsforschern zugespielt worden. Mittlerweise weiß ich, dass Dateien durch Ragnar Locker verschlüsselt wurden. Dort kommt die Ransomware über eine Virtualbox VM, um einer Entdeckung zu entgehen. Die Ransomware-Gruppe hat zudem Daten abgezogen und versuchte das Unternehmen mit der Offenlegung zu erpressen. Da keine Zahlung erfolgte, wurden Daten veröffentlicht.

Nur Omniga-Kunden betroffen

Auf konkrete Nachfrage bezüglich dieses Sachverhalts teilte eine Omniga-Sprecherin des Unternehmens unter Bezug auf einen nunmehr vorliegenden Forensik-Bericht mit, ‘dass davon ausgegangen werden kann, dass sich die betroffenen Datenarten auf Emails, Vertragsunterlagen und Dokumente in Verwaltungsverzeichnissen [der Omniga] beschränken, jedoch keine Datenbankexporte beinhalten’. Das Unternehmen gibt an, dass ‘Nach bis heute andauerndem Kenntnisstand keine sensiblen Kundendaten entwendet wurden, weder aus den kundenspezifischen Verzeichnissen noch aus den von den einzelnen Shops verwendeten Technologien.’

Das heißt für mich im Klartext, dass keine Benutzerdaten von Endkunden der Anbieter Save.TV, UseNeXT.de etc. abgegriffen wurden. Mit diesen Endkunden steht Omniga meines Wissens nach auch in keinem Vertragsverhältnis.

Trotzdem genügend Flurschaden

Die obigen Aussagen kann ich mangels ausreichender Ressourcen nicht umfassend verifizieren. Ein Verzeichnis-Dump deckt sich mit den obigen Angaben der Forensiker. Informationen, die ich über Sicherheitsforscher einsehen konnte, scheinen zu belegen, dass Daten von Omniga-Kunden – also Vertragspartner dieses Dienstleisters – (samt Bankdaten) abgeflossen sind. Zudem wurde der Inhalt eines KeePass-Speichers samt dessen sehr einfach gestricktem Master-Passwort als Screenshot veröffentlicht. Die Angreifer hatten also Zugriff auf alle dort gespeicherten Konten, samt Kennwörtern. Und die Angreifer scheinen sich nach von mir einsehbaren Screenshots auch im Active Directory umgesehen zu haben. Allerdings gehe ich davon aus, dass längst nicht alle Daten veröffentlicht wurden. Der Flurschaden erscheint mir schon substantiell – Omniga war als Unternehmen aber so klug, nicht zu zahlen, auch auf die Gefahr hin, dass Daten veröffentlicht werden. Denn das Risiko, dass trotz Zahlung Daten weitergereicht oder plötzlich ‘Nachforderungen’ kommen, besteht, wie Fälle in der näheren Vergangenheit zeigen.

Ähnliche Artikel:
Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt
Österreich: IT der Stadt Weiz mit Ransomware infiziert?
Achtung Mal-/Ransomware: Infiziertes Cookie-Consent-Logo
Revil Ransomware-Hacker veröffentlichen erste Trump-Files
Ransomware-Angriff auf Magellan Health
Clop Ransomware bei Technische Werke Ludwigshafen
Neues zum Ransomware-Angriff auf Ludwigshafener Versorger
Sicherheitsvorfall bei Webseite der Santander-Bank in Belgien
Ransomware bei Diebold Nixdorf
Anatomie eines (Maze-)Ransomware-Angriffs
Sicherheitsvorfall: Mercedes OLU-Software abgreifbar
Fresenius vermutlich Opfer eines Snake-Ransomware-Angriffs
Ruhr-Universität Bochum: Hack war ein Ransomware-Befall


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Nachlese: Save.tv/UseNeXT.de nach Hack wieder online


  1. Anzeige
  2. chriscrosser sagt:

    …bei save.tv funktioniert gerade fast gar nix mehr!
    sogenannte schnittlisten von filmen werden nicht mehr “geschnitten”
    man muss die jedesmal per email anschreiben… (damit die das manuell machen sollen)

    dort wurde wohl ein richtig heftiger “hack” durchgezogen,
    da die momentan nach wie vor probleme in ihrem system haben,
    werde ich mich vermutlich dort demächst verabschieden…!

  3. Giftpilz sagt:

    Stimmt, dort funktioniert scheinbar gar nichts mehr. Habe letzte Woche 2 Supportanfragen gestellt. Keine Antwort. Da weiß man ja schon, was von diesem Dienst zu halten ist.

  4. Anzeige

  5. Fred59 sagt:

    War lange Zeit bei UseNeXT. Bis vor einer Woche kämpfte ich um meinen Zugang, Problem war die Passwortändrung. Ich erhielt einfach keinen Zugang mehr. Letztendlich erfolgte meinerseits die Kündigung. Anscheinend gab es auch hier arge Schwierigkeiten. Unverständlich ist nur, dass man alte Bestandskunden einfach so im Regen stehen lässt.

  6. Dirk sagt:

    Es wäre so langsam mal an der Zeit, dass wirkliche Tatsachen veröffentlicht werden.
    1. Die Informationspolitik von Save TV
    Hier hat der Anbiert sage und schreibe 3 Mails mit Durchhalteparolen an die Kunden gesendet. Seit dem 19.5.2020 – Zeitpunkt der letzten Stellungnahme auf Facebook – ist nichts mehr zu hören oder lesen. Mails werden nicht beantwortet etc. Stille im Teich.
    2. Wieder zurück?
    Vermutlich ist das Abbuchen der Gelder gemeint.
    Fakt ist, ein Großteil der Aufnahmen sind weg. Wer Serien sammeln wollte, steht auf dem Schlauch. Der Downloadmanager macht nur noch Ärger. Jeder zweite Schnitt (Teil des Angebotes, Werbefreie Schnitte zu offerieren) ist schlicht falsch. Anfang weg, Ende weg. Da die meisten Filme wiederholt werden, macht es einen sofort stutzig, wenn zwei völlig unterschiedliche Dateigrößen entstehen. Ergo, jeden Film, vor dem Löschen aus dem Downloadarchiv prüfen.
    Das hat nichts mehr mit dem Hack zu tun. Das ist schlicht schlampig.
    Ferner bricht der Download alle Nase lang ab.
    Mit Windows lohnt es sich, den Task vollkommen zu schließen und neu zu starten. Teilweise geht es dann.

    Interessanter weise werden Mails zwar gelesen, aber gesendet an Support@save.tv kommt die Lesebestätigung von:

    An: Aconimport Save.TV
    Betreff: Downloadabbrüche – Regressvorbehalt
    Gesendet: Montag, 25. Mai 2020 10:15:05 (UTC+00:00) Monrovia, Reykjavik”

    Kündigungen werden weder bestätigt noch in irgendeiner Weise reagiert.

    Wer dunkle Gedanken hegt, könnte meinen, dass man irgendwas zu verbergen hat.

    Gesamt….. Save TV ist noch lange nicht zurück. Und das liegt definitiv nicht am Hack.
    Service kann dennoch stattfinden. Lt Facebook gibt es immer noch Kunden, die sich nicht mehr einloggen können.

    Es wäre schon spannend, wenn sich hier mal jemand wirklich keinen Sand in die Augen reiben lässt und mal investigativ nachforscht. Alleine schon, da andere Geschäfte des GmbH Inhabers, auch auf dem Server gehostet werden und laufen.

    • Günter Born sagt:

      Ich denke, Du überschätzt die Möglichkeiten eines Blogger ‘investigativ nachzuforschen’. Von Omniga habe ich Infos der Geschäftsführung und Teil-Infos, was geleaked wurde.

      Das Geschäftsmodell von Save.TV ist eine andere Baustelle. Möglicherweise sieht ja ein Tippgeber den Thread/Kommentar hier und lässt mich eine Information zukommen.

      Auch Leser können sich mit konkreten Hinweisen hier melden. Da ich nie einen Account bei denen hatte und auch keinen haben werde, kann ich eh nicht viel verifizieren. Also irgend etwas konkretes brauche ich, um zumindest ein U-Boot als Artikel – dies und jenes geht nicht bei Save.TV – zu publizieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.