Nein. PW wurde geändert. Absolut keine Chance. Ich gehe davon aus, dass da ein Script über meine Adresse läuft.
Verstehe ich das richtig, dass man es so machen kann, dass die 2FA nur die Admins nutzen, und die Kunden bekommen nichts mit, außer die schauen in ihr Konto und aktivieren es selbst? Die Kunden werden nicht im Shop irgendwo auf diese Funktion sonst hingewiesen? Danke Alex
Kunden haben die Möglichkeit 2FA dann ebenfalls für Ihr Kundenkonto zu aktivieren. Es ist dann als Option im Kundenbereich verfügbar aber es ist kein Muss.
Ich kann weder sagen, ob es damit zusammenhängt, noch ob es überhaupt etwas damit zu tun hat. Ich habe heute in unseren Sicherheitslogs gesehen, dass gestern Abend jemand gezielt verschiedene Bereiche unseres Shops abgefragt bzw. durchsucht hat. Ob das nur ein automatisierter Bot-Scan war oder einen Bezug zu dem Vorfall hat, kann ich derzeit nicht beurteilen. Falls aber IP-Adresse, ASN oder weitere Details benötigt werden zum Abgleich, einfach per PN bei mir melden.
So... die Mails haben aufgehört. Der Shop ist wieder on, 2 Faktor ist für die Admins installiert. Es wurde beim 2. Versuch kein Schaden angerichtet. Wir haben auch das Orange Raven-Skript durchlaufen lassen. Keine Auffälligkeiten. Jetzt warten wir noch auf die Analyse von Gambio selbst. Ticket ist neu geöffnet. Mal sehen, was Till sagt.
Liebe Gambio-Community, danke für die Hinweise und die Rückmeldungen hier im Thread. Wir haben verstanden, dass es hier insbesondere um die Frage geht, ob bestimmte ältere Shopversionen bzw. Patchstände von einem relevanten Sicherheitsproblem betroffen sein könnten. Genau diesen Punkt prüfen wir aktuell. Wichtig zur Einordnung: Uns liegen bisher nur wenige belastbare technische Informationen aus konkreten Fällen vor. In den bisher bekannten Supportfällen konnten die betroffenen Shops entweder bereits durch die Betreiber selbst bereinigt werden oder es fehlen uns noch die notwendigen Details, um die gemeldeten Auffälligkeiten sauber nachvollziehen zu können. Damit wir die Fälle sauber prüfen können, bitten wir betroffene Shopbetreiber, ein Support-Ticket mit möglichst konkreten Informationen zu erstellen, insbesondere: eingesetzte Shopversion inkl. Patchstand Zeitpunkt oder Zeitraum der Auffälligkeit betroffene Dateien, Funktionen oder verdächtige Änderungen Server-/Access-Logs Error-Logs Mailserver-Logs, sofern E-Mails über den Shop versendet wurden Hinweise darauf, ob Admin-Login, Passwort-zurücksetzen oder andere Admin-Funktionen betroffen waren Bitte keine sensiblen Logs oder Zugangsdaten öffentlich posten, sondern über ein Support-Ticket einreichen. Wir sammeln die Hinweise zentral und melden uns hier wieder, sobald wir eine belastbare technische Einordnung zu den betroffenen Versionen bzw. Patchständen geben können. Viele Grüße Euer Gambio-Team
Auch wenn es nur am Rande zum eigentlichen Thema gehört: Da hier zu Recht wieder über 2FA gesprochen wird, möchte ich kurz unsere Erfahrung schildern. Wir haben die 2FA für Admins schon seit längerer Zeit aktiv. Seitdem ist der Support für uns allerdings de facto kaum noch nutzbar, weil Gambio nicht mehr in den Shop kommt. Wir wurden gebeten, die 2FA auszuschalten. Das ist für uns jedoch keine Option. Von anderen Shop-Betreibern haben wir wiederum gehört, dass Gambio trotz aktivierter 2FA ins Admin kommt. Genau das irritiert etwas: Widerspricht das nicht eigentlich dem Grundgedanken einer 2FA? Wenn ein externer Zugriff trotz aktivierter Zwei-Faktor-Authentifizierung möglich ist? Zumindest erklärungsbedürftig, wie das technisch und sicherheitstechnisch sauber gelöst wird.
Wenn man einen eigenen Admin-Account für Gambio hat, bei welchem 2FA nicht aktiviert ist, kann Gambio ja ganz normal rein in den Admin, oder?
Und dann hast du die Tür ja wieder offen, Katze und Schwanz, es ist doch egal welcher Admin eine MFA hinterlegt hat. Einer reicht um rein zu kommen. @heller-handmade ja die Erfahrung habe ich auch gemacht. Der Gambio Support hat eine Hintertür. Da Handmade mich darauf hingewiesen hat, wie sieht es denn mit der MFA Sicherheit im Forum aus wo im KundenPortal alle Zugangsdaten liegen (wer Sie hinterlegt hat)? Hier gibt es keine und das ist doch genauso ein Einfallstor.
Was mir an der 2FA Lösung enorm stört, das hier Daten an Google übergeben werden müssen. Aus meiner Erfahrung machen es US Konzerne nie Publik, wenn eine Sicherheitslücke bekannt wurde und Daten abgegriffen wurden. Warum das ganze nicht über eine separate Mailadresse laufen lassen? https://www.open-circle.ch/googles-...cher-ist-sie-und-welche-alternativen-gibt-es/ Ich könnte zwar die Haustür abschließen aber die Terrassentür offen lassen. Übrigens die 2 Einbrüche bei uns im Haus gingen nie über die damalige alte Haustür sondern immer über ein Fenster.
Bezüglich Gambio-Support handhaben wir es so, dass wir einen separaten User für Gambio haben, der aber erstmal normaler Kunde und kein Admin ist. Für den User ist kein 2FA aktiviert und wenn ich Support benötige, ändere ich den Gambio-User zum Admin und weise ihm Berechtigungen zu. Eine denkbare Alternative wäre den Gambio-User als Admin zu lassen, aber mit 2FA und wenn man Support benötigt über FTP den Eintrag für diesen User in cache/2fa/ zu löschen und damit das 2FA für diesen User zu deaktivieren. Ob das praktikabel ist, hängt natürlich ein bisschen davon ab, wie oft man Support benötigt.
ja leider gibt es keine absolute Sicherheit. Ein Server ist nur dann Sicher, wenn er ohne Strom ist. Dank KI werden die Einschläge nun auch häufiger und für Hacker einfacher. Waren früher die dubiosen Abfragen in Sekunden geht das heute im Bereich Millisekunden.
Wenn man Account für Dienstleister hat, und die man derzeit nicht braucht, ist es sinnvoller: - Den Account auf Admin-Rechte zu lassen, aber alle Berechtigungen entfernen oder - Das Konto von Admin auf Nicht-Admin umstellen?
Da wir eher Selten einen Fremdzugriff brauchen, (Gambio letztmalig 2023) verschieben wir den Account in "Bestandskunde" und löschen die eingerichtet ftp Zugänge. Bei Bedarf muss ich das zwar wieder alles einrichten, aber die Speicherung der Daten auf fremden Servern versuchen wir zu verhindern. Nicht dass wir Gambio misstrauen, aber wie gehabt, kein Server ist wirklich sicher. Auch aus diesem Grund verbinden wir uns nicht mit dem HUB.
Kurzes Update. Heute in der Nacht, kurz nach 1 Uhr wurde wieder versucht, das PW zurückzusetzen. Erfolglos. Die Maßnahmen haben gegriffen. Keine Veränderungen auf dem Server, kein zurückgesetztes PW, kein falscher Checkout und keine Auffälligkeiten bei den Logs.