Mindat Passwort/Kennwort-Leck

[Stefan]

Hallo,

ich habe einen check meiner E-Mail Adresse durchgeführt um zu sehen wo meine E-Mailadresse schon überall als kompromitiert aufgeführt wird. Das heißt meine Passwörter oder Passwort-Hashes bereits öffentlich wurden. Dabei ist mir Mindat ins Auge gefallen. Das Leck scheint schon von 2018 zu sein. Leider wurde ich von Mindat nie darüber informiert. Ich kann nur jedem raten sein Passwort dort zu ändern. Mit der Kommunikation scheint es was die Sicherheit angeht nicht so weit her zu sein.

Es kann trotz aller Sicherheitsmaßnahmen zu so einem Vorfall kommen. Die User nicht zu informieren finde ich allerdings sehr bedenklich.

Hier könnt Ihr selber Eure Kennung prüfen.
https://sec.hpi.de/ilc/
Das Ergebnis bekommt ihr per E-Mail an die geprüfte Adresse zugestellt.

Viele Grüße
Stefan

[skibbo]

Selbes bei mir. Ebenfalls aus dem Juni 2018.

[Stefan]

2023 hat es wohl noch einen Fall gegeben.
https://www.mindat.org/mesg-620550.html

Aktive Informationspolitik sieht anders aus auch wenn die Nachricht öffentlich sichtbar ist.

[grille]

Lieber Stefan,
da werden noch viele Meldungen kommen. Ich war 2018 auch dabei.
Glück auf,
Johann

[Stefan]

Falls jemand für Mindat und Mineralienatlas die selben Passwörter benutzt, sollte er sie bei uns auch ändern.

[Uwe Kolitsch]

Hi Stefan,
du hast vielleicht den Satz
"We will shortly be emailing the entire mindat userbase to explain this."
überlesen.

Dass bereits am Morgen nach dem Hack die User in Jolyon's Posting ausführlich informiert wurden, ist in meinen Augen lobenswerte Informationspolitik.

[Stefan]

Na dann warten wir mal auf die Mail. Nach über einem Jahr wäre es dann doch mal an der Zeit, dass sie versendet wird. Evtl. kommt die aus 2018 ja dann auch noch. 

Vorbildlich ist das ganz sicher nicht!

[guefz]

Ich würde sagen weder vorbildlich noch vollständig rechtskonform. Da die Dienste von mindat auch in der EU angeboten werden, bestehen Informationspflichten zumindestens für die User aus der EU. Aber Emails haben bei mindat bisher eh kaum funktioniert...

[vandendrieschen]

Wie schon mal geschrieben Mindat ist voll 80er. Uninutiv in der Bedienung und optisch völlig aus der Zeit gefallen. Da wundern mich die veralteten Sicherheitsstandards auch nicht.

[Stefan]

Es sollte jetzt kein Anti-Mindat-Thread werden. Das steht uns nicht zu. Mindat hat seine Stärken und die Jungs machen insgesamt schon einen guten Job. Informationspolitik gehört leider nicht dazu. Was die Optik und Handhabung angeht, dass muss jeder für sich entscheiden.

Mir geht und ging es darum die Leute über die nötige Passwortänderung (evtl. auch bei uns) zu informieren. Zudem bin ich verärgert, dass mich niemand darüber informiert und gewarnt hat, dass meine Daten abgewandert sind.

[marc-r]

Meines Wissens gab es bis Ende 2023 keine generelle Verpflichtung in den USA, von einem Datenleck betroffene Nutzer zu informieren.
Eine gesetzliche Grundlage bestand wohl bis dahin nur für staatliche (state & federal) Organisation, Gesundheits- und Bankenwesen.

Sofern ich jetzt nicht total falsch informiert bin, gab es somit weder 2018 noch beim Leck 2023 ein "Fehlverhalten" ...

aber - ich nix Anwalt, schon gar nicht Spezialist für das teilw. kuriose US-Recht

Grüße
Marc

[Stefan]

Marc, Du meinst vermutlich kein gesetzlich ahndbares Verhalten 
Ein Fehlverhalten und damit ein einhergehender Vertrauensbruch muss nicht gesetzlich ahnbar sein, bleibt aber ein Fehlverhalten.
Sers Stefan

[vandendrieschen]

Ich denke Mindat ist ein britischer Baukasten?

[guefz]

Der Server steht wohl in UK, der Träger ist aber eine US-Stiftung und daher letztlich für alles verantwortlich.

[Stefan]

Oder der China Ableger, so ganz sicher bin ich mir bei den Verflechtungen nicht wer wo und wann für eine Sicherheitslücke verantwortlich zeichnet. Reichlich intransparent das Konstrukt.