Geschätzte Lesezeit: 2 Minuten

Gestern hat der beliebte virtuelle Rollenspieltisch Roll20 bekanntgegeben, dass sie offenbar von einem Datenleck betroffen sind. Die Ursache, also wie Angreifer an die Daten kommen konnten, ist noch nicht bekannt.

Wohl aber der Umfang und Zeitpunkt der entwendeten Daten. So gehen die Betreiber der Seite momentan davon aus, dass die Daten vom 26. Dezember 2018 stammen. Enthalten sind für jeden Benuter Name, E-Mail-Adresse, das gehashte Passwort, Zeitpunkt und IP des letzten Logins, sowie die letzten vier Stellen der Kreditkartennummer, sofern im System hinterlegt. Zahlungen selbst werden über externe Dienstleister abgewickelt, so dass Roll20 selbst keine weiteren Zahlungsdaten benötigte.

Auch wenn, dank hashing und salting mittels bcyrpt die Wahrscheinlichkeit, dass die Angreifer an die tatsächlichen Kennwörter gelangen relativ gering ist, empfiehlt Roll20 korrekterweise eine Änderung des eigenen Kennwortes. Sollte dieses, was ohnehin niemals zu empfehlen ist, nicht nur auf Roll20 benutzt worden sein, sollte man es natürlich auch auf allen anderen Seiten ändern, auf denen es verwendet wurde.

Dass es zu dem Datenverlust kommen konnte ist sicherlich nichts, für das eine Webseite Lob verdient. Wohl aber kann man den Umgang mit persönlichen Daten sowie die Kommunikation von Roll20 an dieser Stelle positiv hervorheben. Nicht nur wurde das Passwort vergleichsweise sicher gespeichert, sondern es wurden auch nur sehr sparsam Daten gesammelt, so dass Angreifer möglichst wenig Nutzen aus den entwendeten Daten ziehen können. Auch die schnelle um gute Information an die Nutzer ist dabei positiv hervorzuheben, liegt sie doch weit vor der Deadline von 72 Stunden, die die DSGVO in einem solchen Fall vorsieht.

Artikelbild: Roll20

1 Kommentar

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein