Datenausleitung bei Gameforge

Guckt ma :

Liebe Community,

…Es gab ein Sicherheitsproblem, das schnell und umfänglich behoben werden musste, weswegen alle betroffenen Systeme vorübergehend komplett zugangsgesperrt werden mussten. …

Leider wurden einige Daten durch diesen Zugangspunkt geschleust, jedoch ausschließlich auf Ogame.us und Ogame Origin. Die zugänglichen Daten umfassten E-Mail-Adressen von Benutzern als auch ihre Nicknamen und einige Forensektionen, die nicht öffentlich zugänglich sein sollten.

Quelle: https://forum.runesofmagic.gameforge.com/forum/thread/2543-stellungnahme-zur-foren-downtime/

Kommentar:

Die EU DS GVO läßt grüßen. Emailadressen sind Personenbezogene Daten. Das wird ein Heidenspaß. Da paßt es natürlich ins Bild, daß die Mailserver von Gameforge nicht mal TLS können(hoffentlich „konnten“, aber dafür gibt es noch keinen Beweis).

2018-08-27 XX:XX:XX H=smxgen.gfsrv.net [79.110.86.37] F=<bounce@gfsrv.net> rejected RCPT <xxxxxxxx@xxxxxxxxxxxxxxxxxx>: Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.</xxxxxxxx@xxxxxxxxxxxxxxxxxx></bounce@gfsrv.net>

Unsere Server unterscheiden zwischen „Sender did not use TLS secured connection. Sender benutzte keine TLS gesicherte Verbindung.“ und „Sender did not use TLSv1.2 secured connection. Absender benutzte keine TLSv1.2 gesicherte Verbindung.“

Das kann richtig teurer werden, denn wenn Ihr ein Unternehmen seid, seid Ihr zum Datenschutz verpflichtet und das bedeutet, daß Ihr dem Stand der Technik entsprechend Daten schützen müßt (EU DS GVO Art. 32 Abs. 1a). TLSv1.2 ist damit zwingend notwendig im Mailserver.

Der Art. 32 Abs 1 schränkt zwar ein, daß der Aufwand zumutbar sein und in einem sinnvollen Kosten/Nutzenfaktor stehen soll, aber da man einem aktuellen Mailserversystem aktiv verbieten muß zu verschlüsseln, sind die Implementierungskosten => 0, wenn man aktuelle Software benutzt. ich denke, da happerts bei vielen Firmen gewaltig. „Wieso? Geht doch“ zieht seit der GVO nicht mehr.