Gestern abend versandte das Team von DriveThruRPG.com eine Warnmeldung an alle ihre Kunden, die bei DriveThruRPG, dem führenden Online Shop für Rollenspiele und -zubehör, insbesondere im PDF Format, Käufe per Kreditkarte absolviert haben. Im Zeitraum zwischen dem 6. Juli und 6. August 2015 war es Angreifern möglich die bei der Transaktion eingegebenen Kreditkartendaten abzufangen. Nach Angaben der Spezialisten gibt es eine 50% Chance, dass das Abgreifen erfolgreich war. Auch Usernamen und E-Mail Adressen könnten nach den Informationen des Betreibers ausgelesen worden sein.

Kennwörter sind bei DriveThru ausreichend gesichert gewesen, so dass diese nicht kompromittiert wurden und eine Änderung nicht zwingend erforderlich ist. Wer seine Artikel via PayPal oder Banklastschrift bezahlt hat, war davon nicht betroffen.

Die Empfehlung von DriveThruRPG ist nun dahingehend, dass betroffene Kunden idealerweise die Kreditkarte über das ausgebende Institut austauschen lassen um einen Missbrauch der Daten zu vermeiden.

Da der Shop auch über andere, ähnlich klingende Webseiten auch Comics, Bücher, Kartenspiele, etc. verkauft, gehe ich davon aus, dass auch DriveThruComics, DriveThruFiction, DriveThruCards, WargameVault und RPGNow davon betroffen waren. Ebenfalls damit der PDF Shop von Pegasus, Ulisses, Feder&Schwert und vieler anderer deutschsprachiger Verlage. Potenzielle Kunden sollten hier ihre E-Mails überprüfen oder mit den Betreibern direkt in Kontakt treten.

Die Webseiten von DriveThruRPG wurden hinsichtlich dieser Sicherheitslücke zwischenzeitlich abgesichert.

Weitergehende Informationen stellen die Betreiber von DriveThruRPG.com auf ihren Webseiten und auf Facebook in englischer Sprache bereit.