Meredith Gerber aus dem Supportteam von DriveThruRPG hat auf dem Discordserver der Seite eine Warnung ausgesprochen. Ein Hacker hat vermutlich gestohlene Daten von anderen Websites benutzt, um sich dann bei dem Online-Shop DriveThruRPG, bei DMsGuild oder anderen Seiten von OneBookShelf einzuloggen.
Das heißt, wer dasselbe Passwort auf mehreren Seiten benutzt, ist bei solchen Angriffen möglicherweise gefährdet. Auch wenn Experten schon lange davon abraten, tun dies dennoch viele Menschen, der Einfachheit halber. So entsteht überhaupt erst die Möglichkeit für solche Datenmissbräuche.
Dem Hacker ist es gelungen, Einnahmen von Nutzerkonten per PayPal auf sein eigenes PayPal-Konto zu überweisen. Die betroffenen Personen sollten mittlerweile eine E-Mail von DriveThruRPG erhalten haben. Das verlorene Geld erstattet OneBookShelf zurück. Wer keine E-Mail erhalten hat, ist nicht betroffen. Aus Sicherheitsgründen ist die Auszahlungsfunktion zusätzlich derzeit gesperrt.
DriveThruRPG selbst hat keine Hinweise darauf gefunden, dass ihre eigenen Datenbankserver kompromittiert wurden. Es wird vermutet, dass der Hacker Kombinationen aus E-Mail und Passwort einfach ausprobiert hat.
Und jetzt?
Wer einen Account bei DriveThruRPG oder anderen betroffenen Seiten hat, sollte unbedingt sein Passwort ändern. Es ist generell empfehlenswert, nicht überall das gleiche Passwort zu verwenden. Wer Probleme hat, sich mehrere Passwörter zu merken, kann auf einen Passwort-Manager zurückgreifen, beispielsweise auf KeePass. Wenn man nun der ganzen Technik nicht traut, tut es vielleicht auch ein altmodischer Zettel, den man wegsperrt oder sonst irgendwo sicher verwahrt.
Etwas ähnliches ist Anfang des Jahres schon einmal bei Roll20 passiert. Wir berichteten für euch und die Tipps von damals gelten selbstverständlich auch heute noch. Also schaut einfach mal rein und überlegt, wie ihr eure eigene Datensicherheit erhöhen könnt.