You can also read the English version of this article.

Letztes Update: 3. August 2022

Wir untersuchen ein Datenleck bei ActiveCampaign, einem gehosteten Dienst, den wir für Marketing-E-Mails genutzt haben. Heute haben wir eine einzige E-Mail an alle betroffenen E-Mail-Adressen geschickt, um sie zu informieren.

Bitte beachte, dass deine Bitcoin und andere Kryptowährungen sicher sind. Dieser Vorfall hat nichts mit der BitBox02 und der BitBoxApp zu tun. Du musst nichts unternehmen, außer dich vor verdächtigen E-Mails in Acht zu nehmen. Bitte lies weiter für mehr Details.

Gib niemals Informationen wie dein Wallet-Backup oder Wiederherstellungswörter an andere weiter. Im Zweifelsfall wende dich bitte an unseren Support unter support@shiftcrypto.ch.

Was passiert ist

Vor ein paar Tagen entdeckten wir, dass unser ActiveCampaign-Konto gesperrt wurde und setzten uns sofort mit dem Support in Verbindung, um den Grund dafür zu erfahren. Das ActiveCampaign Sicherheitsteam teilte uns mit, dass eine nicht autorisierte Person E-Mail-Listen heruntergeladen hat, obwohl wir explizit die umfangreichen Sicherheitsmaßnahmen inklusive globaler 2-Faktor-Authentifizierung von ActiveCampaign nutzen. Trotz unserem Drängen auf weitere Informationen hat ActiveCampaign uns bisher keine Antworten auf grundlegende Fragen geliefert.

Wir gehen davon aus, dass es Versuche geben wird, unsere Newsletter-Abonnenten zu kontaktieren. Heute haben wir Berichte über Phishing-E-Mails erhalten, die wahrscheinlich mit diesem ActiveCampaign-Datenleck in Verbindung stehen. Wir möchten die Situation transparent darstellen und auf grundlegende Sicherheitsvorkehrungen hinweisen.

Was NICHT betroffen ist

Dieses Datenleck enthält nur minimale Kontaktinformationen, wodurch folgendes nicht betroffen ist:

  • Dieser Vorfall hat nichts mit der BitBox02 und der BitBoxApp zu tun. Deine Coins auf der BitBox02 sind sicher. Du hältst deine Schlüssel und du allein kontrollierst deine Coins.
  • Die persönlichen Daten, die für den Versand deiner Bestellung benötigt werden, wurden nicht in ActiveCampaign gespeichert.

Ein Vorfall wie dieser ist der Grund, warum wir den BitBox Shop selbst hosten und persönliche Daten nach 30 Tagen anonymisieren.

Diese Daten sind betroffen

Dieses Datenleck enthält minimale Kontaktinformationen von aktiven Kontakten, die unseren Newsletter abonniert haben oder in den letzten 30 Tage eine Bestellung aufgegeben haben:

  • Name oder Alias
  • E-Mail Adresse
  • IP-Adresse deines Computers (z.B. 36.172.17.116)

Um Follow-up-E-Mails an Kunden zu senden, speichert ActiveCampaign vorübergehend Transaktionsdaten, z. B. die Sprachauswahl im Shop, die Bestellnummer und den Bestellstatus (z. B. "fulfilled"), die ebenfalls von dem Datenleck betroffen waren. Solche Transaktionsdaten werden innerhalb von 30 Tagen aus ActiveCampaign gelöscht.

Für eine kleine Anzahl von manuell hinzugefügten Geschäftspartnern, wie z.B. Reseller, wurden zusätzliche Kontaktinformationen in ActiveCampaign gespeichert.

Was sollte ich tun, um sicher zu sein?

Praktisch gesehen musst du nichts unternehmen. Deine BitBox02 ist sicher und es besteht kein Handlungsbedarf. Wir wenden uns an unsere Nutzer und Abonnenten, um dich auf die Situation aufmerksam zu machen. Betrüger, die in den Besitz deiner E-Mail-Adresse kommen, könnten versuchen, dich mittels Phishing dazu zu bringen, sensible Daten preiszugeben.

Wir betonen immer wieder, wie wichtig es ist, bei allen Nachrichten, die du per E-Mail oder über soziale Medien erhältst, vorsichtig zu sein. Wie immer solltest du es vermeiden, auf verdächtige Links zu klicken, und NIEMALS deine Wiederherstellungswörter mit jemandem zu teilen oder sie in ein anderes Gerät als die BitBox02 eingeben. Das Gleiche gilt für dein Wallet-Backup auf der microSD-Karte: Stecke sie nie in ein anderes Gerät als die BitBox02.

Die Daten aus unserer E-Mail-Liste könnten in Zukunft für Phishing verwendet werden. Jemand, der sich als uns oder eine vertrauenswürdige Partei ausgibt, könnte dich auffordern, etwas Schädliches zu tun.

  • Gib niemals deine Wiederherstellungswörter oder die Sicherungsdatei deiner Wallet an andere weiter.
    Ein Angreifer könnte dich nach deinen Wiederherstellungswörtern fragen, um deine BitBox zu "reaktivieren" oder "freizuschalten", oder um zu “überprüfen”, ob dein Geld sicher ist, um deine Coins zu stehlen. Gib deine Wiederherstellungswörter niemals auf etwas anderem als der BitBox02 ein.
  • Stecke deine microSD-Karte nur in die BitBox02.
    Ein Angreifer oder eine Software könnte dich auffordern, das Backup deiner microSD-Karte einzustecken, um zu prüfen, ob dein Geld "sicher" ist, um dann deine Coins zu stehlen.
  • Gib keine persönlichen Informationen weiter.
    Jemand, der sich als "Support" ausgibt, könnte dich bitten, persönliche Daten preiszugeben, um etwas zu "validieren".
  • Tätige keine Überweisung von Kryptowährungen oder Banktransfer, nur weil jemand danach fragt.
    Ein Betrüger könnte dich unter falschem Vorwand auffordern, Geld zu überweisen, z.B. mit dem Versprechen, in Zukunft mehr Geld zurück zu schicken
  • Aktualisiere die BitBoxApp nicht gerade jetzt.
    Ein Angreifer könnte vorgeben, dass du die BitBoxApp aus "Sicherheitsgründen" aktualisieren musst, und dir einen bösartigen Link zu einer gefälschten Version anbieten. Die neueste BitBoxApp ist die Version 4.34.0, die am 20. Juni 2022 veröffentlicht wurde, und im Moment ist keine neue Version verfügbar.

Wir werden dich niemals nach persönlichen Daten, Details zu deinem Geld, einem Wallet-Backup oder Wiederherstellungswörtern fragen. Falls du so etwas siehst: Tu nichts und melde es als "Spam" oder "Phishing" bei deinem E-Mail-Anbieter. Bei spezifischen Fragen wende dich an unser Support-Team unter support@shiftcrypto.ch.

Was nun?

Wir haben eine einzige E-Mail an alle von dem ActiveCampaign-Vorfall betroffenen E-Mail-Adressen geschickt, um sie zu benachrichtigen und sie vor möglichen Phishing-Versuchen zu warnen.

Wir werden keine weiteren Marketing-E-Mails, wie unsere regelmäßigen BitBox News oder spezielle E-Mail-Serien, versenden, bis wir den Vorfall mit ActiveCampaign als gelöst betrachten.

Wir werden die Nutzer/innen über die folgenden Kanäle über die Situation auf dem Laufenden halten:

Als Schweizer Unternehmen ist der Datenschutz einer unserer wichtigsten Werte. Wir achten sehr darauf, nur die Daten zu sammeln, die wir brauchen, und sind dabei transparent. Wann immer möglich, hosten wir unsere Dienste selbst und löschen alle sensiblen Daten oder anonymisieren diese so schnell wie möglich.

Wir entschuldigen uns aufrichtig bei unseren Nutzern und Abonnenten. Die Daten, die wir mit ActiveCampaign geteilt haben, wurden absichtlich auf das notwendige Minimum beschränkt. Dennoch sind wir uns bewusst, dass die Verletzung deiner Datenhoheit niemals akzeptabel ist und nicht unseren Standards und Werten entspricht.

Wir nehmen den Schutz deiner Daten sehr ernst und dieser Vorfall wird uns nur darin bestärken, uns zu verbessern, Partner auszuwählen, bei denen Sicherheit und Datenschutz oberste Priorität haben, und unsere internen Prozesse regelmäßig zu überprüfen.

Bitte zögere nicht, uns unter support@shiftcrypto.ch zu kontaktieren, falls du Fragen hast.


Häufig gestellte Fragen

Dieser Abschnitt wurde am 26. Juli hinzugefügt und am 3. August aktualisiert. Er beantwortet wiederkehrende Fragen, die wir via Support und über soziale Medien erhalten haben.

Warum verschickt ihr Marketing-E-Mails?

Was wir als "Marketing-E-Mails" bezeichnen, ist eine kontinuierliche Kommunikation mit an BitBox Interessierten. Diese E-Mails können freiwillig abonniert werden und haben verschiedene Ausprägungen:

  • Knowhow: Grundlagenwissen über Bitcoin- und Hardware-Wallets, Anleitungen zur Einrichtung und Nutzung der BitBox, neue Blog-Artikel
  • Updates: Benachrichtigungen über Produktneuheiten, Spezialangebote und Software-Updates
  • Sicherheit: Bei sicherheitskritischen Vorfällen informieren wir bestehende Nutzer

Wir glauben, dass Bildung ein wesentlicher Bestandteil von Sicherheit ist. Diese (optionalen) E-Mails helfen vielen Nutzern, Bitcoin und dessen Sicherung besser zu verstehen, damit sie ihr Geld sicher verwahren können.

Warum nutzt ihr einen externen Dienst, um diese E-Mails zu versenden?

Wir hosten sensible Dienste wenn möglich selbst. Deshalb nutzen wir keine externen Dienste, um unseren Webshop oder den Kundensupport zu hosten. Diese Applikationen senden und empfangen E-Mails über externe E-Mail-Server, aber eingehende E-Mails werden gelöscht, sobald sie vom Supportsystem abgeholt werden, und die dauerhafte Speicherung ist für alle ausgehenden E-Mails vollständig deaktiviert.

Aber selbst für diese Dienste ist es eine Herausforderung, E-Mails zuverlässig zu versenden. Manchmal bekommen wir Rückmeldungen, dass Kunden keine Bestellbestätigung oder keine Antwort vom Kundendienst erhalten. Wenn wir dem nachgehen, liegt es meist daran, dass einige Internetdienstanbieter (ISP) unseren E-Mail-Server auf eine schwarze Liste gesetzt haben. Es gibt keine Möglichkeit, das zu verhindern, weil wir das nicht selbst feststellen können und es nur begrenzte Möglichkeiten gibt, dagegen vorzugehen.

Das folgende Zitat aus einem Online-Artikel spiegelt unsere Erfahrung wider:

Wenn du versuchst, Massen-E-Mails von deinem eigenen E-Mail-Programm aus zu versenden, wird diese Aktivität wahrscheinlich als verdächtig eingestuft und du wirst als Spammer markiert. Sobald du als Spammer identifiziert bist, können alle E-Mails, die von der Webdomain deines Unternehmens kommen, auf eine schwarze Liste gesetzt und von den großen Internetdienstanbietern (ISPs) blockiert werden. Das bedeutet, dass die E-Mails deines Unternehmens - sogar die einzelnen Nachrichten, die du zur Kommunikation mit Kunden versendest - blockiert werden können.

Der zuverlässige und effiziente Versand von E-Mails an eine große Zahl von Empfängern erfordert viel Know-how und spezielle Technologie. Das können wir intern nicht leisten.

Was ist der aktuelle Stand des ActiveCampaign-Datenlecks?

ActiveCampaign hat zur Klärung des Vorfalls eine Cybersecurity-Firma engagiert und die Strafverfolgungsbehörden eingeschaltet. Wir warten allerdings immer noch darauf, dass uns das Sicherheitsteam von ActiveCampaign grundlegende Fragen beantwortet.

Wir beobachten die Situation genau und werden dich bei Bedarf weiter auf dem Laufenden halten. Wir haben ActiveCampaign gebeten, alle E-Mail-Aktivitäten auszusetzen, einschließlich automatisierter E-Mail-Serien wie z.B. das BitBox-Einführungs-Tutorial.