phpBB.de

Hallo zusammen,

heute haben wir leider weniger erfreuliche Nachrichten für euch. Gestern wurde ein gezielter Angriff auf phpBB.de gefahren. Wir müssen derzeit davon ausgehen, dass durch diesen Angriff die Benutzerdaten (Benutzername, E-Mail-Adresse und MD5-Hash des Passworts) der auf phpBB.de registrierten Benutzer offengelegt wurden. In wie weit diese Daten missbräuchlich verwendet wurden/werden, ist uns derzeit nicht bekannt - allerdings kann nicht ausgeschlossen werden, dass diese Daten missbräuchlich verwendet werden.

Ihr solltet daher davon ausgehen, dass eure oben genannten Daten öffentlich sind und insbesondere das Passwort ändern. Denkt bitte auch an die Stellen, an denen ihr das gleiche Passwort verwendet und insbesondere den betroffenen E-Mail-Account. Durch einen Brute-Force-Angriff ist es möglich, dass euer Passwort entschlüsselt wird / wurde.

Ein Strafantrag wurde gestellt. Weitere Informationen werden wir zu gegebener Zeit an dieser Stelle veröffentlichen.

Wir möchten uns bei euch für die entstandenen und entstehenden Umstände vielmals entschuldigen. Ihr könnt euch sicher sein, dass uns diese Situation extrem peinlich ist. Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.

Viele Grüße,

euer phpBB.de-Team

[ externes Bild ] Kommentare zu dieser Ankündigung sind im Diskussionsthema willkommen.

Kleine Ergänzung: es handelt sich um kein Problem von phpBB selbst sondern um ein Zusammenspiel von verschiedenen Faktoren.

Hallo zusammen,

danke für eure Geduld. Wir wollen die laufenden Ermittlungen nicht behindern, so dass wir bislang genauere Informationen zum Angriff zurückgehalten haben. Nun aber ein paar Infos mehr:
Der Angriff war bei uns möglich, da es durch einen Programmierfehler (siehe unten) in einem selbst entwickelten Modul möglich war, einen SQL-Befehl einzuschleusen (SQL-Injection) und so Teile der Datenbank auszulesen, die eigentlich nicht ausgelesen werden sollten. Keiner hat den Fehler bei der Entwicklung bemerkt, obwohl dies für mehrere Team-Mitglieder möglich gewesen wäre. Aber in jedem System mit Menschen kommen Fehler vor - oder kurz "shit happens". Den Fehler selbst haben wir wenige Minuten nach der Meldung lokalisiert und beseitigt. Ein paar weitere Maßnahmen werden sicherlich noch folgen. Es ist hier eben wie an der Börse: nach dem Hack ist man schlauer...
Wie man auch dem Bericht auf heise.de entnehmen kann, wurden zeitgleich Angriffe auf andere deutschsprachige Plattformen gefahren. Es ist also von einem systematischen und geplantem Vorgehen auszugehen.

Ansonsten möchten wir uns bei all denen bedanken, die uns in den letzten Tagen entsprechende Hinweise zukommen haben lassen - diese konnten uns schon an einigen Stellen weiterhelfen. Ansonsten sind wir auch weiterhin für alle Hinweise dankbar, die auf den Täter führen könnten.

Viele Grüße,

euer phpBB.de-Team


Was wurde genau ausgenutzt?
In einem Modul wurde gewohnheitsgemäß auf die neueren PHP-Variablen $_GET, etc. zugegriffen. Diese Variablen werden jedoch - im Gegensatz zu den alten Variablen wie $HTTP_GET_VARS - von phpBB 2.0 nicht automatisch mit addslashes() bearbeitet. Der Server selbst hatte magic_quotes_gpc deaktiviert, so dass die Variablen schlichtweg ungeprüft zur Ausführung kamen. Es war also keine Sicherheitslücke in phpBB 2.0 selbst.

Wie kann man das eigene Board sichern?
Die Aktivierung von magic_quotes_gpc schaltet zwar das Sicherheitsrisiko aus, ist allerdings nicht der von PHP empfohlene Weg. Im Wesentlichen müsst ihr sicherstellen, dass ihr innerhalb von phpBB 2.0 keine der $_...-Variablen verwendet. Gleiches gilt für die $HTTP_...-Variablen und phpBB 3.0. Siehe auch http://de3.php.net/manual/en/reserved.variables.php
Ein reines phpBB in der aktuellen Version 2.0.22 bzw. 3.0.0 ist sicher.

Wurden auch andere Boards angegriffen?
Es gibt derzeit keine Informationen, das außer den bekannten Boards weitere vom gleichen Hacker angegriffen wurden. Das bedeutet aber nicht, dass andere Boards vor Angriffen - auch von anderer Seite - sicher sind. Ihr solltet also entsprechende Vorkehrungen treffen, diese regelmäßig prüfen und auf mögliche Anzeichen eines Angriffs achten.