Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

tanmar · Beitrag von **tanmar** » 04.02.2008 19:16

Wäre natürlich interessant zu wissen, was denn nun die

verschiedenen Faktoren

gewesen sind.

Denke es wäre nur fair, das auch zu veröffentlichen, wenn schon ca 60.000 Menschen Ihre Passwörter ändern müssen

Managor · Beitrag von **Managor** » 04.02.2008 19:20

Pah... manche Leute sollen sich mal nicht beschweren. Ich sage nur: selber schuld, wenn man überall dasselbe Passwort verwendet. Kein Grund deshalb, den Admins von phpbb.de den schwarzen Peter in die Schuhe zu schieben. Das kann auch auf jedem x-beliebigen Server passieren - bei noch so fähigen Admins.

Bevor hier also das nächste Mal die Schnauze zu weit aufgerissen wird, würde ich empfehlen, mal die kleine Erbse im Schädel anzustrengen...

Kellergeist2 · Beitrag von **Kellergeist2** » 04.02.2008 19:21

tanmar hat geschrieben:Denke es wäre nur fair, das auch zu veröffentlichen, wenn schon ca 60.000 Menschen Ihre Passwörter ändern müssen

Wer lesen kann ist klar im Vorteil:

PhillipK hat geschrieben:Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.

Fennias Maxim · Beitrag von **Fennias Maxim** » 04.02.2008 19:21

tost hat geschrieben:
In dem Sinne verwendet bessere Passwörter!

Grüße

Genau, mit dem MD5-Hash und der email-Adresse lassen sich nämlich keine Schweinereien anstellen...:rolleyes:

Fakt ist, das nicht jeder auf den 1000 Seiten auf denen er einen Account hat, ein eigenes PW verwendet.

Diabolo01 · Beitrag von **Diabolo01** » 04.02.2008 19:21

Also das gibt auf jedenfall extem viele Zugriffe auf die Page in nächster Zeit zumindest wenn jeder sein Passwort ändern muss......

Ich zumindest habe für derartige Bereiche wie Foren ein PW das ruhig jeder haben darf da die dazu gehörige Emailadresse mich nicht interessiert da diese als Spamfänger gilt.
Für andere Bereiche habe ich allerdings Passwort das mehr als 6 Stellen und Sonderzeichen hat.

Kein Schloss ist knack und bruchsicher solange es von Menschenhand gemacht wurde.

mgutt · Beitrag von **mgutt** » 04.02.2008 19:21

Naja um Usernamen und Email auszulesen braucht man kein großer Coder sein. Dafür reicht ja das bloße Einlesen der Mitgliederliste und start+25:
http://www.phpbb.de/memberlist.php?mode ... SC&start=0

Daher wäre ich dafür, dass die Emailadresse ausgeblendet wird in dem in der Administration die "Emails über das Board"-Funktion aktiviert wird.

Zum MD5-String (verschlüsseltes Passwort):
Der MD5-String selber kann bei Passwörtern bis 8 Stellen und wenn dieses Passwort nur kleine Buchstaben und Zahlen enthält innerhalb von ein paar Tagen gehackt werden. Aber der Aufwand rechtfertigt denke ich nicht den Erfolg. Was bringt es schon von einzelnen User das Passwort herauszufinden, außer dieses Passwort wird von dem User auch woanders eingesetzt.

Ich habe selbst mal ein Bruteforce-Script entwickelt, um eine MD5-Datenbank aufzubauen, daher kann ich mit gutem Gewissen sagen, dass bei Sonderzeichen und zusätzlich großen Buchstaben kein Hacker mehr Lust haben dürfte das zu entschlüsseln.

Zum Glück habe ich bereits von einem Jahr alle meine Passwörter geändert, so dass ich auf jeder Seite ein anderes einsetze. Kann ich nur empfehlen. Zwar muss man das dann in einem Ordner (im Schrank, nicht auf dem PC!) archivieren, aber das schützt genau vor sowas

Im Resultat entsteht nur ein Problem für Moderatoren und Admins, da der Hacker nun in der Lage ist, sich ein Autologin-Cookie zu generieren und sich damit einzuloggen. Das kann er natürlich auch bei allen anderen, aber nur da macht das wirklich Sinn.

Darf ich trotzdem erfahren, um welche Lücke es sich handelt bzw. wie ihr den ertappt habt? Von mir aus gerne auch per PN. Ich bin gerne vorbereitet

Wenn da Interesse besteht, können wir uns auch wegen Angriffen auf meinen Servern austauschen. Ich hab schon alles durch. Local / External File Inclusion, SQL Injection, usw.

Gruß
Marc

renet · Beitrag von **renet** » 04.02.2008 19:22

zumal ich durch meine email adresse keine rückschlüsse auf meine identität gebe (glücklicherweise ist es eine, die ich bei keinem freemail provider habe), mach ich mir keine sorgen. passwort hier fürs forum ändern und gut is.

darf man fragen, wo die lücke(n) denn nun lag(en), durch die das geschehen konnte?!

Blacker47 · Beitrag von **Blacker47** » 04.02.2008 19:26

Wurde auch zeit mal meine Passworter aufzuräumen

Es wäre schon interessant irgendwann mal zu erfahren, was da genau wirklich passiert ist. Also was genau das Sicherheitsloch war.

Auch nicht schlecht wäre es in zukunftige phpBB versionen Passwort-Hashing mit Salt aufzunehmen.

http://de.wikipedia.org/wiki/Salt_(Kryptologie)
(habe oberen Link nicht ganz als Link hier posten können)

Guybrush333 · Beitrag von **Guybrush333** » 04.02.2008 19:26

Wie Wahrscheinlich ist es dass so ein md5 hash zurück in den Klartext gebracht werden kann?

Kellergeist2 · Beitrag von **Kellergeist2** » 04.02.2008 19:26

renet hat geschrieben:darf man fragen, wo die lücke(n) denn nun lag(en), durch die das geschehen konnte?!

Nochmals:

PhillipK hat geschrieben:Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.

Darüber hinaus sollten Anfragen zum Löschen des eigenen Accounts nicht hier in diesem Thread sondern per PN an einen Admin geäussert werden.