Diskussion zu Benutzerdaten auf phpBB.de ausspioniert
-
User-Einer
- Mitglied
- Beiträge: 451
- Registriert: 23.12.2007 04:53
-
LittleLem
Sowas ist natürlich ein riesiger Vertrauensverlust. Nicht nur für dieses Forum, sondern für sämtliche Foren. Um nicht gleich zu sagen: Für das gesamte Internet. Denn praktisch überall im Netz authentifiziert man sich per Username, Mail, Passwort.
Wenn es einem beliebigen Menschen möglich ist, an diese Dinge ranzukommen, na dann Gute Nacht; aber so richtig!
Wer weiß, bei welcher Seite das morgen passiert. Vielleicht passiert es auch gleich bei zehn.
-----
Bitte interpretiert dieses Posting nicht als Vorwurf Richtung Admins von phpBB.de, aber das, was da passiert ist, ist wirklich alarmierend, passiert sowas einer der großen Seiten und kommt groß in die Medien raus, na dann platzt eine riesen Internet-Blase.
Wenn es einem beliebigen Menschen möglich ist, an diese Dinge ranzukommen, na dann Gute Nacht; aber so richtig!
Wer weiß, bei welcher Seite das morgen passiert. Vielleicht passiert es auch gleich bei zehn.
-----
Bitte interpretiert dieses Posting nicht als Vorwurf Richtung Admins von phpBB.de, aber das, was da passiert ist, ist wirklich alarmierend, passiert sowas einer der großen Seiten und kommt groß in die Medien raus, na dann platzt eine riesen Internet-Blase.
Zuletzt geändert von Philou5 am 04.02.2008 20:22, insgesamt 2-mal geändert.
-
Pfotenwelt
- Ehemaliges Teammitglied
- Beiträge: 427
- Registriert: 26.01.2008 23:38
- Wohnort: Zug
Thja, ich gehöre auch zu denen, die bei den "kleineren" webseiten wo ich unterwegs war, (weiss ja unlängst nicht mehr alle) immer das selbe passwort benutzt habe. Natürlich nicht bei den eigenen seiten. 
Aber trotzdem ärgerlich. Allerdings lass ich das jetzt mal. Die Mail hier ist geändert und das passwort auch. Mal sehen. Spam kriege ich eh so.
Wie gesagt, ärgerlich isses, aber nicht zu ändern und vorwürfe hier zu machen bringt ja auch keinem was. Wie sagt man so schön? Aus schaden wird man klug.
Aber trotzdem ärgerlich. Allerdings lass ich das jetzt mal. Die Mail hier ist geändert und das passwort auch. Mal sehen. Spam kriege ich eh so. Wie gesagt, ärgerlich isses, aber nicht zu ändern und vorwürfe hier zu machen bringt ja auch keinem was. Wie sagt man so schön? Aus schaden wird man klug.
Abend miteinander.
Ich zerpflücke nun mal den Newspost, da er einige Ungereimtheiten aufweist:
Mal davon abgesehen, dass im ersten Satz drei mal das Verb "werden" verwendet wird, ist es nie besonders empfehlenswert, ein Passwort an mehreren verschieden wichtigen Stellen im Einsatz zu haben - aus genau dem Grund, der uns hier wieder in drastischer Weise vor die Augen geführt wird.
Was sind diese Faktoren? Wurde das phpBB, welches auf phpBB.de eingesetzt wird, in dieser Hinsicht unvorsichtig verändert? Oder liegt es an einer Sicherheitslücke im Server selbst?
Ich kann die User verstehen, die fordern, man möge doch die Faktoren beim Namen nennen, was aufgrund der hohen Zahl an Betroffenen(phpBB.de hat ja laut eigenen Angaben über 85.000 Mitglieder) dennoch sinnvoll erscheint.
Allerdings scheint man sich hier bei phpBB.de Intern noch nicht abgestimmt zu haben. So fragte "larsneo", der selbst Mitglied im Server-Team ist, und somit eigentlich genauestens informiert sein müsste, wenige Minuten nach der Eröffnung dieses Diskussionsthemas nach den Gründen/einer Sicherheitslücke. Dieser Post wurde allerdings wenige Minuten später wieder entfernt.
Daher kann ich die User auch verstehen, die fordern, dass ihr Account gelöscht wird. Denn das sich so ein Vorfall hier wiederholt, kann man nicht mehr ausschließen.
Dennoch bleiben viele Fragen offen.
Ich zerpflücke nun mal den Newspost, da er einige Ungereimtheiten aufweist:
Gestern fand der Angriff auf sensibelste Daten von Usern statt, und schon mindestens ~18 Stunden später wird man darüber informiert. Aufgrund der ungenauen Zeitangabe könnten es auch locker ~42 Stunden gewesen sein. Dies ist für die Daten, um die es hier geht, Passwörter und E-Mail-Adressen, eindeutig zu lange!heute haben wir leider weniger erfreuliche Nachrichten für euch. Gestern wurde ein gezielter Angriff auf phpBB.de gefahren.
Nun, das gerade diese Dinge ausgelesen wurden, ist sehr erschreckend. Aber wenn man die Datenbank Struktur von phpBB kennt, stellt sich gleich noch eine andere Frage: Warum nur diese Daten? Wurde die Datenbank von phpBB.de verändert (lässt sich so vielleicht der "Einbruch" erklären)? Oder weshalb hat der Daten-Dieb auf weitere persönliche Daten wie den Wohnort, den Beruf, Interessen usw. "verzichtet", die sich in der Selben Datenbank Tabelle befinden? Oder wurden die Daten auf eine ganz andere Methode herausgefunden? Je weiter man den Text liest, desto mehr Fragen stellen sich.Wir müssen derzeit davon ausgehen, dass durch diesen Angriff die Benutzerdaten (Benutzername, E-Mail-Adresse und MD5-Hash des Passworts) der auf phpBB.de registrierten Benutzer offengelegt wurden.
In wie weit diese Daten missbräuchlich verwendet wurden/werden, ist uns derzeit nicht bekannt - allerdings kann nicht ausgeschlossen werden, dass diese Daten missbräuchlich verwendet werden.
Ihr solltet daher davon ausgehen, dass eure oben genannten Daten öffentlich sind und insbesondere das Passwort ändern.Denkt bitte auch an die Stellen, an denen ihr das gleiche Passwort verwendet und insbesondere den betroffenen E-Mail-Account. Durch einen Brute-Force-Angriff ist es möglich, dass euer Passwort entschlüsselt wird / wurde.
Mal davon abgesehen, dass im ersten Satz drei mal das Verb "werden" verwendet wird, ist es nie besonders empfehlenswert, ein Passwort an mehreren verschieden wichtigen Stellen im Einsatz zu haben - aus genau dem Grund, der uns hier wieder in drastischer Weise vor die Augen geführt wird.
Kleine Ergänzung: es handelt sich um kein Problem von phpBB selbst sondern um ein Zusammenspiel von verschiedenen Faktoren.
Was sind diese Faktoren? Wurde das phpBB, welches auf phpBB.de eingesetzt wird, in dieser Hinsicht unvorsichtig verändert? Oder liegt es an einer Sicherheitslücke im Server selbst?
Ich kann die User verstehen, die fordern, man möge doch die Faktoren beim Namen nennen, was aufgrund der hohen Zahl an Betroffenen(phpBB.de hat ja laut eigenen Angaben über 85.000 Mitglieder) dennoch sinnvoll erscheint.
Allerdings scheint man sich hier bei phpBB.de Intern noch nicht abgestimmt zu haben. So fragte "larsneo", der selbst Mitglied im Server-Team ist, und somit eigentlich genauestens informiert sein müsste, wenige Minuten nach der Eröffnung dieses Diskussionsthemas nach den Gründen/einer Sicherheitslücke. Dieser Post wurde allerdings wenige Minuten später wieder entfernt.
Daher kann ich die User auch verstehen, die fordern, dass ihr Account gelöscht wird. Denn das sich so ein Vorfall hier wiederholt, kann man nicht mehr ausschließen.
Dennoch bleiben viele Fragen offen.
Wau die Beitragsseiten bauen sich schneller auf als das man schreiben kann.
Also für mich ist das mal wider ein Anlass sich dem Thema an zu nehmen und die PW zu ändern. Man ist doch generell zu faul dieses in regelmäßigen Turns zu machen.
Also Morgen ist ein Tag der Sicherheit , heute nicht mehr der Tag war schon lang genug
Also für mich ist das mal wider ein Anlass sich dem Thema an zu nehmen und die PW zu ändern. Man ist doch generell zu faul dieses in regelmäßigen Turns zu machen.
Also Morgen ist ein Tag der Sicherheit , heute nicht mehr der Tag war schon lang genug
-
leererKopf
- Mitglied
- Beiträge: 13
- Registriert: 11.08.2007 18:32
Hi all,
Ich finds auch lustig jetzt wo dies passiert ist und die Mail-Adresse bereits in eine andere Datenbank gefüttert wurde zu sagen "Bitte meinen Account löschen"
Ich hab mir das auf der wiki mal ein bisserl durchgelesen was es mit diesen brutal....hack auf sich hat.
Und soweit ich das verstehen konnte ist das nur ein System, dass einfach solange Passwörter probiert, bis eines passt.
Die Nicknamen kann man ohne Problme aus der USerlist in einer Schleife abarbeiten.
Somit hab ich die schon mal in einer Datenbank.
Nun arbeite ich jeden Nick den ich habe ab und probiere bei jeden Nickt solange Passwörter bis eines passt.
Passt es komm ich ja zur Eingeloggtseite was ich auch abfangen kann und wenn das der Fall ist hab ich auch schon die notwendigen Daten.
Was hier aber so einfach klingt ist wie auch schon auf der Wiki beschrieben extrem Rechenintensiv.
Auf der anderen Seite gibt es genug Zoombies im Netz die gerade dafür herhalten dürfen.
Und wenn ich das jetzt sag ich einmal auf 4-10 Zoombies im Netz verteile, dann geht schon mal was weiter.
Hier ist sicher kein Jüngling davorgesessen, der sich jetzt einen von der Palme schüttelt weil er was geschafft hat.
Da sind schon gut strukturierte Organisationen dahinter.
Ich hoffe mal nur, dass mir auf unseren Server soetwas erspart bleibt!
Dennoch möchte ich mich beim PHPbb-Team für die INfomail bedanken!
Und nein, meinen Account braucht Ihr nicht löschen!
Ich finds auch lustig jetzt wo dies passiert ist und die Mail-Adresse bereits in eine andere Datenbank gefüttert wurde zu sagen "Bitte meinen Account löschen"
Ich hab mir das auf der wiki mal ein bisserl durchgelesen was es mit diesen brutal....hack auf sich hat.
Und soweit ich das verstehen konnte ist das nur ein System, dass einfach solange Passwörter probiert, bis eines passt.
Die Nicknamen kann man ohne Problme aus der USerlist in einer Schleife abarbeiten.
Somit hab ich die schon mal in einer Datenbank.
Nun arbeite ich jeden Nick den ich habe ab und probiere bei jeden Nickt solange Passwörter bis eines passt.
Passt es komm ich ja zur Eingeloggtseite was ich auch abfangen kann und wenn das der Fall ist hab ich auch schon die notwendigen Daten.
Was hier aber so einfach klingt ist wie auch schon auf der Wiki beschrieben extrem Rechenintensiv.
Auf der anderen Seite gibt es genug Zoombies im Netz die gerade dafür herhalten dürfen.
Und wenn ich das jetzt sag ich einmal auf 4-10 Zoombies im Netz verteile, dann geht schon mal was weiter.
Hier ist sicher kein Jüngling davorgesessen, der sich jetzt einen von der Palme schüttelt weil er was geschafft hat.
Da sind schon gut strukturierte Organisationen dahinter.
Ich hoffe mal nur, dass mir auf unseren Server soetwas erspart bleibt!
Dennoch möchte ich mich beim PHPbb-Team für die INfomail bedanken!
Und nein, meinen Account braucht Ihr nicht löschen!
Zuletzt geändert von leererKopf am 04.02.2008 20:27, insgesamt 1-mal geändert.
Das macht bei mir Mr. Wand.shog hat geschrieben:Wenn man im Internet aber sehr aktiv ist und nicht nur 5 Benutzeraccounts sondern 100 hat und dann insgesamt 20 verschiedene Passwörter bestehend aus Sonderzeichen, etc. benutzt (die natürlich alle 2 Monate fein säuberlich geändert werden) will ich wissen wie ihr die dann richtig zuordnet..
-
WildesWesen
- Mitglied
- Beiträge: 98
- Registriert: 11.01.2008 22:19
