Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Muki · Beitrag von **Muki** » 04.02.2008 21:29

Inferi74 hat geschrieben:Ich hoffe man nimmt es mir nicht übel wenn ich die allgemeine "Diskussion" hier mal mit einer sachlichen Frage unterbreche, aber hat das wirklich Erfolgsaussichten bei solchen Angriffen eine Anzeige zu machen? Ich meine, wer Foren und Server hackt, der wird doch sicher auch schlau genug sein seine Spuren zu verschleiern?

Es gibt eben welche die noch schlauer sind. Soweit das ganze nicht aus dem Osten (Russland), China oder irgendwelchen Inselchen kam, sogar sehr gute Aussichten.

Muki

Kellergeist2 · Beitrag von **Kellergeist2** » 04.02.2008 21:29

Inferi74 hat geschrieben:Ich hoffe man nimmt es mir nicht übel wenn ich die allgemeine "Diskussion" hier mal mit einer sachlichen Frage unterbreche, aber hat das wirklich Erfolgsaussichten bei solchen Angriffen eine Anzeige zu machen? Ich meine, wer Foren und Server hackt, der wird doch sicher auch schlau genug sein seine Spuren zu verschleiern?

Wer kämpft kann verlieren, wer nicht kämpft hat bereits verloren.

Ich will damit sagen, dass die Erfolgsaussichten zwar sehr gering sind, aber sollten sie Erfolg haben, so ist wieder ein Bösewicht weniger in freier Wildbahn.
Natürlich "wachsen" mit jedem gefassten Cracker fünf neue heran, aber wenn man nichts unternehmen würde, dann ...

Abgesehen davon könnte es rechtliche Hintergründe haben, ob man eine Anzeige gegen Unbekannt einleitet oder es nicht für nötig hält.
Stichwort: Regress-Ansprüche

TheJester · Beitrag von **TheJester** » 04.02.2008 21:30

Hi,

jetzt habe ich extra nochmal meine alten zugangsdaten herausgekramt, um mich hier anzumelden..

Es ist schon erstaunlich was für einen Dünnsch*ss einige hier abgeben. Was meint ihr eigentlich auf wievielen Web-Plattformen genau das verschwiegen oder erst gar nicht bemerkt wird. Natürlich ist ein Datenverlust dieser Art dramatisch, da gerade für einfachere Passworthashes genug Tabellen existieren (siehe Salt-Diskussion) und diese natürlich in Verbindung mit eMailadressen geradezu ein gefundenes Fressen sind. Aber es ist gut die Anwender direkt zu informieren um so Klarheit zu schaffen. Ich jedenfalls habe den Anlass genutzt endlich mal überall unterschiedliche Passwörter einzurichten, es war lange Zeit.

Was das Eindringen angeht - es gibt viele Sorgenkinder um die man sich als Admin kümmern muss. Gerade bei den Webframeworks ist noch lange nicht alles in Butter. phpBB gehörte ja nun lange Zeit auch dazu. Das Hosting einer komplexen Anwendung 100% dicht zu machen halte ich für nahezu unmöglich. Von daher drücke ich euch die Daumen dass sich das ganze schnell aufklärt.

Cheers

FCM · Beitrag von **FCM** » 04.02.2008 21:37

Schorschi hat geschrieben:Servus Gemeinde,

nachdem es um unsere Daten geht, würden mich ja schon "die verschiedenen Faktoren" interessieren, die in der Bekanntmachung erwähnt werden.

Sagt doch einfach, was schief gegangen ist, dann können sich alle ein Bild machen und falls nötig, reagieren.

Viele Grüße,
Schorschi

Wie geschrieben werden keine näheren Infos an Dritte weitergegeben, da die Ermittlungen laufen.

nehcregit · Beitrag von **nehcregit** » 04.02.2008 21:38

Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.

Kellergeist2 · Beitrag von **Kellergeist2** » 04.02.2008 21:39

nehcregit hat geschrieben:Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.

Dies wurde bereits mehrfach mitgeteilt.
Die Sicherheitslücke lag nicht im phpBB.

Ambience · Beitrag von **Ambience** » 04.02.2008 21:39

Benutzer in diesem Forum: .:Falo:., andreas_m, Andy*73*, apfelmaxx, Balint, Bierhasser, CarstenF, Christian_W, cYbercOsmOnauT, Dragan, esprit, FCM, groove75, Jan500, Luksch, mad-manne, Mahony, maxl, Melimaus, metalzelot, moon22, Muki, nehcregit, Nico Haase, NitroRulez, novamann, Obi-Wahn, Pfiffikus, S2B, Schumi, Seether, Sharlett, speedy00, TheJester, tobitobsen, Turuex, Zanthia, zaubermaus, zettelbox, [BTK] Tobi, _tomtom_, |Tobi|

Warum sind alle hier und bei Coding und Technik niemand.. (Neuer Rekord).

Achja, würdet ihr das streiten lassen? - Es bringt keinen weiter... Es ist nunmal passiert und jeder weiß es oder wird es demnächst erfahren und muss halt seine Account Daten abändern.. Wer wirklich öfter das gleiche Passwort benutzt ist im grunde selbst schuld... Woher soll man aber wissen, dass es ausgerechnet einem selbst passiert...

In diesem Sinne..
Gibt Frieden eine Chance

FCM · Beitrag von **FCM** » 04.02.2008 21:40

nehcregit hat geschrieben:Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.

Nein, nicht selbst an der Software. Es spielten dabei andere Faktoren eine Rolle. (z.B.: Modifizierungen... )

nehcregit · Beitrag von **nehcregit** » 04.02.2008 21:41

Kellergeist2 hat geschrieben:
nehcregit hat geschrieben:Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.
Dies wurde bereits mehrfach mitgeteilt.
Die Sicherheitslücke lag nicht im phpBB.

Musst mich nicht gleich anfahren. Ich war ne Stunde weg und seitdem ist der Thread von 7 Seiten auf 21 gewachsen. Das kann ich nicht alles aufholen.

Beitrag von **cYbercOsmOnauT** » 04.02.2008 21:41

mgutt hat geschrieben:Nicht? Klaro. Autologin-ID heißt der String und User-ID ist noch drin.

Autologin-ID == md5(pw) aus der Db oder irre ich mich da jetzt?

Auszug aus der sessions.php (Generierung der Autologin-ID):

Code: Alles auswählen

$auto_login_key = dss_rand() . dss_rand();

Und nochmal für alle: Die Lücke die ausgenutzt wurde existiert nicht im vanilla phpBB 2.x. Es wurde durch eine Drittsoftware und einem anderen besonderen Umstand "aufgerissen". Wir könnten Euch exakte Angaben bieten, jedoch, wie schon sehr oft gesagt, behalten wir diese Infos wegen laufender Ermittlungen zurück und nicht weil wir "unsere Fehler nicht zugeben wollen". Wäre letzteres der Fall gewesen, hätte keiner von Euch von der Attacke erfahren und wir die Lücke klammheimlich geschlossen.