egozent hat geschrieben:Schön zu sehen, wie sicher hier mit meinen vertraulichen Daten umgegangen wird..
Gerade bei einem solch großen Forum erwarte ich gewisse Sicherheitsvorkehrungen. Ich bitte um die sofortige Löschung meines Accounts!
so ein blödsinn.... sicherheitslücken wirst du überall finden können - aber wer nicht bleiben will auch gut. wirds hier bissel aufgeräumter
und ich bin mir sicher, dass seitens der - tollen (!) - Administration hier viel getan wird um die Sicherheitslücken zu schließen - Danke! ich bleibe...
auch positiv anzumerken dass es überhaupt bemerkt wurde... so ohne weiteres fällt das doch sicher ned auf oder?
Zuletzt geändert von Jonnsn am 05.02.2008 10:48, insgesamt 1-mal geändert.
Auch ich möchte mich erst einmal bei den Verantwortlichen für ihren Mut bedanken, diesen Angriff öffentlich zu machen.
Ich habe mir die Mühe gemacht und alle bisherigen Artikel in diesem Thread gelesen.
Da ich selber auch an der Verwaltung eines Forums beteiligt bin, wenn auch nur am Rande, interessiert auch mich was hier genau passiert ist.
Ich habe aber vollstes Verständnis dafür, dass diese Informationen erst nach Abschluss der gesamten Aktion mit Polizei, Strafanzeige etc. veröffentlicht werden können.
Soweit ich aus der Summe aller sachlichen Beiträge entnehmen konnte, ist es kein Problem der Applikation selber, sondern ein Problem, dass sich im weitesten Sinne Zugang zu dem/den Server/n verschafft wurde und dann die Daten von der Applikation gezielt entwendet wurden.
Daher ist natürlich die Information über den "Zugangsweg", der benutzt
worden ist, auch für andere Systembetreiber interessant, zumal es sich offensichtlich um einen Zugang handelt, der sich erst aus dem "Zusammenspiel" diverser Komponenten ergeben hat. Daher auch meine Bitte um spätere Information, denn ich kann nach den bisherigen Informationen nicht ausschliessen, dass so ein Einbruch auch ohne eine installierte phpBB Applikation auf einem Server möglich sind, da dort die gleichen Rahmenbedingen sind, wie auf dem Server für dieses Forum.
Ich möchte dann garnicht daran denken, welcher massive Schaden möglich ist, wenn z.B. dann nicht nur Daten entwendet sondern mauch eventuell noch manipuliert werden.
Zur Klarstellung:
Ich mache hier keinem der Administratoren einen Vorwurf wegen dem Vorfall. Mir ist klar dass man ein System nur dann 100% sicher bekommt, wenn an es nicht am Netz hat, es nicht einschaltet und am besten noch noch im Plastik eingießt.
Daher kann man grundsätzlich ein System zwar relativ sicher machen, muß aber durch regelmäßige Beobachtung sich auftuende Lücken, wie hier geschehen, schnellstens schließen. Dazu gehört natürlich auch die Beobachtung der gesamten IT Umwelt, um auch aus Problemen anderer Rückschlüsse für sein eigenes System zu ziehen. Dieses darf aber niemals polemisch oder hämisch geschehen und auch nicht durch unüberlegten und sinnlosen hetischen Aktionismus.
Den Administratoren wünsche ich viel Erfolg bei der Dingfestmachung des oder der Verursacher.
Ich finds trollig, wie nun manche schreien, ich will meinen Account gelöscht haben.
Und einfach nur lächerlich, wenn Sätze kommen wie " ... wie hier mit meinen vertraulichen Daten umgegangen wird."
Denn da schreiben x User bei diesen "neuen Web 2.0 Seiten" (um sie mal wegen Werbung nicht bei namen zu nennen) tausend mal vertraulichere Daten rein, wie hier erspäht wurden. Username und eMail-Adresse sind keinesfalls vertraulich, die gibt man auf etlichen Seiten an und der MD5-Hash. Mein gott, welcher Hacker macht sich schon die Mühe, den von einen xbeliebigen User (wie z.B. mich) zu entschlüsseln? Der kennt mich null, genauso weiß er keine Seite, wo er denn das Password probieren könnte (maximal beim Mailaccount).
Wenn dann werden eher die MD5-Hashs von den Administratoren und Moderatoren entschlüsselt.
In diesem Sinne,
nehmts etwas lockrer (Wenn ihr in Großbritannien leben würdet, würdet ihr aus den Meckern gar nicht mehr rauskommen, denn da kamen in letzter Zeit mehrfach wirklich vertrauliche Daten weg!)
Ich sach auchmal das man deswegen jetzt kein Stress machen sollte. Was wollen sie mit meiner Mailaddi? oder meinem Pw...das ich nur hier nutze.......Klar ist die Sache sehr ärgerlich aber wo gearbeitet wird fallen Späne...Also die Admins hier machen schon das richtige denke ich. Also mcht sie dingfest und gut is.....
Die Panikmacher ...von wegen löscht meinen ACC sind meinr Meinung nach nur Leute die was zu verbergen haben *g*
die meisten von denen, die hier schreiben und sich negativ äußerten bzw. sogar ihren Account löschen lassen wollen, btreiben doch sicher selbst ein Board oder etwa nicht?
Wie, bitte schön, sichern die denn die Daten Ihrer User??? In wie weit sind eigentlich die Betreiber dieses Forums für den Hack verantwortlich? Inwieweit trifft es den Provider? All diese Fragen wurden hier bisher nicht öffentlich geklärt und es wäre doch wohl nur fair, solange zu warten bis die Tatsachen veröffentlicht werden, oder?
Ich für meinen Teil bedanke mich für die schnelle Info... und es ist sicherlich kein Akt, sich ein neuen Psswort zu verpsassen oder? Ebenso dankbar bin ich den Betreibern dieses Forums, die uns ständig mit wichtigen Nachrichten und Kopien rund um PhpBB versorgen1
mfg
Hemul
Mikroskopie bedeutet nicht, nur mal reinsehen, Mikroskopie heißt: "Lernen vom Kleinen!"
OnkelBazi hat geschrieben:Was wollen sie mit meiner Mailaddi? oder meinem Pw...das ich nur hier nutze...
Sehe ich mittlerweile auch so.
Und ich habe nun das gemacht, was ich schon immer hätten tun sollen:
- Mailaccounts für bestimmte Foren anlegen
- Weiterleitung einrichten
- Passwörter, welche auch für andere Zugänge geutzt werden, ändern.
jigsan hat geschrieben:Nunja bei mirs ists sonst nix schlimmes, habe zum glück mein standard super leicht knackbares pw genommen, das in jedem rainbow table zu finden ist.
Damit kann wohl niemand etwas anfangen. Selbst für meine e-mail addresse habe ich ein level 2 . Pw genommen. Für Homebanking kommt dann mein level 3 pw zum einsatz.
Nur Level 3 für Homebanking? Das finde ich aber sehr leichtsinnig von dir. Ne, mal im Ernst: Seit wann gibt es ein Einstufungssystem für Passwörter?
wie uns gemeldet wurde, hat ein Hacker sich Zugang zur Datenbank des WoltLab Supportforums verschafft und davon eine komplette Sicherung der Datenbank erstellt. U.a. wird z.B. bei Heise gemeldet, dass der Hacker diese Datenbank in einem Hacker-Forum zum Verkauf anbieten wrde.
Soweit wird das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberflche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators ber den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.
Folgende Daten wurden beim Einbruch gestohlen:
- Daten der registrierten Nutzer im Supportforum (E-Mail-Adressen, verschlsselte Passwrter)
- Beitrge aus internen Bereichen
- Private Nachrichten
- Daten aus dem Ticket-Support (die Nutzer des Ticket-Supports werden von uns separat angeschrieben)
Wer vertrauliche Zugangsdaten in internen Beitrgen, privaten Nachrichten oder im Ticket-Support angegeben hat, sollte diese umgehend ndern. Nutzer-Passwrter mssen nicht gendert werden, da diese mit einer wirkungsvollen Verschlsselung gespeichert waren.
Folgende Daten wurden beim Einbruch nicht gestohlen:
- Mitgliederbereichszugangsdaten
- Lizenzzugangsdaten
Wir haben bereits Strafanzeige gegen den Hacker gestellt. Gleichzeitig haben wir die Sicherheitsmanahmen nochmals verschrft, sodass wieder ein sicherer Betrieb mglich ist und sich ein solcher Verfall nicht wiederholen wird.
Mit freundlichen Gren,
Marcel Werk
Geschftsfhrer WoltLab GmbH
auch gut. wirds hier bissel aufgeräumter 
