Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

[rcbcom]

Ok das Forum ist gehackt worden Er/Sie oder Ihr habt aber nichts lange von! Die werden DU/SIE/ER/IHR schon Kriegen denk ja nicht das man so leicht davon kommst.

Wer Einbricht hinterlässt auch Spuren und die sind wohl schon bekannt.

Jetzt habt DU/IHR euch mit denn falschen Leuten angelegt wie es aussieht

Dann werde wir mal das Laso auswerfen.

[Gairigo]

Ok das Forum ist gehackt worden

Ob das phpbb.de Board definitiv auf klassischer Art und Weise "gehackt" wurde ist doch bisher noch gar nicht bekannt. Jedenfalls für mich nicht!

Bisher ist doch lediglich nur folgendes bekannt geworden und bekannt gemacht worden:

1) Hat der sich selbst ernannte Verkäufer der "entwendeten" DBs in dem h4ckyou Forum mitgeteilt, dass wer auch immer man nicht per Hacking an die DBs gekommen ist.

How we get these dumps? Social Engeneering - No Injections, no hacking!

Quelle: http://www.picload.org/image/e2821f8295 ... 4ckyou.png

Ob das nun der Wahrheit entspricht ist bisher nicht öffentlich bekannt.
Ob der dortige Anbieter auch der Entwender der DBs von den betriffenen Boards ist, ist ebenfalls nicht öffentlich bekannt.

Wenn jedoch Social Engeneering zutreffen würde, dann "könnte" die Ursache z.b. auch im Kreis der aktuellen sowie auch ehemaligen phpbb.de Admins und/oder Moderatoren liegen.

Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking

Quelle: http://de.wikipedia.org/wiki/Social_Engineering

2) Der phpbb.de Admin "PhilippK" hat mit seinem Hinweis:

Hier könnt ihr eure Meinung zu Benutzerdaten auf phpBB.de ausspioniert abgeben.

Quelle: http://www.phpbb.de/viewtopic.php?t=164185

für mich eindeutig und klar "ausspioniert" als Ursache angegeben!

Sein Hinweis:

Kleine Ergänzung: es handelt sich um kein Problem von phpBB selbst sondern um ein Zusammenspiel von verschiedenen Faktoren.

untermauert es aus meiner Sicht sogar.

Daran ändert sich für mich auch nichts durch den Hinweis im Thread:

Der Angriff war bei uns möglich, da es durch einen Programmierfehler (siehe unten) in einem selbst entwickelten Modul möglich war, einen SQL-Befehl einzuschleusen (SQL-Injection) und so Teile der Datenbank auszulesen, die eigentlich nicht ausgelesen werden sollten. ...

Quelle: http://www.phpbb.de/viewtopic.php?p=954013#954013

Da fast zeitgleich mehrere Boards, welche mit komplett anderen Forensoftware betrieben werden ebenfalls Opfer wurden, kann es sicherlich kaum an:

... in einem selbst entwickelten Modul möglich war

also an einem eigenen vom phpbb.de eigens entwickleten Modul gelegen haben. Ansonsten würde es ja bedeuten, dass die bisher bekannten anderen betriffenen Foren das gleiche "von phpbb.de eigen entwickelte Modul" im Einsatz gehabt haben müssen. Und das bezweifle ich.

3) Ich verweise auch auf den heise.de Newsbeitrag:

Einer Mitteilung der Forenbetreiber zufolge war keine Sicherheitslücke in phpBB Ursache des Einbruchs, sondern das Zusammenspiel verschiedener Faktoren – welche genau, bleibt indes offen. Möglicherweise wurde gezielt das Konto eines Administrators geknackt. Ein Strafantrag wurde bereits gestellt, daher sollen zunächst keine weiteren Informationen veröffentlicht werden.

Quelle: http://www.heise.de/newsticker/meldung/102993

Es wird also sicherlich seinen für mich vesrtändlichen und berechtigten Grund haben, dass man auch von Seiten phpbb.de z.Zt. KEINE genauen Informationen darüber veröffentlicht, wie letztendlich und tatsächlich die Entwendung der phpbb.de DB(s) statgefunden hat.

Ihr könnt euch sicher sein, dass uns diese Situation extrem peinlich ist. Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.

Wir wollen die laufenden Ermittlungen nicht behindern, so dass wir bislang genauere Informationen zum Angriff zurückgehalten haben.

Ich hoffe im Interesse aller, vor allem den phpbb.de Verantwortlichen, dass sich der Fall in Kürze den Tatsachen entsprechend aufklären wird und phpbb.de dann auch eine wahrheitsgemäße Information dazu zeitnah veröffentlicht!

--------------------------
ps. Zum Thema "Social Engineering" empfehle ich allen diese gute Dokumentation:

Social Engineering Zusammenfassung - freies deutschsprachiges Word Dokument über die Grundlagen von Social Engineering und Gegenmaßnahmen

[Boecki91]

Ein Social Engineering bei 3 Foren gleichzeitig ist unwahrscheinlich, ich vermute das dort eine lange Vorbereitungszeit hinter steckt, und die "Angriffswege" schon zuvor festgelegt wurden. Es wurde dann ein Tag gewählt um "die Bombe platzen zu lassen". Wirkt auf die User viel beeindruckender und schockierender.

[Jan500]

wir werden nicht in " Kürze den Tatsachen entsprechend aufklären", denn das haben wir beriets getan und das wahrheitsgemäßg:roll:

auf woltlab wurde ein db backup über das acp gemacht (angeblich), bei uns wurde nicht aufs acp zugegriffen, bei smf wurde der ftp account geknackt.... also überall etwas anderes...

was bringt jetzt die verlinkung auf den heise-eintrag?

die spekulieren auch nur und haben keine genauen Infos...

jan

[NMK]

Sociel Engeenering, das war doch das hier: http://video.google.com/videoplay?docid ... 7864&hl=de

[Pyramide]

Daran ändert sich für mich auch nichts durch den Hinweis im Thread ...

... kann es sicherlich kaum an ... einem eigenen vom phpbb.de eigens entwickleten Modul gelegen haben.

... dass man auch von Seiten phpbb.de z.Zt. KEINE genauen Informationen darüber veröffentlicht, wie letztendlich und tatsächlich die Entwendung der phpbb.de DB(s) statgefunden hat.

... und phpbb.de dann auch eine wahrheitsgemäße Information dazu zeitnah veröffentlicht!

Es kann dich natürlich niemand dazu zwingen, etwas zu glauben oder nicht - aber die von PhilippK geposteten Informationen entsprechen den Tatsachen. Der Angriff auf phpBB.de wurde über eine Lücke in einem selbstentwickelten Script ausgeführt. Möglich war dies, weil versehentlich $_GET statt $HTTP_GET_VARS verwendet wurde - wie man übrigens auch in Philipps Beitrag nachlesen kann.

Selbstverständlich können die Angriffe auf andere Seiten nicht auf exakt derselben Sicherheitslücke basieren, da das zugrundeliegende Script nur auf phpBB.de verwendet wurde. Das hat aber auch niemand behauptet - laut woltlab.de wurde dort das Passwort eines Administrators bekannt und laut heise-Newsticker war es bei SMFPortal.de ein gestohlener FTP-Account.

Ob die verschiedenen Angriffe aufeinander basieren (also z.B. der Administrator von woltlab.de auch auf phpBB.de mit dem gleichen Benutzernamen+Passwort angemeldet war) oder alle bereits länger geplant waren und einfach nur gleichzeitig ausgeführt wurden, ist derzeit noch nicht bekannt.

[Jan500]

Ob die verschiedenen Angriffe aufeinander basieren (also z.B. der Administrator von woltlab.de auch auf phpBB.de mit dem gleichen Benutzernamen+Passwort angemeldet war) oder alle bereits länger geplant waren und einfach nur gleichzeitig ausgeführt wurden, ist derzeit noch nicht bekannt.

also laut woltlab ist der admin hier in phpbb.de nicht registriert

[mgutt]

Demnach eine vertrauenswürdige Seite?

Dann frag ich mich trotzdem wie die an meine E-mail Adresse gekommen sind...

Deine gmx Adresse steht hier im Profil, falls Dir das hilft

[Gairigo]

A) wir werden nicht in " Kürze den Tatsachen entsprechend aufklären", denn das haben wir beriets getan und das wahrheitsgemäßg:roll:

B) auf woltlab wurde ein db backup über das acp gemacht (angeblich), bei uns wurde nicht aufs acp zugegriffen, bei smf wurde der ftp account geknackt.... also überall etwas anderes...

C) was bringt jetzt die verlinkung auf den heise-eintrag?

D) die spekulieren auch nur und haben keine genauen Infos...

Moin Jan,

A) bitte bleibe locker auf Deinem Bergedorfer Schülerhocker, denn ich habe in keinster Weise einem aus dem phpbb.de Team bzw. auch keinen phpbb.de Verantwortlichen etwas unterstellt.

Ich würde mich in so einem Fall ganz sicherlich auch mit genauen Informationen solange zurückhalten, bis eindeutige und umumkehrbare Fakten und Beweise vorliegen. Aber dann sollten auch die Veröffentlichungen erfolgen, denn ansonsten liefert man in diesem Fall phpbb.de ja selber Anlass zu Spekulationen.

B) Genau so ist es -> alles bisher angeblich!

C) Das ich ausgerechnet Dir dieses nun erklären muss/darf verwundert mich doch etwas, aber OK. Wenn man einen Text als Zitat postet, dann sollte man schon zum Nachweis das dieser Text auch tatsächlch irgendwoanders veröffentlicht wurde, eine Quelle mit angeben.

D) Das mag sein und sagst, behauptest Du. Es trifft evtl. auch sogar zu, denn woher soll heise.de für diesen phpbb.de Fall und/oder auch die anderen bisher bekannt geworden Fälle wahrheitsgemäße Informationen erhalten wenn nicht von den Betroffene Boardbetreiber selber?

In diesem Sinne einen schönen Gruss von HH-Niendorf nach Bergedorf City.

[mgutt]

@ Gairigo
Das ist ein wenig albern. Angriffe der Art resultieren kein Administrator-Passwort, denn das ist das was Du damit andeuten möchtest. Meinst Du wirklich, dass ein Admin-Passwort z.B. einem Geburtstag gleichzustellen ist? Wer sowas macht wäre extrem leichtsinnig.

Wer sich z.B. eine Attacke dieser Art gegen mich überlegt wird viel herausfinden. Vermutlich meinen Geburtstag, sofern ich den irgendwo öffentlich angegeben haben sollte, wie ich heiße, wo ich wohne, was ich arbeite usw. Also man kann ein gewissen Profil von mir erstellen, aber an mein Passwort kommt man auf diese Art auch nicht.

Tatsächlich würde dem Hacker dann noch was zweites fehlen. Nämlich der Username unseres Root-Admins, der als einziges in den Adminbereich gelangt.

Ich kenne zwar jetzt keinen der Admins hier, aber hier wird es sicherlich entsprechend ähnliche Sicherheitsvorkehrungen geben. Alleine weil sie es am besten wissen, wie gerne die Forensysteme Ziel vieler Hacker-Attacken war und ist.

Heise veröffentlicht ihre Berichte auch mit Hörensagen. Dazu gibt es z.B. die Meldefunktion auf deren Seite um auf das aktuelle virtuelle Geschehen hinzuweisen. Und wenn man sich den Rest durchliest stellt man schnell fest, dass dort nichts ergänzendes steht, was nicht schon bei phpbb.de veröffentlicht wurde. Also kannst Du schlecht davon ausgehen, dass die Jungs mit dem Admin hier gesprochen hätten.