phpbb.de und woltlab.de - Userdaten-Klau

heute haben wir leider weniger erfreuliche Nachrichten für euch. Gestern wurde ein gezielter Angriff auf phpBB.de gefahren. Wir müssen derzeit davon ausgehen, dass durch diesen Angriff die Benutzerdaten (Benutzername, E-Mail-Adresse und MD5-Hash des Passworts) der auf phpBB.de registrierten Benutzer offengelegt wurden. In wie weit diese Daten missbräuchlich verwendet wurden/werden, ist uns derzeit nicht bekannt - allerdings kann nicht ausgeschlossen werden, dass diese Daten missbräuchlich verwendet werden. Ihr solltet daher davon ausgehen, dass eure oben genannten Daten öffentlich sind und insbesondere das Passwort ändern. Denkt bitte auch an die Stellen, an denen ihr das gleiche Passwort verwendet und insbesondere den betroffenen E-Mail-Account. Durch einen Brute-Force-Angriff ist es möglich, dass euer Passwort entschlüsselt wird / wurde. Ein Strafantrag wurde gestellt. Weitere Informationen werden wir zu gegebener Zeit an dieser Stelle veröffentlichen. Wir möchten uns bei euch für die entstandenen und entstehenden Umstände vielmals entschuldigen. Ihr könnt euch sicher sein, dass uns diese Situation extrem peinlich ist. Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.

viel erschreckender ist für mich wie viele "Helden" dem Anschein nach nur ein universal PW benutzen
man vertraut wohl jedem Admin blind

persönlich denke ich hat man es hauptsächlich auf die Emailadressen abgesehen, da seit Heute auf eben diese Adresse Spammails eintreffen

wo ist das bitte anders? Jede Community lobpreised doch "seine" Software als die einzig Wahre, das findest du von vB, wBB über phpBB (incl aller Forks) bis MyBB und SMF
auch der CT wird als sicher gehandelt, hilft blos keinem wenn man ein Language-file aufrufen kann

Es ist nunmal schwerlich praktikabel, für jedes Forum im Netz, an dem man sich anmelden will oder muss, ein anderes Passwort zu wählen. Ich weiss ja nicht, an wievielen Foren du angemeldet bist, aber ich schätz mal ich bin deutlich im dreistelligen Bereich...

Ich persönlich halt mir so gegen 10-15 Passwörter, um im Falle des Falles den Schaden einigermassen eingrenzen zu können und trotzdem einen gewissen Konfort zu haben.

Und zum Thema Sicherheit: phpbb.de sollte durchwegs sensibilisiert auf dieses Thema sein. Ist ja nicht das erste mal, dass das Forum erfolgreich angegriffen wurde. Dahingegen ist mir kein erfolgreicher Hack auf die anderen grossen offiziellen Foren bekannt. Man möge mich belehren, wenn ich mich irre.

Ja sehe ich ähnlich wie gfc, es ist schier unmöglich für jedes Forum ein Passwort zu haben. Durch regelmäßige Passwortwechsel habe ich ca. 10 Passwörter angehäuft, die ich ausprobieren kann um mich einzuloggen.

naja wenn ich mir meine PW merken müsste, wäre das sicher ein Problem , ich hab meine PW halt notiert oder lasse mir umgehend ein neues zusenden, so hab ich es im Posteingang wenn ich mal eines vermisse

ich denke mal wenn man ein cryptisches PW hat sollte das auch weit weniger ein Problem sein

Wenn ich immer am selben PC sitzen würde, wäre das sicher kein Problem - nur leider ist dem nicht so. Einloggen ist für mich kein einmaliger Vorgang.

VPC oder Portable Frickelfox am USB Stick
so hat man sein System immer dabei
alternativ gibts ja dieses komische "webmail" oder wie das Zeug heisst, als webmaster sollte man ja auch die Möglichkeit haben seinen Krempel im web zu speichern den man öfter braucht

Laut Heise ist WoltLab wohl auch betroffen.

sehr übel ist das die Userdaten natürlich sofort auf entsprechenden Marktplätzen verkauft werden

(siehe Screenshot)

Miniaturansicht angehängter Grafiken

 

Danke für die Info, hab vorsichtshalber bei WL mal die Daten zum Mitgliederbereich geändert, da mich das nun doch etwas mehr beunruhigt als die phpBB-Sache

.....

WoltLab hat nun wohl auch nachgezogen: Einbruch in die Foren-Datenbank - Nachrichten und Ankündigungen - WoltLab Supportforum

Wahnsinn, jedem Anfänger predigt man das ACP via htaccess zu sichern

.....

vielleicht hat Stefan das selbe PW in der Htaccess

Es handelt sich zumindest um kein sicherheitstechnisches Problem der Software sondern tendenziell um menschliches Versagen. Sicher kann das zurzeit niemand sagen.

.....

~ Erledigt ~

das deutsche smf Protal wurde auch gehackt, just 4 info

Vbulletin-Seiten sind nicht erreichbar... hoffe das da nun nichts passiert.

.....

ach ja genau... in all den trouble dachte ich da an was schlimmeres

*puh*

.....

Also, sollte ich das gerade richtig sehen und verstehen, so wurde phpBB.de - Installation des Bundestrojaners erforderlich gerade schon wieder gehackt ...

... oder netter April April Scherz ...

Nein, ist nur ein Aprilscherz, sobald Du auf den Download PrÜFIn Button klickst, kommt folgendes:

April, April!

Auch wenn es die Vorratsdatenspeicherung tatsächlich gibt, ist die Benutzung eines Bundestrojaners zum Glück noch nicht erforderlich. Du kannst auch weiterhin phpBB.de mit einem ganz normalen Browser besuchen.
Soeben wurde ein Cookie gesetzt, du kannst ab sofort wie gewohnt phpBB.de - Installation des Bundestrojaners erforderlich aufrufen.