Boardunity Ratgeber Forum

Boardunity Ratgeber Forum (https://boardunity.de/)
-   Boardunity-Talk (https://boardunity.de/boardunity-talk-f8.html)
-   -   phpbb.de und woltlab.de - Userdaten-Klau (https://boardunity.de/phpbb-de-woltlab-de-userdaten-klau-t5644.html)

gfc 04.02.2008 21:00

phpbb.de und woltlab.de - Userdaten-Klau
 
Zitat:

heute haben wir leider weniger erfreuliche Nachrichten für euch. Gestern wurde ein gezielter Angriff auf phpBB.de gefahren. Wir müssen derzeit davon ausgehen, dass durch diesen Angriff die Benutzerdaten (Benutzername, E-Mail-Adresse und MD5-Hash des Passworts) der auf phpBB.de registrierten Benutzer offengelegt wurden. In wie weit diese Daten missbräuchlich verwendet wurden/werden, ist uns derzeit nicht bekannt - allerdings kann nicht ausgeschlossen werden, dass diese Daten missbräuchlich verwendet werden.

Ihr solltet daher davon ausgehen, dass eure oben genannten Daten öffentlich sind und insbesondere das Passwort ändern. Denkt bitte auch an die Stellen, an denen ihr das gleiche Passwort verwendet und insbesondere den betroffenen E-Mail-Account. Durch einen Brute-Force-Angriff ist es möglich, dass euer Passwort entschlüsselt wird / wurde.

Ein Strafantrag wurde gestellt. Weitere Informationen werden wir zu gegebener Zeit an dieser Stelle veröffentlichen.

Wir möchten uns bei euch für die entstandenen und entstehenden Umstände vielmals entschuldigen. Ihr könnt euch sicher sein, dass uns diese Situation extrem peinlich ist. Zugleich bitten wir auch um Verständnis, dass wir auf Grund der laufenden Ermittlungen derzeit einen Teil unserer Erkenntnisse nicht veröffentlichen werden.
Benutzerdaten auf phpBB.de ausspioniert :: phpBB.de

Ehrlich gesagt: Überrascht mich nicht. Gar nicht. Sicherheit war bei phpbb.de nie wirklich ein Thema, wie man z.B. bei den diskussionen bei den Würmern und CBACKS CrackerTracker sehen konnte..

Titus 04.02.2008 21:34

viel erschreckender ist für mich wie viele "Helden" dem Anschein nach nur ein universal PW benutzen
man vertraut wohl jedem Admin blind

persönlich denke ich hat man es hauptsächlich auf die Emailadressen abgesehen, da seit Heute auf eben diese Adresse Spammails eintreffen :(

Zitat:

Sicherheit war bei phpbb.de nie wirklich ein Thema
wo ist das bitte anders? Jede Community lobpreised doch "seine" Software als die einzig Wahre, das findest du von vB, wBB über phpBB (incl aller Forks) bis MyBB und SMF
auch der CT wird als sicher gehandelt, hilft blos keinem wenn man ein Language-file aufrufen kann

gfc 04.02.2008 21:54

Es ist nunmal schwerlich praktikabel, für jedes Forum im Netz, an dem man sich anmelden will oder muss, ein anderes Passwort zu wählen. Ich weiss ja nicht, an wievielen Foren du angemeldet bist, aber ich schätz mal ich bin deutlich im dreistelligen Bereich...

Ich persönlich halt mir so gegen 10-15 Passwörter, um im Falle des Falles den Schaden einigermassen eingrenzen zu können und trotzdem einen gewissen Konfort zu haben.

Und zum Thema Sicherheit: phpbb.de sollte durchwegs sensibilisiert auf dieses Thema sein. Ist ja nicht das erste mal, dass das Forum erfolgreich angegriffen wurde. Dahingegen ist mir kein erfolgreicher Hack auf die anderen grossen offiziellen Foren bekannt. Man möge mich belehren, wenn ich mich irre.

Wulfnoth 04.02.2008 22:08

Ja sehe ich ähnlich wie gfc, es ist schier unmöglich für jedes Forum ein Passwort zu haben. Durch regelmäßige Passwortwechsel habe ich ca. 10 Passwörter angehäuft, die ich ausprobieren kann um mich einzuloggen.

Titus 05.02.2008 10:10

naja wenn ich mir meine PW merken müsste, wäre das sicher ein Problem ^^, ich hab meine PW halt notiert oder lasse mir umgehend ein neues zusenden, so hab ich es im Posteingang wenn ich mal eines vermisse

ich denke mal wenn man ein cryptisches PW hat sollte das auch weit weniger ein Problem sein

Wulfnoth 05.02.2008 10:21

Wenn ich immer am selben PC sitzen würde, wäre das sicher kein Problem - nur leider ist dem nicht so. Einloggen ist für mich kein einmaliger Vorgang. ;)

Titus 05.02.2008 10:30

VPC oder Portable Frickelfox am USB Stick ^^
so hat man sein System immer dabei :D
alternativ gibts ja dieses komische "webmail" oder wie das Zeug heisst, als webmaster sollte man ja auch die Möglichkeit haben seinen Krempel im web zu speichern den man öfter braucht ;)

Wulfnoth 05.02.2008 11:21

Laut Heise ist WoltLab wohl auch betroffen.

Luki 05.02.2008 12:24

Liste der Anhänge anzeigen (Anzahl: 1)
sehr übel ist das die Userdaten natürlich sofort auf entsprechenden Marktplätzen verkauft werden :mad:

(siehe Screenshot)

Titus 05.02.2008 12:50

Danke für die Info, hab vorsichtshalber bei WL mal die Daten zum Mitgliederbereich geändert, da mich das nun doch etwas mehr beunruhigt als die phpBB-Sache :(

rellek 05.02.2008 14:22

.....

Wulfnoth 05.02.2008 14:47

Zitat:

Zitat von rellek (Beitrag 44156)
Naja wenigstens gabs bei phpbb.de die Info dass es so ist wie es ist :rolleyes:

WoltLab hat nun wohl auch nachgezogen: Einbruch in die Foren-Datenbank - Nachrichten und Ankündigungen - WoltLab Supportforum

Titus 05.02.2008 15:17

Wahnsinn, jedem Anfänger predigt man das ACP via htaccess zu sichern :D

rellek 05.02.2008 15:31

.....

Titus 05.02.2008 15:35

vielleicht hat Stefan das selbe PW in der Htaccess ^^

Frederic Schneider 05.02.2008 16:10

Es handelt sich zumindest um kein sicherheitstechnisches Problem der Software sondern tendenziell um menschliches Versagen. Sicher kann das zurzeit niemand sagen.

rellek 05.02.2008 16:12

.....

Frederic Schneider 05.02.2008 16:14

~ Erledigt ~

JonnyX 05.02.2008 21:17

das deutsche smf Protal wurde auch gehackt, just 4 info

Fry 06.02.2008 11:03

Zitat:

Forbidden

You don't have permission to access /forum/ on this server.
Apache/2.2.3 (Red Hat) Server at www.vbulletin-germany.com Port 80
Vbulletin-Seiten sind nicht erreichbar... hoffe das da nun nichts passiert. ;)

rellek 06.02.2008 11:24

.....

Fry 06.02.2008 12:02

ach ja genau... in all den trouble dachte ich da an was schlimmeres ;)

*puh*

rellek 06.02.2008 12:40

.....

Ghost11 01.04.2008 09:04

Also, sollte ich das gerade richtig sehen und verstehen, so wurde phpBB.de - Installation des Bundestrojaners erforderlich gerade schon wieder gehackt ... :rolleyes:

... oder netter April April Scherz ... :D

xKai666x 01.04.2008 14:00

Nein, ist nur ein Aprilscherz, sobald Du auf den Download PrÜFIn Button klickst, kommt folgendes:

April, April!

Auch wenn es die Vorratsdatenspeicherung tatsächlich gibt, ist die Benutzung eines Bundestrojaners zum Glück noch nicht erforderlich. Du kannst auch weiterhin phpBB.de mit einem ganz normalen Browser besuchen.
Soeben wurde ein Cookie gesetzt, du kannst ab sofort wie gewohnt phpBB.de - Installation des Bundestrojaners erforderlich aufrufen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:30 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24