Intern: Bitte Passwörter ändern (Nachtrag)

Leider müssen wir euch mitteilen, dass offenbar Nutzerdaten einschließlich der Passwörter von unserem Forum ausgelesen wurden und im Darknet kursieren. Da wir ein vBulletin-Forum verwenden, mutmaßlich durch eine Sicherheitslücke in der vB-Software.

Natürlich speichert die vBulletin-Forensoftware Passwörter nicht im Klartext, sondern mehrfach verhasht und mit einem Salt versehen. Jedoch lässt sich letztlich auch das mittels Brute Force dekodieren. Mit der Leistung aktueller Grafikkarten geht das leider schneller als man glauben mag, insbesondere bei einfachen Passwörtern.

Der Datensatz stammt angeblich vom September 2016. Wir haben den neuesten Patch für vBulletin 4.2.3 installiert, die Sicherheitslücke sollte damit geschlossen sein. Da wir im Gegensatz etwa zu einem Online-Shop weder Klarnamen, noch Adresse oder gar Kreditkarten-Informationen erheben oder speichern, dürften sich die potenziellen Zugangsdaten auf das Forum beschränken.

Bitte ändert eure Passwörter.

Nachtrag 13.11.2016
Da leider bisher nur ein kleiner Bruchteil der User das Passwort geändert haben und es sicherlich auch nach längerer Wartezeit nie 100% werden, haben wir uns entschlossen, das Passwort für alle anderen zurückzusetzen, um dieses schwebende Damoklesschwert zu beseitigen. Da vBulletin keine eingebaute Funktion dafür hat, mussten wir dafür zuerst einmal ein funktionierendes Verfahren selber austüfteln ohne das Forum kaputtzumachen.

Wir entschuldigen uns für diese Unannehmlichkeit, aber das Passwort sollte sowieso von jedem öfter mal geändert werden, dies gilt hier genauso wie auf allen anderen Webseiten. Beim nächsten Einloggen ins Forum wird jeder seinen Account reaktivieren müssen, der sein Passwort seit gestern noch nicht geändert hat. Dazu kann man sich hier ein neues Passwort zuschicken lassen:

Danach kann/sollte ein neues Passwort vergeben werden. Dieses sollte wie üblich kleine und große Buchstaben, Zahlen und Sonderzeichen enthalten und auf keinen Fall zu kurz sein, denn 8 Zeichen gelten heute schon als schnell knackbar, also das Passwort besser deutlich länger machen! Zudem sollte es natürlich ein Passwort sein, das sonst nirgendwo benutzt wird, vor allem nicht für die Mailbox oder für Accounts mit Zahlungsoptionen (Paypal, Amazon, generell Onlineshops).