Sicher ist Sicher, sicher?

DasBossInDaHaus

DasBossInDaHaus

Vice Admiral Special
Mitglied seit
30.07.2007
Beiträge
916
Renomée
7
Standort
zuhause ;-)
Hallo
Ich bin/war im phpbb-support-forum angemeldet, hab ewigkeiten nix mehr gepostet und dann kam heute abend eine mail, dass alle nutzerdaten inkl eMail-adresse gestohlen worden seien.
Ich zitiere
Hallo zusammen,

heute haben wir leider weniger erfreuliche Nachrichten für euch. Gestern wurde ein gezielter Angriff auf phpBB.de gefahren. Wir müssen derzeit davon ausgehen, dass durch diesen Angriff die Benutzerdaten (Benutzername, E-Mail-Adresse und MD5-Hash des Passworts) der auf phpBB.de registrierten Benutzer offengelegt wurden. In wie weit diese Daten missbräuchlich verwendet wurden/werden, ist uns derzeit nicht bekannt - allerdings kann nicht ausgeschlossen werden, dass diese Daten verkauft werden.

Ihr solltet daher davon ausgehen, dass eure oben genannten Daten öffentlich sind und insbesondere das Passwort ändern. Denkt bitte auch an die Stellen, wo ihr das gleiche Passwort verwendet und insbesondere den betroffenen E-Mail-Account. Durch einen Brute-Force-Angriff ist es möglich, dass euer Passwort entschlüsselt wird / wurde.

Weitere Informationen: [<link der für hier keine rolle spielt>]

Wir möchten uns bei euch für die entstandenen und entstehenden Umstände vielmals entschuldigen. Ihr könnt euch sicher sein, dass uns diese Situation extrem peinlich ist. Weitere Informationen werden wir ggf. unter oben genannter Adresse veröffentlichen.

Viele Grüße,

euer phpBB.de-Team
Zum Vergrößern anklicken....

So, jetzt hab ich natürlich sorge, dass das auch an vielen anderes stellen passieren könnte, zB in diesem Forum. wie wahrscheinlich ist das?
 
DasBossInDaHaus schrieb:
So, jetzt hab ich natürlich sorge, dass das auch an vielen anderes stellen passieren könnte, zB in diesem Forum. wie wahrscheinlich ist das?
Zum Vergrößern anklicken....
100% sicher ist gar nichts ;)
Wir tun aber das Möglichste das System ständig mit den aktuellsten Sicherheitspatches auszustatten.

Wobei zu sagen ist, dass eine MD5 Prüfsumme nicht rückrechenbar ist .......

Brute force ist zumindest ziemlich ausschließbar bei uns, weil eine 5-malige Falscheingabe des Kennworts mit einer Sperre von 15Minuten belegt wird.

lg
__tom
 
Wieso sollte das nicht gehen?
md5.PNG
 
Tyracor schrieb:
Wieso sollte das nicht gehen?
Zum Vergrößern anklicken....
Weil,

1. die MD5's nicht von außen zugänglich sind
und
2. Du nicht wissen kannst mit welchem salt sie zb. zusätzlich verschlüsselt sind.

lg
__tom
 
Außerdem gibt es eine ganz einfache Möglichkeit einen Datendiebstahl zu verhindern.

Einfach keine personenbezogenen Daten eingeben. Beispielsweise durch die Verwendung von "Wegwerf-eMail-Adressen".
 
SPINA schrieb:
Beispielsweise durch die Verwendung von "Wegwerf-eMail-Adressen".
Zum Vergrößern anklicken....
Die aber hier nicht akzeptiert werden ;)
... und die blacklist wächst ständig weiter ...

lg
__tom

EDIT: Auszug aus den Forenrules:
Mit der Registrierung erklärt sich der Benutzer damit einverstanden, über wichtige Änderungen in den Forumsregeln und Veranstaltungen der Webseite Planet 3DNow! per E-Mail informiert zu werden. Bei aktiver Nutzung des Forenaccounts bitten wir Euch die E-Mail-Adresse aktuell zu halten, um eine Kommunikation zwischen Betreiber und Nutzer im Bedarfsfall zu gewährleisten.
Zum Vergrößern anklicken....
 
tomturbo schrieb:
Weil,

1. die MD5's nicht von außen zugänglich sind
und
2. Du nicht wissen kannst mit welchem salt sie zb. zusätzlich verschlüsselt sind.

lg
__tom
Zum Vergrößern anklicken....

Sie gehen doch davon aus, dass die MySQL Table "gestohlen" worden ist.
Somit haben die die Hashes. Und afaik nutzen die die normale md5() Funktion.
Ohne jetzt nachgeguckt zu haben.
 
Tyracor schrieb:
Sie gehen doch davon aus, dass die MySQL Table "gestohlen" worden ist.
Somit haben die die Hashes. Und afaik nutzen die die normale md5() Funktion.
Ohne jetzt nachgeguckt zu haben.
Zum Vergrößern anklicken....
"Sie" haben nicht gesagt was die haben.
Unsere Mysql Tabelle haben sie jedenfalls nicht ;) und im Namen unseres Forums habe ich für unser Forum auf die Fragen geantwortet.

lg
__tom
 
Wie tomturbo bereits sagte, wir tun alles in unserer Macht stehende um solche Angriffe zu verhindern. 100%ige Sicherheit kann jedoch niemand garantieren.
 
au mann dieser *****... admins müsstens eigentlich besser wissen
der kriegt bestimmt n kickbann auf ich will net wissen wie lange :)
 

Ähnliche Themen

thermoman
P3Dnow-Foren-Datenbank geleakt?
Antworten
3
Aufrufe
559
Riddler82
Riddler82
P3D-Bot
News SETI.Germany : DENIS@home: erneuerte Webseite und neue WUs
Antworten
0
Aufrufe
345
P3D-Bot
P3D-Bot
P3D-Bot
News SETI.Germany : Einstein@Home: Zusammenfassung und Ausblick zur Suche nach Radio- und Gamma-Pulsaren
Antworten
0
Aufrufe
444
P3D-Bot
P3D-Bot
P3D-Bot
News SETI.Germany : World Community Grid: Projekt wieder in Betrieb und Neuigkeiten zu drei Subprojekten
Antworten
0
Aufrufe
364
P3D-Bot
P3D-Bot
P3D-Bot
News SETI.Germany : World Community Grid: Neuigkeiten der Subprojekte in den letzten Monaten
Antworten
0
Aufrufe
464
P3D-Bot
P3D-Bot
Zurück
Oben Unten