Kompromittierung von Benutzerkonten bei netzlife

  • Ich vermute, wenn es einen Fehler in der Suite gibt, sich Woltlab dem schnell annehmen wird.


    Was anderes kann ich mir bis dato nicht erklären...

    Man kann vermuten was man will im moment. Es gibt nicht nur eine möglichkeit um an das dran zu kommen was man will ;)

    Woltlab Lücke wenn vorhanden, Server Lücke, DB Zugriff, Insider bzw. faules Ei im Team, Whatever. Es gibt viele Wege nach Rom :)

    Wenn ich etwas will, finde ich einen Weg es zu bekommen.

    Ich mache keine Fehler.......

    Ich erschaffe Katastrophen

  • Ich dachte, die PWs sind in der DB verschlüsselt und können nur vom "Forum" selbst entschlüsselt werden. War ich da bisher zu naiv? Ich habe das Jahre lang geglaubt und mich darauf verlassen. :(

    Sie können nicht entschlüsselt werden, es handelt sich um ein Einweg-Hash-Verfahren (BCrypt/Blowfish), das technisch darauf ausgelegt ist, eine Rückberechnung effektiv unmöglich zu machen. Das Forum kann diese auch nicht entschlüsseln, aber es kann auf dem selben Wege ein Hash eines Passworts berechnen und dann prüfen, ob der berechnete Hash mit dem Wert aus der Datenbank übereinstimmt.

    Das verwendete Verfahren garantiert de facto, dass es keine zwei Zeichenketten mit dem selben Hash gibt (Kollision) insbesondere bei den begrenzten Zeichenmengen mit denen wir arbeiten. Auf diese Weise gilt als gegeben, dass wenn zwei Hashes identisch sind, dass es sich bei dem Verfahren um den selben Ausgangswert handelt.

    (Und ja, ich habe es etwas verallgemeinert und vereinfacht dargestellt.)

  • Aber man könnte doch das Forum wieder eröffnen wenn alle notwendigen Schritte eingeleitet sind, oder sehe ich da Falsch?

    Zuerst mal gilt es zu klären wie der Angreifer Zugriff erlangen konnte und worauf er überall Zugriff hatte, da nicht auszuschließen ist dass er sich Backdoors eingebaut hat.

    Und danach muss man sich ein Sicherheits-Konzept überlegen um so etwas künftig zu verhindern.

    Derzeit sehe ich als außenstehender 2 Potentielle Angriffsvektoren: Nen Admin Acc wurde gehackt oder der FTP.

    Letzteres könnte man durch sFTP mit SSH-Keys ersetzen um die Sicherheit zu erhöhen, das kann man auch zusätzlich mit TOTP absichern falls gewünscht.

    Die Admin Accs könnte man ebenfalls mit dem 2FA Plugin von Hanashi absichern, das ACP selbst z.B. mit nur mit einem seperaten Acc erreichbar machen, usw.

    Es gibt so viele Dinge die man tun kann um es einem Angreifer möglichst schwer zu machen, leider kommen die Überlegungen oft zuspät.

  • Also hat mich keine 5 klicks (und 2 Suchbegriffe) gekostet das zu finden, nachdem ich den Thread hier gelesen hatte, wobei ich dir jetzt keinen Link schicken werde XD

  • Mich würde nur interessieren, wie die PW´s im Klartext ausgelesen oder was auch immer wurden

    Das ist relativ simpel - erfordert aber die Interaktion des Benutzers selbst (in welcher Form auch immer).

    Was hätte man als Betreff deiner Meinung nach nehmen sollen? Wir haben diesen Betreff nicht ohne Grund genommen, wir wollten damit bezwecken das kein Kunde/Mitglied hingeht und sagt "Ist ja bestimmt nur eine Werbemail oder so", unser Zeil war es das sich diese Mail jeder durch liest.

    Naja, "!!!Achtung - Nicht Ignorieren!!!" klingt genau wie alle anderen Spam-Mails in meinem Postfach. Ich war schon auf dem Melden-Button.

    Mal aus den letzten paar Mails:

    "Ihre persönlichen Daten sind gefährdet! Ändern Sie sofort Ihr Passwort!"

    "WICHTIG! Ich habe dich beim ʍasturbieren aufgenommen! Ich habe Myster..."

    "Ich benotige dringend Ihre Antwort"

    Wo haben wir (Anbieter) den Mist gebaut? Ich gehe ja auch nicht zu Hörmann und sage "Boah ihr habt Mist gebaut", nur weil sie gehackt wurden. Was ist das denn für eine Aussage?

    Ohne euch oder andere in Schutz nehmen oder anprangern zu wollen, aber de facto hat irgendjemand Mist gebaut. Die Frage ist lediglich wer und wie - und das werden die Ermittlungen zeigen.

    Bevor ich auf solchen Seiten eMailadressen zum Datensatz formen lasse, nur um zu erfahren das es mich ggf. nicht betrifft, warte ich auf die eMail-Antwort vom Seitenbetreiber, ob es mich betroffen hat oder nicht. Solche Sammelseiten, wo man nicht weiß wo die gesammelten Daten zu welchen Zweck landen, sind da nicht mein Weg sowas zu erfahren ...

    Wenn du da registriert warst und das Passwort wo anders ebenso verwendet hast, ist doch irrelevant, ob du betroffen bist, oder nicht. Dann hast du den Fehler bereits begangen, denn du nutzt das gleiche Passwort mehrmals. Ist ein Account mit der zugehörigen Adresse bereits kompromittiert, ist deine E-Mail-Adresse eh bereits gespeichert und wenn nicht, so steht sie bestimmt eh in deinem Impressum.

    Mich würde viel mehr interessieren, was ich als Admin tun kann, um einen solchen Datendiebstahl zu verhindern. Wie kann es sein, dass ein Angreifer an die Passwörter in Klarschrift kommt, wenn ich sie selbst nicht mal in der DB erkennen kann?? Ich dachte, die PWs sind in der DB verschlüsselt und können nur vom "Forum" selbst entschlüsselt werden. War ich da bisher zu naiv? Ich habe das Jahre lang geglaubt und mich darauf verlassen. :(

    Sichere Passwörter/Zertifikate/2Factor für ACP, (S)FTP(S), SSH, Datenbank, … und außerdem bei benutzerdefinierten Codes drei Mal prüfen, ob SQL-Injections oder Injections anderer Art vielleicht möglich sind. Dazu zählt auch nicht stumpf Codes zu kopieren, wie es hier leider verdammt viele tun; das sieht man immer wunderbar an der SEO-Kopiererei.

    Die Passwörter in der DB sind gehasht und "unbrauchbar" (vereinfacht gesprochen; natürlich lässt sich das Bruteforcen bzw. mit Tabellen abgleichen). Von daher halte ich eine Schwachstelle im WSC auch für unwahrscheinlich. Ich habe so eine Ahnung, woher das Problem rührt, aber das darf der Betreiber dann bestätigen oder verneinen, wenn es dann so weit ist.

    Ich kann und will nur hoffen, dass Woltlab eine eventuell existierende Sicherheitslücke schnell schließt, sollte es diese geben. Ansonsten wäre ich auf eine Antwort gespannt, wie mein Passwort aus meiner DB in Klarschrift in irgendwelchen Listen auftauchen könnte... :/

    Es wird mit ziemlicher Sicherheit nicht WoltLabs Schuld gewesen sein - denke ich.

    Aber man könnte doch das Forum wieder eröffnen wenn alle notwendigen Schritte eingeleitet sind, oder sehe ich da Falsch?

    Könnte man, wenn man irgendwann so weit ist und noch den Mut dazu hat, weiter zu machen.

    Schau mal auf

    Wie oft muss ich hier die Beiträge eigentlich noch melden? Hirn einschalten bitte! Auch, wenn die Liste einfach zu finden ist.

  • ich habe die eMail ausdrücklich für diese externen Shops angelegt, damit sie mir egal sein kann, ist sie auch, aber wenn da weitere Kundendaten dabei waren, das wäre schon eher interessant, Passwörter kann man übrigens auch allein erstellen ohne Passwortgeneratoren es gibt aber dann auch keine Garantie, es gibt nur eine begrenzte Anzahl Möglichkeiten ein Passwort zu erstellen, die möglichen Zeichen sind in ihrer Zahl und Art begrenzt, ich habe schon Seiten gehabt wo nicht mal Sonderzeichen akzeptiert worden, was dann die Möglichkeiten weiter einschränkt .. und wer die Impressum-eMail mit der gleich setzt mit der er sonst im Netz registriert ist, ist das kein Fehler?

    Dafür gibt es doch die Möglichkeit sich bei einem oder mehreren eMail-Providern Postfächer zu holen um nicht mit einer eMail auf allen Servern und Seiten parallel zu sein?

    So blöd bin ich nebenbei nicht gewesen, das Alles mit einer eMail zu machen, was das "deine Daten sind schon im Netz angeht, das ist korrekt, aber da weiß ich, wen ich dafür hochziehen kann. Wenn man dann so einen Angriff mitkriegt, ist halt K*cke, ändern kann man das nicht, die Leute die diese Anti-Geschichten schreiben, haben in der Mehrzahl der Fälle auch vorher gratis den Bedarf für die Entgelt-Anti geschaffen ..

    Somit ist das was man tun kann - offline bleiben - es gibt Nichts sicher im Netz das ist ja auch so nicht vorgesehen gewesen.

    "eigenverantwortlich" dafür Sorge zu tragen das keine Dritten die Passwörter kriegen und Niemand die registrierten Accounts missbräuchlich verwenden kann, den Trick hab ich bisher nicht gesehen, aber den Hinweis darauf, das der künftig Registrierte User selbst dafür Sorge zu tragen hat, den gibts fast überall ..

    und was nutzt das?

    Wie das hier ein paar Beiträge drüber schon treffend formuliert ist, wer es darauf anlegt, Daten zu kriegen findet einen Weg, egal ob der User sich die Passwörter auf einen Zettel neben den Rechner gelegt hat oder ggf. sogar die Zeichenfolgen bis zur 65 Stelle im Gedächtnis hat ..

    Sobalt der Anwender die Daten in ein Formular tippselt, ist es mit der Sicherheit vorbei - da kann httpS nichts dran ändern und kein Nichts - die Zeichentabelle ist endlich, im Gegensatz zu den kreativen Findungen Dritter an diese Daten zu kommen, da gibt es keine Möglichkeit auf Sicher. Ich habe übrigens auch niemandem die Schuld gegeben / geben wollen, das war eine ganz trockene Feststellung, das die Daten vor dem Verkauf nicht geleakt worden ..

    Da die Ermittlungen laufen und dann sicher auch Ergebnisse liefern werden, werde ich mal auf diese Ergebnisse warten .. mehr kann man ja nicht machen ..


    Ich habe meine Passwörter und Usernamen geändert, damit ist das also von meiner Seite aus umgesetzt .. mal sehen was bei den Ergebnisberichten so zu erfahren ist ..

    Hunde die bellen, beißen nicht? -> nun, ich bin kein Hund. -> Ich belle nicht. - Ich Beiße! 8o

  • Unabhängig das ich erst hier dadurch erfahren habe, weil die Mails von Netzlife im Spam landen finde ich es auch nicht gut gewählt. Gerade solche Titel landen im Spam Filter von Outlook (Windows live.de). Naja sind wir mal gespannt was da nun rauskommt. Lustig finde ich es allerdings echt nicht. Da ich allerdings von WL keine Mail bekommen habe und hier normal eingeloggt bin und die Liste leider nicht kenne gehe ich davon aus das meine Daten erst mal nicht so krass betroffen sind. Derzeit habe ich allerdings auch nichts bemerkt bei mir das andere Daten beeinflusst worden sind.

  • Unabhängig das ich erst hier dadurch erfahren habe, weil die Mails von Netzlife im Spam landen finde ich es auch nicht gut gewählt. Gerade solche Titel landen im Spam Filter von Outlook (Windows live.de). Naja sind wir mal gespannt was da nun rauskommt. Lustig finde ich es allerdings echt nicht. Da ich allerdings von WL keine Mail bekommen habe und hier normal eingeloggt bin und die Liste leider nicht kenne gehe ich davon aus das meine Daten erst mal nicht so krass betroffen sind. Derzeit habe ich allerdings auch nichts bemerkt bei mir das andere Daten beeinflusst worden sind.

    Doch. Deine Mailadresse und Passwort waren enthalten. Also ich würde Dir raten mal zu schauen ob Du das Passwort nicht noch woanders verwendest.

  • Wo habt ihr den die Liste.

    Wie hier bereits mehrfach geschrieben wurde, findet man die sehr leicht bei Google. Selbstverständlich sollte hier aber kein Link gepostet werden.

    So wie ich das verstanden habe, sind aber ausnahmslos alle Nutzer der Seite betroffen.

    Oder hatten die mehr als 115 Nutzer? So viele Datensätze sind in der Liste.

  • Wie hier bereits mehrfach geschrieben wurde, findet man die sehr leicht bei Google. Selbstverständlich sollte hier aber kein Link gepostet werden.

    So wie ich das verstanden habe, sind aber ausnahmslos alle Nutzer der Seite betroffen.

    Oder hatten die mehr als 115 Nutzer? So viele Datensätze sind in der Liste.

    Meine Daten waren nicht enthalten, obwohl ich dort Angemeldet war.

  • Meine Daten waren nicht enthalten, obwohl ich dort Angemeldet war.

    Ah okay, dann hatte ich das falsch verstanden. Kommt mir aber komisch vor ^^ Ich würde jedenfalls so oder so das Passwort ändern, falls woanders genutzt, wenn ein Leak von einer Seite existiert. Man kann nie wissen ^^

  • Ich finde bei google nichts. Wieso kein link? Weil dort klar Daten stehen oder was? Also bei Firefox Monitor steht leider nichts und andere Seiten wo solche leaks stehen kenne ich nicht. Daher NOCH MAL ich weiß nicht wo man das einsehen kann(?)

  • Ja, das ist eine Liste mit E-Mail Adressen und den dazugehörigen Passwörtern.

    Deine Adresse ist dabei, wie dir schon gesagt wurde, was willst du sonst wissen?

    Du kannst deine Mail Adresse ja spaßeshalber mal dort checken: https://haveibeenpwned.com/

    Habe ich bereits und dort kommt nichts raus auch auf der deutschen Seite steht dort nichts auch Firefox wie gesagt gibt nichts aus(!)

  • Wenn es dir nur um deinen eigenen Datensatz geht kann ich dir den schicken. An der Verbreitung einer solchen Liste beteilige ich mich aus offensichtlichen Gründen aber nicht und ich bin mir sicher, dass das auch seitens Woltlab nicht erwünscht ist

    /edit: Ach lieber doch nicht, fehlende Verifizierung ^^

    Edited 2 times, last by Tobias777 (December 14, 2019 at 7:01 AM).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!