PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : (Altes) Luxx Forum gehackt


captainsangria
2009-07-06, 08:14:00
Zur Info - da ich keinen Thread dazu gefunden habe:


http://www.hardwareluxx.de/community/showthread.php?t=625547

Hallo User unseres Forums,

am Abend des 02.07. hat sich ein Hacker Zugriff auf einen älteren Server von Hardwareluxx verschafft. Der Server gehört nicht zum Produktiv-System und wurde von uns nicht mehr verwendet, da er zum Ende Juli gekündigt ist. Auf diesem Server befand sich eine alte Datenbank des Forums, Stand Juli 2008, mit der wir Mitte letzten Jahres ein paar Foren-Funktionen getestet haben. Über eine Sicherheitslücke im „phpmyadmin“ schaffte es der Hacker, sich Zutritt zur Datenbank zu verschaffen.

Der Hacker hat im Anschluss - gestern Abend - auf sich aufmerksam gemacht, und uns so auf die Sicherheitslücke hingewiesen. Wir haben nach einer Evaluation des Schadens in der gestrigen Nacht und dem tatsächlichen Feststellen der Sicherheitslücke gehandelt:


Alle Benutzerkonten von Forumdeluxx, egal ob sicher oder unsicher, haben ein neues Passwort erhalten, egal ob diese per Entschlüsselung des MD5-Wertes für den Hacker zu knacken sind oder nicht. Sichere Passwörter sind sicherlich nicht ohne weiteres zu knacken, unsichere hingegen schon. Damit kein User-Account "entführt" wird, haben wir sämtliche Passwörter geändert.
Ein Benutzen des Forums ist also erst möglich, wenn man sich einmal ausgeloggt hat und unter diesem Link ( http://www.hardwareluxx.de/index.php?option=com_user&view=reset ) ein neues Passwort gewählt hat / sich zusenden lassen hat.
Der betroffene Server wurde abgestellt, die Sicherheitslücke ist geschlossen. Andere Server wurden überprüft, aber hier wurde aufgrund aktueller Software keine Kompromittierung festgestellt.


Wir gehen offen mit dieser Sicherheitslücke um, weil wir Forumdeluxx schnellstmöglich wieder sicher bekommen wollten und uns die Sicherheit sehr wichtig ist. Bitte achtet darauf, dass Euer neues Passwort sicher ist. Nutzt also eine Kombination aus Zahlen und Buchstaben mit Groß- und Kleinschreibung, aber keine realen Wörter. Im schlechtesten Fall hätte der Hacker mit Eurem alten, unsicheren Passwort und dem User-Account sich einloggen können, sofern er die MD5-Verschlüsselung des Passworts überwindet.

Alle User, die ihr Passwort bereits nach Juli 2008 geändert haben, oder die sich nach Juli 2008 erst registriert haben, sind nicht betroffen, wir haben die Passwörter aber trotzdem verändert.

Wir müssen uns für die Umstände des neuen Passwort-Anforderns bei unseren Foren-Usern entschuldigen.

Achtung: Sollte Eure Emailadresse nicht mehr die aktuelle sein, bitte meldet Euch bei dbode@hardwareluxx.com mit Eurem Nickname, der alten und der neuen Emailadresse. Danke!
Bitte legt Euch keine Doppelaccounts mit euren NEUEN Emailadressen an, ich kann sonst euren alten Account nicht umändern.

Ethan_Hawke
2009-07-06, 08:18:50
Und deswegen komm ich nichtmehr in mein Acc -.-***

captainsangria
2009-07-06, 08:27:03
Ich habe mich auch gewundert, warum ich auf einmal nicht mehr reinkomme.

Ethan_Hawke
2009-07-06, 08:29:24
Komischerweise hab ich das Passwort mit ziemlicher sicherheit nach Juli 08 schon geändert aber rein komm ich dennoch nicht.....und iwie nimt der meine email adresse nicht an *durchdreh*

sun-man
2009-07-06, 08:50:53
siehe hinweis
Komischerweise hab ich das Passwort mit ziemlicher sicherheit nach Juli 08 schon geändert aber rein komm ich dennoch nicht.....und iwie nimt der meine email adresse nicht an *durchdreh*
Alle User, die ihr Passwort bereits nach Juli 2008 geändert haben, oder die sich nach Juli 2008 erst registriert haben, sind nicht betroffen, wir haben die Passwörter aber trotzdem verändert.

drexsack
2009-07-06, 09:52:05
Mensch Mädels, da gab es doch für jeden den Hinweis. Das ganze dauert keine 2 Minuten ;)

RainingBlood
2009-07-06, 10:57:24
na toll. Ich komm auch nicht mehr rein, weil ich keinen Zugriff mehr auf die email-addy habe.

sun-man
2009-07-06, 11:18:33
Meine Güte, LESEN. Dbode ne Mail schreiben und gut ists.
Achtung: Sollte Eure Emailadresse nicht mehr die aktuelle sein, bitte meldet Euch bei dbode@hardwareluxx.com mit Eurem Nickname, der alten und der neuen Emailadresse. Danke!
Bitte legt Euch keine Doppelaccounts mit euren NEUEN Emailadressen an, ich kann sonst euren alten Account nicht umändern.

Eggcake
2009-07-06, 11:41:13
Haha schon übel.

Ich muss ehrlich gestehen, dass ich vor paar Tagen auch dumpf mein Acc+PW eingetippt habe (5x, bis es nimmer ging ;) ) ohne den Hinweis zu lesen. Habs dann aber auch kapiert :biggrin:

RainingBlood
2009-07-06, 11:47:44
stimmt. Bekomme ich meinen Account doch noch wieder.