Datensicherheit Forumslogin

MagicEye04

Grand Admiral Special
Mitglied seit
20.03.2006
Beiträge
11.118
Renomée
178
Standort
oops,wrong.planet..
  • BOINC Pentathlon 2011
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
  • SETI@Home Intel-Race II
  • BOINC Pentathlon 2020

Onkel_Dithmeyer

Redaktion
☆☆☆☆☆☆
Mitglied seit
22.04.2008
Beiträge
8.808
Renomée
3.265
Standort
Zlavti
  • BOINC Pentathlon 2011
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • SETI@Home Intel-Race II
  • BOINC Pentathlon 2020
Die Passwörter werden als verschlüsselte und gesalzene Hashs angelegt. Details dazu kann nur die Administration geben. Nach meinem Kenntnisstand besteht daher kein Grund zur Sorge, eine gelegendliche Passwortänderung ist aber nie verkehrt.
 

TiKu

Administrator
Teammitglied
Mitglied seit
16.11.2001
Beiträge
15.038
Renomée
952
Standort
Unterföhring
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • Docking@Home
Die Sache wird von uns noch untersucht.
 

mulle

Vice Admiral Special
Mitglied seit
07.04.2013
Beiträge
627
Renomée
83
  • BOINC Pentathlon 2017
Meine Mail steht auch beim HPI und die verwende ich tatsächlich nur hier...
 

Seemann

Admiral Special
Mitglied seit
17.04.2002
Beiträge
1.149
Renomée
28
Standort
Langenhagen
  • Spinhenge ESL
  • Docking@Home
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
Zumindest würde der (potenzielle) Leak erklären, warum wor einigen Wochen etliche Threads im DC-Forum verhuddelt waren.
 

burki_pdm

Lieutnant
Mitglied seit
18.07.2008
Beiträge
99
Renomée
6
Standort
Potsdam
  • BOINC Pentathlon 2016
Also ich deklariere mal alle meine Threads, die irgendwie "nutzlos" waren mal als das Werk von irgendwelchen Hackern:)

Nee, aber mal im Ernst. Das erste mal eben im DC Bereich des Forums darüber gelesen. Natürlich voller Sorge, das jemand geschädigt wurde oder nur, sich eben unsicher fühlt.
Was ich bisher Schlussfolger ist aber, das es sich hier um P3d Accounts handelt (meiner auch, laut dem Test vom HPI) die wohl alle im September betroffen wurden.

Ich habe mal mehrere Email Adressen von mir gecheckt, alle "sauber" ausser 2. Die hier vom Forum und eine ist bereits seit 2012 betroffen, durch Last.FM, also die ich da nutze oder mal genutzt habe. Zum Glück hat bisher niemand meine Sozialversicherungsnummer erbeutet :)
 

BoMbY

Grand Admiral Special
Mitglied seit
22.11.2001
Beiträge
5.020
Renomée
253
Standort
Aachen
Ähh ja. Salted Hash oder nicht, man hätte auf jeden Fall beim ersten Bekanntwerden/Verdacht eine Info veröffentlichen sollen, und den Nutzern sollte empfohlen werden die Passwörter zu ändern, usw. usf.
 

macom

Grand Admiral Special
Mitglied seit
05.12.2001
Beiträge
2.243
Renomée
45
Standort
Kiel
  • QMC Race
  • RCN Russia
  • Spinhenge ESL
Hi,
auch ich bin mit 2 Email Adressen betroffen die ich hier im Forum nutze/genutzt habe! :[
Die eine war meine Anmelden Email, die habe ich so um 2012 geändert, und meine aktuelle Email. Wie kann das sein? Speichert das Forum auch noch die alten Adressen?
Wieso bekommt man keine Infos über sowas? Das Problem scheint ja schon seit September bekannt zu sein....

Mfg
macom
 

TiKu

Administrator
Teammitglied
Mitglied seit
16.11.2001
Beiträge
15.038
Renomée
952
Standort
Unterföhring
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • Docking@Home
Wieso bekommt man keine Infos über sowas? Das Problem scheint ja schon seit September bekannt zu sein....
Uns ist das Problem erst seit dieser Woche bekannt. Einen Hinweis zu veröffentlichen macht erst Sinn, wenn die Lücke geschlossen ist. Andernfalls ändern alle Nutzer brav ihr Passwort, obwohl nach wie vor Daten abgegriffen werden können. Die Passwortänderung wäre dann relativ nutzlos.
 

The_crow

Grand Admiral Special
Mitglied seit
04.06.2005
Beiträge
2.272
Renomée
45
@TiKu
OK, wenn das so ist. Eine Mail
Unternehmt ihr was und was wurde alles kopiert? Nur Passwörter oder auch E-Mailadressen? Wie sind die E-Mailadressen gespeichert? im Klartext oder verschlüsselt?
 

MagicEye04

Grand Admiral Special
Mitglied seit
20.03.2006
Beiträge
11.118
Renomée
178
Standort
oops,wrong.planet..
  • BOINC Pentathlon 2011
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
  • SETI@Home Intel-Race II
  • BOINC Pentathlon 2020
Na wenn die Adressen in einer Datenbank gelandet sind, werden sie ja wohl auch mit kopiert worden sein.
Wie hätte das HPI sonst den Bezug von den Adressen zum Forum herstellen können?
 

tomturbo

Technische Administration, Dinosaurier
Mitglied seit
30.11.2005
Beiträge
7.151
Renomée
117
Standort
Österreich
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
Was HPI als Datenquelle hat wissen wir nicht.
Wir wissen auch nicht, was sie an Daten haben, von welchem Datum und wie viel es ist.
 

BoMbY

Grand Admiral Special
Mitglied seit
22.11.2001
Beiträge
5.020
Renomée
253
Standort
Aachen
Ehh, sollten die nicht den Betreiber umfassend informieren, bevor die den Kram in ihre Datenbank packen? Was ist denn das für einen merkwürdiger Verein? Und gibt es da nicht gesetzliche Bestimmungen?
 

tomturbo

Technische Administration, Dinosaurier
Mitglied seit
30.11.2005
Beiträge
7.151
Renomée
117
Standort
Österreich
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
Ehh, sollten die nicht den Betreiber umfassend informieren, bevor die den Kram in ihre Datenbank packen? Was ist denn das für einen merkwürdiger Verein? Und gibt es da nicht gesetzliche Bestimmungen?
Das wäre sicher die feine, englische Art gewesen...
 

mysuYin

Captain Special
Mitglied seit
30.07.2004
Beiträge
214
Renomée
0
Gibt es hierzu Neuigkeiten? Habe heute auch meine Mail in dieser Datenbank entdeckt.
 

Riddler82

Leitung Moderation
Teammitglied
Mitglied seit
11.11.2001
Beiträge
5.818
Renomée
163
Standort
Bayern, am Rande des Wahnsinns
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • BOINC Pentathlon 2012
  • BOINC Pentathlon 2014
Eigentlich nicht.

Ja, die E-Mailadressen und Passwörter wurden durch eine Wordpresslücke* vBulletin-Lücke abgegriffen. Ein Patch stand meines Wissens aber erst danach zur Verfügung.
Die Passwörter waren verschlüsselt und gesalzen, was zumindest einen sofortigen Missbrauch verhindert haben dürfte.
Alle Passwörter wurden von uns dennoch zur Sicherheit zurückgesetzt, die Lücke natürlich geschlossen und das Verfahren zum Verschlüsseln/Salzen geändert.

Informationen bekamen wir leider auch keine mehr.
Ebenso wurden wir ärgerlicherweise NICHT vom HPI informiert, was, wie tomturbo schon schrieb, eigentlich die feine Englische gewesen wäre.

Das ist der aktuelle Stand.

Es gilt weiterhin, dass man a) das alte Passwort nicht nochmal benutzen sollte und b) bei anderen Diensten bei denen das selbe Passwort (oder ein sehr ähnliches) und die gleiche Mailadresse genutzt wurden ändern soll um Missbrauch zu verhindern.

*edit: Korrigiert, danke tomturbo. Eigentlich wusste ich es ja...
 
Zuletzt bearbeitet:

tomturbo

Technische Administration, Dinosaurier
Mitglied seit
30.11.2005
Beiträge
7.151
Renomée
117
Standort
Österreich
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
Der Vollständigkeit halber eine kleine Korrektur: Es war eine VB-Lücke und keine WP-Lücke.
 
Oben Unten