News Intern: Bitte Passwörter ändern (Nachtrag)
- Ersteller TiKu
- Erstellt am
Leider müssen wir euch mitteilen, dass offenbar Nutzerdaten einschließlich der Passwörter von unserem Forum ausgelesen wurden und im Darknet kursieren. Da wir ein vBulletin-Forum verwenden, mutmaßlich durch eine Sicherheitslücke in der vB-Software.
Natürlich speichert die vBulletin-Forensoftware Passwörter nicht im Klartext, sondern mehrfach verhasht und mit einem Salt versehen. Jedoch lässt sich letztlich auch das mittels Brute Force dekodieren. Mit der Leistung aktueller Grafikkarten geht das leider schneller als man glauben mag, insbesondere bei einfachen Passwörtern.
Der Datensatz stammt angeblich vom September 2016. Wir haben den neuesten Patch für vBulletin 4.2.3 installiert, die Sicherheitslücke sollte damit geschlossen sein. Da wir im Gegensatz etwa zu einem Online-Shop weder Klarnamen, noch Adresse oder gar Kreditkarten-Informationen erheben oder speichern, dürften sich die potenziellen Zugangsdaten auf das Forum beschränken.
Bitte ändert eure Passwörter.
Nachtrag 13.11.2016
Da leider bisher nur ein kleiner Bruchteil der User das Passwort geändert haben und es sicherlich auch nach längerer Wartezeit nie 100% werden, haben wir uns entschlossen, das Passwort für alle anderen zurückzusetzen, um dieses schwebende Damoklesschwert zu beseitigen. Da vBulletin keine eingebaute Funktion dafür hat, mussten wir dafür zuerst einmal ein funktionierendes Verfahren selber austüfteln ohne das Forum kaputtzumachen.
Wir entschuldigen uns für diese Unannehmlichkeit, aber das Passwort sollte sowieso von jedem öfter mal geändert werden, dies gilt hier genauso wie auf allen anderen Webseiten. Beim nächsten Einloggen ins Forum wird jeder seinen Account reaktivieren müssen, der sein Passwort seit gestern noch nicht geändert hat. Dazu kann man sich hier ein neues Passwort zuschicken lassen:
Danach kann/sollte ein neues Passwort vergeben werden. Dieses sollte wie üblich kleine und große Buchstaben, Zahlen und Sonderzeichen enthalten und auf keinen Fall zu kurz sein, denn 8 Zeichen gelten heute schon als schnell knackbar, also das Passwort besser deutlich länger machen! Zudem sollte es natürlich ein Passwort sein, das sonst nirgendwo benutzt wird, vor allem nicht für die Mailbox oder für Accounts mit Zahlungsoptionen (Paypal, Amazon, generell Onlineshops).
Natürlich speichert die vBulletin-Forensoftware Passwörter nicht im Klartext, sondern mehrfach verhasht und mit einem Salt versehen. Jedoch lässt sich letztlich auch das mittels Brute Force dekodieren. Mit der Leistung aktueller Grafikkarten geht das leider schneller als man glauben mag, insbesondere bei einfachen Passwörtern.
Der Datensatz stammt angeblich vom September 2016. Wir haben den neuesten Patch für vBulletin 4.2.3 installiert, die Sicherheitslücke sollte damit geschlossen sein. Da wir im Gegensatz etwa zu einem Online-Shop weder Klarnamen, noch Adresse oder gar Kreditkarten-Informationen erheben oder speichern, dürften sich die potenziellen Zugangsdaten auf das Forum beschränken.
Bitte ändert eure Passwörter.
Nachtrag 13.11.2016
Da leider bisher nur ein kleiner Bruchteil der User das Passwort geändert haben und es sicherlich auch nach längerer Wartezeit nie 100% werden, haben wir uns entschlossen, das Passwort für alle anderen zurückzusetzen, um dieses schwebende Damoklesschwert zu beseitigen. Da vBulletin keine eingebaute Funktion dafür hat, mussten wir dafür zuerst einmal ein funktionierendes Verfahren selber austüfteln ohne das Forum kaputtzumachen.
Wir entschuldigen uns für diese Unannehmlichkeit, aber das Passwort sollte sowieso von jedem öfter mal geändert werden, dies gilt hier genauso wie auf allen anderen Webseiten. Beim nächsten Einloggen ins Forum wird jeder seinen Account reaktivieren müssen, der sein Passwort seit gestern noch nicht geändert hat. Dazu kann man sich hier ein neues Passwort zuschicken lassen:
Danach kann/sollte ein neues Passwort vergeben werden. Dieses sollte wie üblich kleine und große Buchstaben, Zahlen und Sonderzeichen enthalten und auf keinen Fall zu kurz sein, denn 8 Zeichen gelten heute schon als schnell knackbar, also das Passwort besser deutlich länger machen! Zudem sollte es natürlich ein Passwort sein, das sonst nirgendwo benutzt wird, vor allem nicht für die Mailbox oder für Accounts mit Zahlungsoptionen (Paypal, Amazon, generell Onlineshops).
Psychodelik
Admiral Special
Vielen herzlichen Dank für den Hinweis.
Änderungen erledigt.
Eine Frage tut das P3D Team an dieser Sache dran bleiben ?
Wer hat den Angriff fabriziert ?
Wer hat Passwörter geklaut ?
Kann man irgend was nachvollziehen, an welche Server, Botnetze, etc. pp. wurden die Dateien geschickt, wer steckt dahinter ?
Wurden die Behörden eingeschaltet ?
Wurde eine Anzeige erstattet ?
Wurde ein Anwalt eingeschaltet ?
Wer steckt hinter diesem Datenklau ?
Wer ist sauer auf P3D, wer könnte dahinter stecken ?
Das ist doch nur ein normaler Technik-Forum, wir tun doch hier nur Erfahrungen austauschen, wir tun doch hier in P3D nichts böses, warum wird P3D angegriffen, was soll der sch... ?
Ich hoffe das man die Schuldigen fasst und diese dann der Polizei übergibt, kann ja wohl nicht sein das von unschuldigen normalen Usern einfach mal Spaß an der Freude die Passwörter geklaut werden !
Was wird P3D für die Zukunft ändern, damit genau solche Datenklauaktionen nicht mehr passieren ?
Wie kann man die normalen User hier im Forum schützen ?
Änderungen erledigt.
Eine Frage tut das P3D Team an dieser Sache dran bleiben ?
Wer hat den Angriff fabriziert ?
Wer hat Passwörter geklaut ?
Kann man irgend was nachvollziehen, an welche Server, Botnetze, etc. pp. wurden die Dateien geschickt, wer steckt dahinter ?
Wurden die Behörden eingeschaltet ?
Wurde eine Anzeige erstattet ?
Wurde ein Anwalt eingeschaltet ?
Wer steckt hinter diesem Datenklau ?
Wer ist sauer auf P3D, wer könnte dahinter stecken ?
Das ist doch nur ein normaler Technik-Forum, wir tun doch hier nur Erfahrungen austauschen, wir tun doch hier in P3D nichts böses, warum wird P3D angegriffen, was soll der sch... ?
Ich hoffe das man die Schuldigen fasst und diese dann der Polizei übergibt, kann ja wohl nicht sein das von unschuldigen normalen Usern einfach mal Spaß an der Freude die Passwörter geklaut werden !
Was wird P3D für die Zukunft ändern, damit genau solche Datenklauaktionen nicht mehr passieren ?
Wie kann man die normalen User hier im Forum schützen ?
Morkhero
Grand Admiral Special
habs auch geändert. ich hoffe dennoch das das passwort nicht rausgefunden wird 
ThePowerOfDream
Fleet Captain Special
Wenn ich mein eigenes PW jetzt noch zu 100% kennen würde ?
Morkhero
Grand Admiral Special
mich würde mal interessieren was man davon im eigentlichen sinne hat. angenommen sie haben meine email adresse, das passwort von hier und ich würde das in der kombi genauso woanders verwenden. z.b. in einem shop.
woher findet man denn in den shops dann raus das ich dort bin ? kann man mit hilfe einer emailadresse herausfinden wo diese überhaupt erstmal verwendung findet ?
ist nicht viel wichtiger als das passtwort und die emailadresse bei so einem hack die klarnamen bzw kreditkarten etc zeugs herauszubekommen ? was nützt einem sonst dieses wissen? wäre ja nur dann nützlich auf einer anderen seite wo ich ebenfalls denselben nicknamen habe um mich darüber erstmal zu finden und DANN müsste dort ebenfalls dieselbe emailadresse/und/oder das selbe passwort verwendung finden. und dann könnte sich derjenige auch blos dort beispielsweise einem forum anmelden und meinen account für sinnlose schreiberein mißbrauchen. passwort könnte er noch ändern aber nicht dauerhaft weil man immer wieder ran käme durch das eigene postfach.
ich hab für amazon ebay paypal etc vollkommen andere passwörter, die so lang sind das ich sie mir nicht merken kann ^^. zudem noch mit anderer adresse. allerdings halt in leicht abgewandelter form dieses passwort hier in kombination doch noch woanders allerdings "meist" mit alternativer adresse aber nicht immer.
woher findet man denn in den shops dann raus das ich dort bin ? kann man mit hilfe einer emailadresse herausfinden wo diese überhaupt erstmal verwendung findet ?
ist nicht viel wichtiger als das passtwort und die emailadresse bei so einem hack die klarnamen bzw kreditkarten etc zeugs herauszubekommen ? was nützt einem sonst dieses wissen? wäre ja nur dann nützlich auf einer anderen seite wo ich ebenfalls denselben nicknamen habe um mich darüber erstmal zu finden und DANN müsste dort ebenfalls dieselbe emailadresse/und/oder das selbe passwort verwendung finden. und dann könnte sich derjenige auch blos dort beispielsweise einem forum anmelden und meinen account für sinnlose schreiberein mißbrauchen. passwort könnte er noch ändern aber nicht dauerhaft weil man immer wieder ran käme durch das eigene postfach.
ich hab für amazon ebay paypal etc vollkommen andere passwörter, die so lang sind das ich sie mir nicht merken kann ^^. zudem noch mit anderer adresse. allerdings halt in leicht abgewandelter form dieses passwort hier in kombination doch noch woanders allerdings "meist" mit alternativer adresse aber nicht immer.
Zuletzt bearbeitet:
Erst mal danke fürs überhaupt offen kommunizieren.
Das Icon oben im Tab stimmt nicht mehr.
Ich habe mein PW auch nun geändert. Hatte das zwar erst die Tage aber OK dann halt nochmal und irgendwohin analog sichern damit ich es nicht vergesse. Zum Glück nutze ich seit längerem verschiedene Passwörter.
Mal eine allgemeine Frage: Wie erstelle ich ein Passwort was ich mir gut genug merken kann aber nicht leicht zu erraten oder zu knacken ist?
Das Icon oben im Tab stimmt nicht mehr.
Ich habe mein PW auch nun geändert. Hatte das zwar erst die Tage aber OK dann halt nochmal und irgendwohin analog sichern damit ich es nicht vergesse. Zum Glück nutze ich seit längerem verschiedene Passwörter.
Mal eine allgemeine Frage: Wie erstelle ich ein Passwort was ich mir gut genug merken kann aber nicht leicht zu erraten oder zu knacken ist?
Morkhero
Grand Admiral Special
ich nenne dir eins was du nehmen kannst 
... im ernst, ein passwort was sich leicht merken lässt, weil es ein bestimmtes system hat dürfte ja wohl nicht das nonplusultra sein. 
selbst verrückte passwörter mit sonderzeichen etc kann man sich merken wenn man sie immer wieder eingeben muss. zumindest wenn man sie eben doch bei mehr als nur einer sache verwendet. wenn man für zig seiten x verschiedene passwörter verwendet hilft nur ein sehr gutes gedächtnis.
(mit anderen worten ich brauche zettel dafür ^^)
... im ernst, ein passwort was sich leicht merken lässt, weil es ein bestimmtes system hat dürfte ja wohl nicht das nonplusultra sein. selbst verrückte passwörter mit sonderzeichen etc kann man sich merken wenn man sie immer wieder eingeben muss. zumindest wenn man sie eben doch bei mehr als nur einer sache verwendet. wenn man für zig seiten x verschiedene passwörter verwendet hilft nur ein sehr gutes gedächtnis. (mit anderen worten ich brauche zettel dafür ^^)
Am besten einfach irgendeine ziemlich lange (12 Zeichen sind zu wenig heutzutage, besser 20 oder mehr) wilde Buchstaben-Zahlen-Sonderzeichen-Kombi im Texteditor zusammentippen, ausdrucken und den Zettel in die Schublade legen.
:
- ja sicher, man muß immer dranbleiben, neue Patches einspielen usw., aber viel dagegen machen kann man nicht.
- keine Ahnung, die üblichen Arschlöcher wohl (d.h. Bots professioneller Datenhehler, organisierte Kriminalität)
- derselbe (die Passwörter sind aber verschlüsselt, also nicht direkt lesbar, aber heutzutage kriegt man ja alles geknackt)
- kaum
- nein, sinnlos
- nein, sinnlos
- wie gesagt, keine Ahnung, wird man nie rauskriegen
- sauer sind wohl einige aber die stecken eher nicht dahinter, die allermeisten, die gebannt wurden, sind deutlich zu doof dafür
- ja genau, was soll der Scheiß! keine Ahnung. Hoffnung ist wohl, Passwort-eMail-Kombis zu finden, die woanders auch funktionieren, z.B. bei Paypal o.ä., wo die kriminellen Banden damit Kohle machen können.
- hoff gerne weiter, aber ich sag ja, aussichtslos. Im Zweifel operieren die von da aus, wo es keine Polizei gibt.
- mehr als neueste Patches einspielen kann der Admin kaum machen. Als Benutzer eben Passwörter regelmäßig ändern. Und natürlich kein Passwort irgendwo zweimal benutzen! Und keine unnötigen Infos preisgeben. Wer Zusatzinfos braucht, kann die ja per PN erfragen bei demjenigen.
Kannst Dir ja auch ein neues generieren lassen und an die eMail-Adresse schicken lassen.
im Grunde nix, deswegen ist das jetzt auch nicht so eine Horrornachricht. Ich mein, wer hat schon seine Kontodaten im Profil?^^ Bösewichte könnten hier im Forum unter den Accounts bestehender Benutzer Beiträge posten oder verändern, also wäre es für Werbebots interessant. Aber das merken wir ja wohl und löschen alles. D.h. schlimmstenfalls ist es Mehrarbeit für die Mods und ein gewisses Ärgernis für Benutzer.
dann auch nur eine Antwort
:- ja sicher, man muß immer dranbleiben, neue Patches einspielen usw., aber viel dagegen machen kann man nicht.
- keine Ahnung, die üblichen Arschlöcher wohl (d.h. Bots professioneller Datenhehler, organisierte Kriminalität)
- derselbe (die Passwörter sind aber verschlüsselt, also nicht direkt lesbar, aber heutzutage kriegt man ja alles geknackt)
- kaum
- nein, sinnlos
- nein, sinnlos
- wie gesagt, keine Ahnung, wird man nie rauskriegen
- sauer sind wohl einige
aber die stecken eher nicht dahinter, die allermeisten, die gebannt wurden, sind deutlich zu doof dafür- ja genau, was soll der Scheiß! keine Ahnung. Hoffnung ist wohl, Passwort-eMail-Kombis zu finden, die woanders auch funktionieren, z.B. bei Paypal o.ä., wo die kriminellen Banden damit Kohle machen können.
- hoff gerne weiter, aber ich sag ja, aussichtslos. Im Zweifel operieren die von da aus, wo es keine Polizei gibt.
- mehr als neueste Patches einspielen kann der Admin kaum machen. Als Benutzer eben Passwörter regelmäßig ändern. Und natürlich kein Passwort irgendwo zweimal benutzen! Und keine unnötigen Infos preisgeben. Wer Zusatzinfos braucht, kann die ja per PN erfragen bei demjenigen.
Zuletzt bearbeitet:
@Morkhero
War ja nur eine Frage. Vielleicht hat jemand bzw. du eine Idee dazu mehr nicht. Da ich mir die PWS und teilweise nicht direkt an die Nutzernamen erinnern kann weil zu viele schreibe ich mir das auch auf. Ist ja auch OK.
War ja nur eine Frage. Vielleicht hat jemand bzw. du eine Idee dazu mehr nicht. Da ich mir die PWS und teilweise nicht direkt an die Nutzernamen erinnern kann weil zu viele schreibe ich mir das auch auf. Ist ja auch OK.
Thyler Durden
Admiral Special
danke P3D für die Offenheit und schnelle Reaktion.
thx MLMapster für die Info!
@ll niemals ein PW für Alles benutzen!
thx MLMapster für die Info!
@ll niemals ein PW für Alles benutzen!
Onkel_Dithmeyer
Redaktion
☆☆☆☆☆☆
Du kannst eine Kombination aus Namen von Familienmitglieder , Hausnummer, Autotyp , PLZ und Himmelsrichtung des Dachsimms nehmen. Peter80Touran84079Nord.
Fl3X
Grand Admiral Special
Hat sich euer Browsericon auch geändert ?
Mein schönes altes Passwort 
Ich glaube, ich sollte dem Alter entsprechend auch zu Karteikarten und Bleistift greifen.
@Fl3X
Bei mir wird gar kein Browsericon angezeigt. Oder meinst Du das in der Tableiste (Firefox)? Dort ist alles beim alten.
Ich glaube, ich sollte dem Alter entsprechend auch zu Karteikarten und Bleistift greifen.
@Fl3X
Bei mir wird gar kein Browsericon angezeigt. Oder meinst Du das in der Tableiste (Firefox)? Dort ist alles beim alten.
Schattenreich
Grand Admiral Special
done ne Mail wehre super gewesen
