Sind denn die privat-pns. durch den Hackerangriff auch gefährdet ?
Jens
Ich erwarte hier von den Admins schon Sicherheits-Hinweise was von seiten der Nutzer jetzt noch zu tun ist -
Gruß Thomas
Sind denn die privat-pns. durch den Hackerangriff auch gefährdet ?
Jens
Ich erwarte hier von den Admins schon Sicherheits-Hinweise was von seiten der Nutzer jetzt noch zu tun ist -
Gruß Thomas
Hallo Thomas,
solltest du dein Passwort bereits geändert haben, haben keine unerlaubten Dritten Zugriff auf dein Kontrollzentrum, was damit auch deine Privat-PNs betrifft.
Momentan gibt es den Sicherheits-Hinweis, umgehend das eigene Passwort zu ändern (Siehe Thread von doktorstamp sowie E-Mail von Admins), dazu kann man momentan keine weiteren Informationen hinzufügen. Die Admins arbeiten parallel an den Sicherheitseinstellungen des Forums.
ZitatOriginal von Jens
Auch die Administratoren können nicht 365 Tage im Jahr dauerhaft online sein.
Das hat auch niemand verlangt. Dein Posting, das nur eine weitere Nebelkerze darstellt, auf keine unserer Fragen eingeht, hat so allerdings auch niemand verlangt. Alberne Rechtfertigungen und Ablenkungsmanöver sind nicht das Gebot der Stunde!!
Ja, so eine Attacke kann ja passieren, aber wichtig ist das die Admins allen Betroffenen sofort eine Benachrichtigung zukommen lassen um Schaden zu vermeiden.
ZitatOriginal von aerotech
Übrigens, die Beiträge sind nicht gelöscht, lediglich in einen anderen Bereich verschoben.
Bjoern
Beiträge wurden also nicht gelöscht, sondern nur unauffindbar verschoben
Sorry, aber spätestens wenn ich die aktiven themen der letzten 24 Stunden aufrufe, sollte doch der 1. thread erscheinen! Da bleibt ein übler Beigeschmack.
@ Jens
Die Kirche lasse ich sehr gern im Dorf, es ist sicher viel wichtiger, daß an diesem Problem gearbeitet wird. Mich ärgert es vielmehr, daß schon vorhandene Info gelöscht (verschoben) wurden.
Sicherlich verlangt niemand, daß unsere Admins dauerhaft online sind. Wir sind hier in einem offenen Forum und sollten froh sein, daß es Leute gibt, die diese Aufgabe ehrenamtlich, ohne Bezahlung übernehmen. Niemand bezahlt schlieslich dafür, hier zu posten.
Nachdem die Sicherheit wieder hergestellt wurde, gibt es sicher ein statement von unseren admins.
Da gehe ich jedenfalls ganz fest von aus.
Hallo ReinerLeser,
natürlich kann ich deinen Ärger verstehen, ändert jedoch leider nichts an der Tatsache, dass das Forum gehackt wurde. Leider kann ich deinerseits keine gezielte Frage feststellen (bis auf dem ersten Posting, was leider nur von den Admins beantwortet werden kann), außer, dass du eine Stellungnahme seitens der Admins möchtest.
Wir sollten uns nun auch nicht an diesem Thema so hochbauscheln. Natürlich ist es deutlich sehbar und fakt, dass an der Kommnikation gearbeitet werden muss. Lassen wir nun die Admins ihre Arbeit zuende stellen und anschließend erhalten wir mit Sicherheit eine Stellungnahme, wie von euch gewünscht.
@ dauerseriensammler: Auch für die Verschiebung wird es einen Grund geben. Lass uns abwarten.
Hallo,
die Lücke ist wohl noch offen. Vor 60 Sekunden habe ich nach Eingabe der SQL-Injection aus dem Hackerforum den md5code des Passwortes von Aerotech ansehen können:
#aerotech : b8093a269f9fc578e5bf0a82ede9e46b : aerotech@freenet.de -
Das ist kein Drama, denn mit dem Code kann man Extern nichts anfangen. Der Hackerangriff verwendet keine tollen Tricks, sondern ist eine einfache SQL-Injection. Diese nicht zuzulassen, lernen Anfänger die PHP Programmieren lernen, in den ersten 5 Lektionen.
Die Hacker interessieren sich auch kaum für Briefmarken, ja können sicher nicht einmal deutsch. Die haben nach dem Script gesucht, dass dieses Forum verwendet, weil die Sicherheitslücken wohl bekannt waren.
ZitatOriginal von Belsazar
Ja, so eine Attacke kann ja passieren, aber wichtig ist das die Admins allen Betroffenen sofort eine Benachrichtigung zukommen lassen um Schaden zu vermeiden.
13:32 erhielt ich folgende mail:
Liebe User,
aufgrund der Tatsache, dass am gestrigen Abend unser Forum gehackt wurde, möchten wir Euch bitten, euer Passwort schnellstmöglich zu ändern.
Wir werden und zu einem späterem Zeitpunkt über diesen Vorfall zu Wort melden.
Liebe Grüße
Das Philaforum Team
Es passiert also doch etwas positives!
Hallo Moderatoren, ich bin ein inaktiver User und möchte gerne meine Mitgliedschaft im Forum beenden. Da ich nicht herausgefunden habe, wie ich das selbst bewerkstelligen kann, bitte ich um Löschung der Registrierung durch einen Mod.
Vielen Dank!
Ich bin sehr erstaunt, wie sich hier so aufgeregt wird über den Hackerangriff.
Erstmal hat jeder Mensch ein Privatleben, auch Admins, gerade, wenn sie es nur als Hobby machen. Da finde ich die Angriffe gegen die Admins sogar schlimmer als den Hackerangriff.
Dann:
Was für hochsensible Daten aus eurem Leben habt ihr bloß in euren Profilen stehen, das ihr so aufheult??? Wirklich private Daten (Adresse, richtiger Name, Telefonnummern uvm.) haben da nix zu suchen. Und in Posts sollte man persönliche Angaben auch vermeiden. Einzig die Mailaddy muß rein, aber wenn da dann bei mir Spam ankommen sollte, wird die noch auf meinem Mailserver gelöscht und gut ist.
Und was ich bis jetzt in den Threads hier gelesen habe, ist entweder harmloses Geplauder oder Gespräche zu den vielen Themen über Briefmarken. Das ist Hobby, und es liegt an euch, wieviele Infos ihr da macht über eure Schätze, die ihr zu Hause habt.
Wer im Internet unterwegs ist, sollte und muß wissen, daß er dort gläsern ist und Infos, die er irgend wo einstellt, in der Regel für immer im Net stehen.
Wer damit nicht klar kommt und trotzdem seine sensiblen Daten einstellt, muß sich über nix wundern. Wenn jemand damit ein Problem hat, sollte er besser nicht im Internet sein ...
Von daher:
Kommt mal runter, bringt diese Diskussion wieder auf einen sachlichen Punkt und hört auf, die Admins so anzumachen.
Wer jetzt mein Paßwort hat, hat nur dieses und das verwende ich nur hier, genau wie meinen Nick. Das einzige wirklich Interessante, das der Hacker findet, ist meine Mailaddy, und dazu siehe oben.
Hallo,
in wenigen Minuten folgt ein Statement seitens der Admins.
Bitte Geduld!
Hallo Mitforumler,
war einige Zeit nicht mehr auf philaforum.
Wie ändert man hier die passwörter???????
Konnte leider nichts unter "dein profil"
finden.
Danke für Antwort mit kleiner Beschreibung.
entweder per pn oder email
sodrei@freenet.de
Beste Sammlergrüße
harald
Eine konkrete Frage: Wenn sich jemand mithilfe der Passworte aus der offen zu sehenden Liste unter fremden Nick einloggt und dann strafrechtlich relevante Dinge postet (Beleidigungen, Volksverhetzung etc.), wer kann dann zur Verantwortung gezogen werden? Ist es denkbar, daß man so völlig unschuldig eine Anzeige erhält und evtl. sogar verurteilt wird?
Im Internet sind als Ergebnis des Angriffs 742 Benutzernamen und Passwörter sichtbar. Weit verbreitet ist es, Benutzernamen und Passwörter an vielen Stellen zu verwenden. Mit den Daten komme ich sicher in 50 Ebay-Accounts und sonstwo hinein. Da liegt das Problem.
Da man wohl immer noch hacken kann, nützt auch ein neues Passwort nichts.
Hier noch eine Seite wo anscheiend über den Tat geprahlt und geprotzt wird.
Ob der oder die Täter hier auf diesen Seite zu finden sind??????????
Die Vermutung Stampsx halte ich für höchstwahrscheinlich.
Was sie wohl durch Ausbeutung dieser Sicherheitslücke erzielen möchten, wird wohl ein Rätsel bleiben.
mfG
Nigel
@stampx
danke für deine aussagekräftigen Hinweise und Erklärungen! Das ist eigentlich die Aufgabe der Admins, die hier keiner "anmachen" will, so wie @skabene es behauptet. Was genau passiert bei einer SQL-Insection? Wie muss man sich als IT-Laie die Funktionsweise dieses Werkzeuges vorstellen?
@sharp_4
wenn Du auf "dein Profil" klickst und dann auf "Übersicht", kommst Du zu einem Button "Passwort ändern" (runterscrollen und dann links gucken).
@skabene
Wenn sich hier Tauschpartner etc. finden, werden selbstverständlich auch "sensible Daten" über das Internet ausgetauscht. Diejenigen User, die Ihre Identität um jeden Preis vertuschen, haben nach meiner Auffassung generell ein "Kommunikationsproblem". Menschen sind keine Maschinen...
zum Beitrag von Jens 14.08 Uhr !
Hallo Jens,
ich stimme Dir teilweise zu.
Die Mitglieder haben sich ja teilweise unterstützt und informiert. Aber eben auch nicht jedes Mitglied ist erreichbar.
Die Aktion von Nigel fand ich SUPER
Das muß als allererstes von den Admins kommen, bzw. irgendeiner muß doch telefonisch die Vollmacht ( Passwort ) bekommen können um eine Warnung in die Hauptseite zu setzen:
( zum Beispiel in großen feuerroten lettern )
ACHTUNG: Hackerangriff !
Wir bitten alle Mitglieder umgehend das Paßwort zu ändern und das Forum erst nach Änderung wieder zu aktivieren !!!
Wir sind dran und geben in Kürze ein statement.
Bitte informiert Euere Forumsfreunde zusätzlich !
Danke für die sicherheitstechnisch notwendige Maßnahme und Euer Verständnis.
Admins
In anderen Foren haben immer 2 oder 3 Personen volles Zugriffsrecht auf das Forum, das sollte bei uns doch auch möglich sein. ( Wie oben aufgeführt, sogar mit einer vertrauensvollen Ausweichperson für den Notfall, wie soeben eingetreten ! )
Meiner Meinung nach liegt es aber auch schon an den laxen Anmeldekriterien hier im Forum. Auch wenn ich jetzt wieder einigen Mitgliedern fürchterlich auf "irgendwas" gehe, es ist so !!
Keiner muß seine persönlichen Daten in sein Profil stellen, stimme ich voll und ganz zu. Aber ob Männlein/Weiblein und zumindest Sammelgebiet ( oder : Keines, nur am Verkauf interessiert ) ist hilfreich für eine Antwort. Die PERSÖNLICHEN Daten, wie Geburtsdatum, Wohnort, Tel. Nr., emailadresse sollten aber den Admins nach dem Datenschutz entsprechend zugänglich gemacht werden !!! Das weiss jede Bank, jedes Finanzamt, jedes Werbebüro wo mal ein Preisausschreiben abgegeben wurde, etc. warum nicht 3 Verantwortliche dieses Forums ????
Jetzt könnte man nämlich eine sms oder eine email an alle Aktiven ( seit 1 Jahr mindestens ein Beitrag ) senden und rechtzeitig warnen. Alle die im Urlaub sind, haben ihr handy dabei und lesen auch etwaige sms`
In jedem größeren Urlaubsort gibt es Leute mit laptop, oder ein Internetcafe, da kann ich auch im Urlaub sein Paßwort ändern. Ist jedenfalls besser als gar nix, denn in 2 Wochen hängt denen dann die Kinnlade runter, wenn sie merken, da stimmt doch was nicht
Wenn ich mithelfen kann, Schadensbegrenzung zu tun, sagt mir wie, ich
tue es gerne, denn ich finde, daß der harte Kern dieses Forums ein toller "Haufen" ist und auch bleibt. Von Austrittsdrohungen würde ich deshalb etwas abrücken. In keinem Forum ist man sicher, oder ???
Die Reaktion ist aber auf Grund der selbigen unserer Admins verständlich.
Danke für´s lesen meiner persönlichen Meinung.
Sammlergrüße von Wolle
ZitatDie PERSÖNLICHEN Daten, wie Geburtsdatum, Wohnort, Tel. Nr., emailadresse sollten aber den Admins nach dem Datenschutz entsprechend zugänglich gemacht werden !!! Das weiss jede Bank, jedes Finanzamt, jedes Werbebüro wo mal ein Preisausschreiben abgegeben wurde, etc. warum nicht 3 Verantwortliche dieses Forums ????
Hallo wolle,
dann stünden diese Daten evtl. jetzt auch im Netz. Ob das so wünschenswert wäre
Gruß,
RL
Hallo,
ich selbst bin durch die E-Mail von den Admins und durch die Beiträge hier im Thema etwas in Panik geraten - ich benutze zwar vier oder fünf verschiedene Passwörter, aber man weiß ja nie..
Jedenfalls wollt' ich mir wie stampsx das Ausmaß des Problemes anschauen und hab mir deswegen die entsprechende Seite angeschaut die stampsx schon beschrieb. Das das völlig dämlich ist, ist mir leider erst aufgegangen, als es schon zu spät war - ich hab die eine Seite natürlich sofort geschlossen und interessiert bin ich an irgendwelchen Daten sowieso nicht, aber trotzdem wollt' ich mich dafür entschuldigen, dass ich's überhaupt gemacht hab - ich hab wie gesagt etwas in Panik gehandelt.
Abgesehen von meinem eigenen Fehlverhalten ist es natürlich etwas erschreckend, dass die Lücke immer noch offen ist - bitte liebe Admins, löscht die entsprechende Datei, benennt sie um oder sperrt den ganzen Bereich bis ihr die entsprechende Sicherheits-Lücke gefunden habt.
stampsx: Ein verschlüsseltes Passwort ist zwar für Laien sehr viel ungefährlicher als ein unverschlüsseltes, trotzdem solltest du es aber unterlassen es einfach so ins Forum zu posten.
Grüße,
Floriam
@skabene: In vielen Teilen gebe ich Dir ja Recht. Aber wie witzig würdest Du es finden, wenn hier im Forum jemand unter Deiner Userkennung einen Beitrag absetzen würde, in dem steht, dass XY ein Nazi, Kinderschänder, ... ist? Die Fragen von ReinerLeser entbehren nicht jeder Grundlage.
Es geht bei der m.E. berechtigten und weitgehend konstruktiven Kritik um die Art und Weise, wie von Seiten der Admins und Mods reagiert wurde, und um die lange Zeitspanne, bis überhaupt etwas passiert ist. Die Angst gilt weniger bestehenden Forumsinhalten, sondern mehr dem, was mit den gehackten Daten angestellt werden kann.
Gruß
Uli