Ich hab heute vom Woltlab-Support eine eMail erhalten, in welcher die gleiche Mitteilung wie auf deren Support-Board steht:
Zitat |
Wie uns gemeldet wurde, hat ein Hacker sich Zugang zur Datenbank des WoltLab Supportforums verschafft und davon eine komplette Sicherung der Datenbank erstellt. U.a. wird z.B. bei Heise gemeldet, dass der Hacker diese Datenbank in einem Hacker-Forum zum Verkauf anbieten würde.
Soweit wir das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware. | |
Quelle und komplette Meldung: http://www.woltlab.de/forum/index.php?page=Thread&...4847#post724847
Screenshot vom Eintrag auf h4ckyou.org, auf dem die Datenbank verkauft werden soll.
Weitere Meldungen zum Hackerangriff, auch auf das PHPbb - Supportforum:
http://www.heise.de/newsticker/meldung/102993
http://www.phpbb.de/viewtopic.php?t=164184
Nein, es handelt sich dabei nicht um einen Fehler in der Forensoftware...
Es ist viel schlimmer: Es ist - so wie es wohl in den Meldungen zum Ausdruck kommt - vermutlich und wieder einmal menschliches Versagen, noch dazu von einem Administrator! Unglaublich!
Wie kann man denn als Admin identische Zugangspasswörter auf mehren Boards benutzen. Soetwas machen doch nur DAU's?
Da sollten doch zumindest die wichtigsten Sicherheitsvorkehrungen getroffen werden. Darunter fallen auch "sichere" Passwörter, die eben keine Wörter sind, sondern eine wilde alphanumerische-casesensitive-Zeichenfolge die auch nur
ein einziges Mal verwendet wird!
Also den Administrator sollte man auch belangen...wegen Fahrlässigkeit. Gerade in seiner verantwortungsvollen Position.
Nun gut. Meine eMail-Adresse wird dann wohl auch demnächst teuer versteigert, da sie in der Woltlab-Datenbank gespeichert war. Aber es ist sowieso nur eine nutzlose Spam-Adresse und mehr Daten gibts dort nicht von mir.
Betrifft: Die Sicherheit im Paradise Resort
Was mich und dieses Board angeht, will ich sicher nicht behaupten es wäre vor Hacker-Angriffen sicher.
Nichts ist wirklich sicher vor Hackern.
Mal abgesehen davon, dass unser Board hier absolut kein Verkaufsschlager im h4ckyou wäre, hab ich meine Sicherheitsvorkehrungen hier schon von Anfang an getroffen. Denn nur wer schon einmal selbst Brötchen gebacken hat, weiss genau wie es geht.
Für meinen Server hab ich über 20 Passwörter in Verwendung...sensible und interne Bereiche sind doppelt mit Passwortschutz (inkl. htaccess-Schutz) versehen und auch die Datenbank ist doppelt abgesichert (es werden übrigens 3x die Woche vollautomatisch Backups vom Board erstellt).
Der Zugriff auf das ACP(der Admin-Bereich) ist nicht nur mit htaccess PW-Schutz versehen, auch habe ich alle PHP-Skripte im ACP entfernt, die über direkte SQL-Befehlseingaben auf die Datenbank zugreifen könnten um z.B. einen Dump zu erstellen.
Falls jemand Fragen hat, wie er am besten sein Woltlab-Board sicherer macht darf er sich gerne hier melden. Ich kann euch da ein paar gute Tipps geben. Vielleicht stelle ich ja auch mal ein Security-Tutorial ins Board...
Grüssle,
PoMan