Bitte ändert Eure Passwörter!

dbode

Administrator
Hardwareluxx Team
Thread Starter
Mitglied seit
04.05.2001
Beiträge
10.700
Hallo User unseres Forums,

am Abend des 02.07. hat sich ein Hacker Zugriff auf einen älteren Server von Hardwareluxx verschafft. Der Server gehört nicht zum Produktiv-System und wurde von uns nicht mehr verwendet, da er zum Ende Juli gekündigt ist. Auf diesem Server befand sich eine alte Datenbank des Forums, Stand Juli 2008, mit der wir Mitte letzten Jahres ein paar Foren-Funktionen getestet haben. Über eine Sicherheitslücke im „phpmyadmin“ schaffte es der Hacker, sich Zutritt zur Datenbank zu verschaffen.

Der Hacker hat im Anschluss - gestern Abend - auf sich aufmerksam gemacht, und uns so auf die Sicherheitslücke hingewiesen. Wir haben nach einer Evaluation des Schadens in der gestrigen Nacht und dem tatsächlichen Feststellen der Sicherheitslücke gehandelt:
  • Alle Benutzerkonten von Forumdeluxx, egal ob sicher oder unsicher, haben ein neues Passwort erhalten, egal ob diese per Entschlüsselung des MD5-Wertes für den Hacker zu knacken sind oder nicht. Sichere Passwörter sind sicherlich nicht ohne weiteres zu knacken, unsichere hingegen schon. Damit kein User-Account "entführt" wird, haben wir sämtliche Passwörter geändert.
  • Ein Benutzen des Forums ist also erst möglich, wenn man sich einmal ausgeloggt hat und unter diesem Link ein neues Passwort gewählt hat / sich zusenden lassen hat.
  • Der betroffene Server wurde abgestellt, die Sicherheitslücke ist geschlossen. Andere Server wurden überprüft, aber hier wurde aufgrund aktueller Software keine Kompromittierung festgestellt.
Wir gehen offen mit dieser Sicherheitslücke um, weil wir Forumdeluxx schnellstmöglich wieder sicher bekommen wollten und uns die Sicherheit sehr wichtig ist. Bitte achtet darauf, dass Euer neues Passwort sicher ist. Nutzt also eine Kombination aus Zahlen und Buchstaben mit Groß- und Kleinschreibung, aber keine realen Wörter. Im schlechtesten Fall hätte der Hacker mit Eurem alten, unsicheren Passwort und dem User-Account sich einloggen können, sofern er die MD5-Verschlüsselung des Passworts überwindet.

Alle User, die ihr Passwort bereits nach Juli 2008 geändert haben, oder die sich nach Juli 2008 erst registriert haben, sind nicht betroffen, wir haben die Passwörter aber trotzdem verändert.

Wir müssen uns für die Umstände des neuen Passwort-Anforderns bei unseren Foren-Usern entschuldigen.

Achtung: Sollte Eure Emailadresse nicht mehr die aktuelle sein, bitte meldet Euch bei dbode@hardwareluxx.com mit Eurem Nickname, der alten und der neuen Emailadresse. Danke!
Bitte legt Euch keine Doppelaccounts mit euren NEUEN Emailadressen an, ich kann sonst euren alten Account nicht umändern.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Zum Glück hat der Hacker auf sich aufmerksam gemacht, sowas macht nicht jeder.
 
hat er auch mögliche einsicht auf PNs etc?

da hier ja viel gehandelt wird und die daten per pn getauscht werden.
 
naja glücklicherweise war es einer von den "guten" und kein Cracker^^
 
oh mann, der wollte bestimmt niemandem schaden nur zeigen wie toll er doch ist.

ps: DJDark, noch 1 post und du bist 1337 :d
 
Wenn er einer von den "Guten" war, muss ich mir aber auch keine übergroßen Sorgen um mein Passwort machen, denke ich. Hat ja ethische Gründe, dieses "melden" hinterher, dann wird er wohl nicht mit unseren Daten freigiebig rumlaufen..
 
hmm son müll, dann werd ich meisn wohl mal lieber ändern.
 
Toll ich kann meine email adresse nicht ändern.Da ist noch meine uralte drin :d kann mir jemand helfen ?
 
Im Endeffekt können wir schon "froh sein", dass er uns darauf aufmerksam gemacht hat, das allerdings überhaupt ein Fremder an die Daten gekommen ist, ist uns sehr unangenehm. Deshalb auch die (eventuell auch überhastete) komplette Änderung der Passwörter, aber ich denke so ist das besser.

Wir haben uns intensiv um die Sicherheit der Hauptserver gekümmert, dass uns dann so eine Panne gerade bei einer Ersatzkiste passiert, ist sehr ärgerlich. Für uns ist das ein Zeichen, dass wir in Zukunft alles abschalten, was nicht unmittelbar in Gebrauch ist und noch mehr Energie in die Sicherheit stecken werden. Wir waren der Meinung, wir tun da unser bestes, aber das war im Falle des alten Servers eine Fehleinschätzung.

Wir können aktuell nur feststellen, dass der Hacker an die unmittelbaren Account-Daten gelangt ist. Ich denke, das war auch sein Hauptziel.
Wenn er einer von den "Guten" war, muss ich mir aber auch keine übergroßen Sorgen um mein Passwort machen, denke ich. Hat ja ethische Gründe, dieses "melden" hinterher, dann wird er wohl nicht mit unseren Daten freigiebig rumlaufen..
Naja, so richtig vertrauen wollen wir darauf nicht ;)
 
Problem: die eintragene Mail Adresse ist veraltet und für mich nicht mehr erreichbar. Ändern der Mail geht aber nicht, da ich das neue PW nicht weiß. Und um das PW zu ändern brauch ich Mail...

Könnte ein Admin meine Mail ändern? IGL (ät) abwesend (Punkt) Deutschland
 
EagleEye das Problem hab ich auch :)
 
jetzt hab ich aber leider ein problem :d
meine alte email-adresse existiert seit einer weile nicht mehr und ich hatte vergessen, sie zu ändern.
nun kann ich meine email-addy nicht ändern und mir auch kein neues pw zuschicken lassen :haha:
 
Für alle, die ihre Emailadresse geändert haben wollen: Sendet mir bitte eine Email an dbode@hardwareluxx.com von Eurem neuen Emailaccount mit Eurem Benutzernamen und der alten Email.
 
Eine Frage:Ist es bekannt,wer der hacker ist?Ich meine ,es ist gut,dass er die sicherheitslücke nicht ausgenutzt hat,sondern euch daraf aufmerksam gemacht hat,aber macht er sich damit nicht strafbar?
 
Danke @ D.Bode für das schnelle Handeln.

Passwort sicherheitshalber geändert. ;)
 
Ich kann das pw nicht ändern, er sagt das es die email nicht gibt, was aber blödsinn is!
 
hallo
sorry musste mich NEU anmelden
heisse normal Freezer
komme leider gar nicht mehr rein da ich mich weder ausloggen kann noch
ein neues Passwort/Benutzername an meine email Adresse schicken lassen kann
Bin total ratlos
Er sagt mir das diese email nicht existiert
Aber bei dem Benutzernamen sagt er es auch
 
ihr solltet auch darauf achten das ihr falls ihr die nicks auf andern foren nutzt auch ändert.
 
jetzt habe ich mich ja unter der normalen email Adresse anmelden müssen
hoffe das klappt jetzt trotzdem mit dem ALTEN NAMEN
 
aber denkt ihr die hacken jetzt alles profile?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh