Thread Starter
- Mitglied seit
- 04.05.2001
- Beiträge
- 10.697
Hallo User unseres Forums,
am Abend des 02.07. hat sich ein Hacker Zugriff auf einen älteren Server von Hardwareluxx verschafft. Der Server gehört nicht zum Produktiv-System und wurde von uns nicht mehr verwendet, da er zum Ende Juli gekündigt ist. Auf diesem Server befand sich eine alte Datenbank des Forums, Stand Juli 2008, mit der wir Mitte letzten Jahres ein paar Foren-Funktionen getestet haben. Über eine Sicherheitslücke im „phpmyadmin“ schaffte es der Hacker, sich Zutritt zur Datenbank zu verschaffen.
Der Hacker hat im Anschluss - gestern Abend - auf sich aufmerksam gemacht, und uns so auf die Sicherheitslücke hingewiesen. Wir haben nach einer Evaluation des Schadens in der gestrigen Nacht und dem tatsächlichen Feststellen der Sicherheitslücke gehandelt:
Alle User, die ihr Passwort bereits nach Juli 2008 geändert haben, oder die sich nach Juli 2008 erst registriert haben, sind nicht betroffen, wir haben die Passwörter aber trotzdem verändert.
Wir müssen uns für die Umstände des neuen Passwort-Anforderns bei unseren Foren-Usern entschuldigen.
Achtung: Sollte Eure Emailadresse nicht mehr die aktuelle sein, bitte meldet Euch bei dbode@hardwareluxx.com mit Eurem Nickname, der alten und der neuen Emailadresse. Danke!
Bitte legt Euch keine Doppelaccounts mit euren NEUEN Emailadressen an, ich kann sonst euren alten Account nicht umändern.
am Abend des 02.07. hat sich ein Hacker Zugriff auf einen älteren Server von Hardwareluxx verschafft. Der Server gehört nicht zum Produktiv-System und wurde von uns nicht mehr verwendet, da er zum Ende Juli gekündigt ist. Auf diesem Server befand sich eine alte Datenbank des Forums, Stand Juli 2008, mit der wir Mitte letzten Jahres ein paar Foren-Funktionen getestet haben. Über eine Sicherheitslücke im „phpmyadmin“ schaffte es der Hacker, sich Zutritt zur Datenbank zu verschaffen.
Der Hacker hat im Anschluss - gestern Abend - auf sich aufmerksam gemacht, und uns so auf die Sicherheitslücke hingewiesen. Wir haben nach einer Evaluation des Schadens in der gestrigen Nacht und dem tatsächlichen Feststellen der Sicherheitslücke gehandelt:
- Alle Benutzerkonten von Forumdeluxx, egal ob sicher oder unsicher, haben ein neues Passwort erhalten, egal ob diese per Entschlüsselung des MD5-Wertes für den Hacker zu knacken sind oder nicht. Sichere Passwörter sind sicherlich nicht ohne weiteres zu knacken, unsichere hingegen schon. Damit kein User-Account "entführt" wird, haben wir sämtliche Passwörter geändert.
- Ein Benutzen des Forums ist also erst möglich, wenn man sich einmal ausgeloggt hat und unter diesem Link ein neues Passwort gewählt hat / sich zusenden lassen hat.
- Der betroffene Server wurde abgestellt, die Sicherheitslücke ist geschlossen. Andere Server wurden überprüft, aber hier wurde aufgrund aktueller Software keine Kompromittierung festgestellt.
Alle User, die ihr Passwort bereits nach Juli 2008 geändert haben, oder die sich nach Juli 2008 erst registriert haben, sind nicht betroffen, wir haben die Passwörter aber trotzdem verändert.
Wir müssen uns für die Umstände des neuen Passwort-Anforderns bei unseren Foren-Usern entschuldigen.
Achtung: Sollte Eure Emailadresse nicht mehr die aktuelle sein, bitte meldet Euch bei dbode@hardwareluxx.com mit Eurem Nickname, der alten und der neuen Emailadresse. Danke!
Bitte legt Euch keine Doppelaccounts mit euren NEUEN Emailadressen an, ich kann sonst euren alten Account nicht umändern.