Cit0day breach / Outdoorseiten und ander Foren-Zugangsdaten veröffentlicht

Zur Vermeidung von Spam werden deine Posts vor Veröffentlichung von den Moderatoren geprüft, falls du Links verwendest.
1. offizieller Beitrag

    Hier passt es wohl am ehesen.

    Da der ein- oder andere wohl auch auf Outdoorseiten aktiv ist - oder auch in diversen anderen Foren

    ODS ist wohl Teil des Breach, das Versenden der Mails an Mitglieder gestoppt, daher hier der Hinweis.
    Wer also hier - oder andernorts mehrmals Passwörter verwendet, sollte flux tätig werden.

    https://www.outdoorseiten.net/

    https://www.ultraleicht-trekking.com/forum/topic/10…ccounts-sicher/

    https://www.troyhunt.com/inside-the-cit…ach-collection/

    Für die Zukunft würde ich empfehlen, die eigenen Mailadressen zu monitoren, etwa bei

    https://haveibeenpwned.com/

    Und sichere passwörter zu generieren und in einem entsprechend gesicherten passwort safe zu verwahren, etwa

    https://www.lastpass.com/de/

    Happy panic-ing ^^<X

    p.s. ich nehme an, das HM Forum ist durch DL1JPH standesgemäß abgesichert wie die schweizer Goldreserven? ^^:thumbup:

    • Offizieller Beitrag

    hangloose Danke für die Info! Ich hatte das Datenleck zwar gesehen, aber die Nähe zu diesem Forum war mir nicht aufgefallen.

    Ja, der Forenserver ist selbstverständlich ordentlich abgesichert und die Software ist aktuell. Eine Garantie ist das aber auch nicht.

    Die Tipps von dir sind natürlich selbstredend gut und sinnvoll, ich würde zusätzlich empfehlen, 2FA einzuschalten. Das Forum unterstützt OATH/TOTP (das ist der Standard, der mit fast allen Systemen funktioniert).

    Ich mache mal noch ein Hinweisbanner auf die Seite.

    • Offizieller Beitrag

    Bei dem QR-Code ist ein Eingabefeld (leider ohne Label), in das der aktuelle Code an Anfang rein muss, dann kannst du die Einstellungen speichern. Danach muss bei jedem Login oder nach fünf Tagen der jeweils aktuelle Code eingeben werden. Die Codes gelten jeweils für 30 Sekunden, mit einer Uhren-Toleranz von 60 Sekunden. Letzteres sollte kein Problem sein, wenn der Token seine Zeit aus dem Internet bekommt (Handy oder Ähnliches).

    Wenn du den ersten Code eingegeben hast, bekommst du eine Liste mit Backup-Codes - mit denen kannst du deinen Account wieder freischalten, falls du den Token verlierst. Du solltest sie an einem sicheren Ort speichern - Ausdrucken ist keine schlechte Idee... Mehr als einen Token zu haben, schadet auch nicht (ich habe immer mindestens zwei, im Normalfall drei).

    • Offizieller Beitrag

    Mal aus Interesse: was kann im schlimmsten Fall passieren? Nachdem mittlerweile für fast alles ein Passwort erstellt werden muss, und man in seine Bankkonten auch nur noch mit drei- oder sogar vierfach Authentifikation rein kommt, ist meine Motivation für ein simples Forum zusätzlichen Aufwand zu betreiben eher gering. Da in meinem Forennutzerkonto keine Zahlungsinformationen hinterlegt sind, könnte ein Hacker doch einfach nur Spam in meinem Namen posten. Oder gibt es schlimmere Folgen?

    • Offizieller Beitrag

    Spam wäre ein Problem. Bei dir kommen noch die erhöhten Rechte dazu.

    Einen kompromittieren Account müsste ich sperren und ggf. sehr viele (wahrscheinlich hunderte) Spamposts löschen - unter Umständen wäre es einfacher und wesentlich schneller, ein Backup der Datenbank einzuspielen. Das ist zwar für den jeweiligen Nutzer erstmal keine Katastrophe, würde aber das Forum sehr wahrscheinlich für mehrere Tage lahmlegen, bis der Schaden repariert ist.

    Du hast schon recht, an sich kann da nichts weltbewegendes passieren. Idr. werden die Login-Daten verwendet um schnell an Geld zu kommen. Paypal, Bank u.ä. sollte man mit eigenen Passwörtern schützen - und natürlich die dazu hängende Email-Adresse.

    Wenn sich nun aber jemand Mühe gibt, langeweile oder wut im spiel ist, kann man mit den individuellen Daten natürlich mehr Unfug treiben. Eben beispielsweise deine Kontakte spammen (klappt erstaunlich gut, wenn man um kleinere Geldsummen bittet), oder konkret aufs Forum bezogen: löschen.

    Das ist nicht sehr warscheinlich, aber bei Zugängen, die Admin- oder Moderatorenrechte haben, sollte ein solides PW verwendet werden, sonst bedankt sich letztlich derjenige, der die hoffentlich aktuelle Sicherungskopie suchen und einspielen muss.

    /edit: ah, der Haustechniker hat das Thema schneller aufgegriffen

    ... mit meinem keepassx Password-Manager kann ich sowohl die Anmeldetaten als auch die Zweifaktor Zahlen in Sekunden eingeben... Was in der Forum-Software noch verbessert werden könnte, wäre eine Schritt-für-Schritt Erklärung wie man die Zwei-Faktor-Authentifizierung aufsetzt. Das war nicht unbedingt selbsterklärend.

    • Offizieller Beitrag

    Danke für die Antwort. Das klingt nicht so toll. Also trotz Einmalpasswort (verwende ich nur für dieses Forum) eine 2-Faktor Authentifikation einrichten? Mögen die Spammer und Hacker in der Spamhölle schmoren. Man müsste mal zusammen rechnen, wieviel Zeit für solche Extraschritte drauf geht. Da kommen bestimmt ein paar Tage Urlaub pro Jahr dabei heraus :cursing:

    Meine Meinung: Einfach ein (wirklich) sicheres Passwort nehmen. Wenn die Passwörter hier ordentlich gehasht sind, trägt die so schnell keiner im Klartext raus.

    Die Wahrscheinlichkeit das jemand an dein Passwort kommt, ohne das er nicht sowieso Zugriff auf alles im Forum hat, wie über einen Fehler im Webserver/Forensoftware ist sehr gering. Dafür müsste dich jemand direkt angreifen, die Verbindung überwachen, dich beim eintippen filmen oder deinen Computer übernommen haben. Selbst mit 2FA könnte jemand, der deinen Computer übernommen hat, ins Forum wenn er wartet bis du dich einloggst.

    Und da du das Passwort nur hier verwendest kann es auch nicht woanders geklaut werden.

    Oder wenn du dich auch woanders sicher einloggen willst, ohne weiteren Aufwand, besorg dir ein Hardware-Token wie den YubiKey.

    Ich glaube einfach das die Motivation sehr gering ist hier einzubrechen. Das einzig interessante hier sind, wie schon gesagt, wurde Email-Adressen für Spam. Und die werden eher mal bei einem Fehler in der Forensoftware geklaut.

    • Offizieller Beitrag
    Zitat von TreeGirl

    Da in meinem Forennutzerkonto keine Zahlungsinformationen hinterlegt sind, könnte ein Hacker doch einfach nur Spam in meinem Namen posten. Oder gibt es schlimmere Folgen?

    Viel schlimmer. Der als TreeGirl getarnte Hacker könnte behaupten, daß Warbonnet-Hängematten nichts taugen, daß ein 40F-Quilt auch im kältesten Winter noch ausreichend wärmt und daß Hängemattenlängen über 2,70 m totaler Quatsch sind.

    Danach kannst Du Dich im Zeltforum anmelden. :P

    • Offizieller Beitrag
    Zitat von Olivio

    Was in der Forum-Software noch verbessert werden könnte, wäre eine Schritt-für-Schritt Erklärung wie man die Zwei-Faktor-Authentifizierung aufsetzt

    Ja, das ist wahr. Leider ist das entsprechende Plugin nicht gerade gut in Sachen Dokumentation. Vielleicht fällt mir dazu noch etwas ein.


    Zitat von mnzl

    Meine Meinung: Einfach ein (wirklich) sicheres Passwort nehmen. Wenn die Passwörter hier ordentlich gehasht sind, trägt die so schnell keiner im Klartext raus.

    Richtig. Ein starkes Passwort ist bei einer vernünftigen Hashfunktion nahezu unmöglich zu erraten. Das sind auch nicht die Passwörter, die ihren Weg in ein Credential Stuffing finden. Im Grunde genommen dürfte es nicht einmal möglich sein, die Passwörter zu erraten, wenn jemand Zugriff auf die Datenbank bekommt. Das müssten wir aber nicht unbedingt ausprobieren...

    Zitat von mnzl

    Die Wahrscheinlichkeit das jemand an dein Passwort kommt, ohne das er nicht sowieso Zugriff auf alles im Forum hat, wie über einen Fehler im Webserver/Forensoftware ist sehr gering. Dafür müsste dich jemand direkt angreifen, die Verbindung überwachen, dich beim eintippen filmen oder deinen Computer übernommen haben. Selbst mit 2FA könnte jemand, der deinen Computer übernommen hat, ins Forum wenn er wartet bis du dich einloggst.

    Das stimmt so nicht ganz. Wer Benutzername und Passwort kennt, kommt ohne 2FA rein. Da die E-Mail-Adresse als Benutzername gültig ist, braucht man nur noch das Passwort - kriminelle sind sich da durchaus der Tatsache bewusst, dass die meisten Leute eben keine guten und für jede Website anderen Passwörter verwenden. Wenn ein Angreifer den Session-Cookie kopieren kann, wird's aber irgendwann sehr schwer, dagegen etwas zu unternehmen. Dagegen soll und kann 2FA auch nicht schützen. Da hilft nur, den Rechner nicht infizieren zu lassen...

    Zitat von mnzl

    besorg dir ein Hardware-Token wie den YubiKey

    Absolut. Die Teile sind robust und funktionieren. Ich habe auch einige im Einsatz.

    Zitat von DL1JPH

    Das stimmt so nicht ganz. Wer Benutzername und Passwort kennt, kommt ohne 2FA rein. Da die E-Mail-Adresse als Benutzername gültig ist, braucht man nur noch das Passwort - kriminelle sind sich da durchaus der Tatsache bewusst, dass die meisten Leute eben keine guten und für jede Website anderen Passwörter verwenden.

    Okay, ich meinte natürlich unter der Bedigung 32-stelliges zufälliges Passwort mit allen Zeichen was nur auf einer Seite verwendet wird.

    Wenn etwas wirklich wichtig ist abzusichern, dann ist es der EMail-Account. Wenn der erst mal übernommen ist, braucht man kein Passwort mehr für irgendeine Seite, weil man sich gemütlich alle "Ich hab mein Passwort vergessen"-Links zuschicken lassen kann als Krimineller.

    • Offizieller Beitrag

    Mailaccount, Finanzaccounts (Bank, PayPal, Amazon, ...) und die Handy-SIM (Stichwort SIM Swapping) sind besonders wichtig. Wer eines davon kontrolliert, kann immensen Schaden anrichten. Alles andere ist leichter abzusichern.

    Das 2FA-Plugin hier hatte ich hauptsächlich für meinen Account eingerichtet - von mir sind diverse alte Passwörter bekannt und ich verwende bei Passwörtern, die ich oft brauche, ein System, das nicht vollkommen zufällig (wenn auch nicht trivial zu erraten - es ist eine Hashfunktion, die ich ohne Hilfsmittel hinkriege) ist. Bisher weiß ich von keinem Fall, in dem Kriminelle das ausgenutzt haben (meistens gibt's leichtere Beute) aber sicher ist sicher.

    Gefühlt muss ich meine 2FA-PIN deutlich häufiger eingeben, als mein Passwort vor der Aktivierung von 2FA, und auch deutlich häufiger als an anderen Seiten, auf denen ich 2FA aktiviert habe.

    Da durch 2FA die Sicherheit deutlich gegenüber reinem Passwort erhöht sein sollte könnte das Interval doch etwas länger sein, oder? 8)

    Jaja, Bequemlichkeit <-> Sicherheit... ich weiß...

    • Offizieller Beitrag

    2FA schlägt alle 5 Tage oder bei Passwortänderung zu und will einen neuen Token. Wie oft du ohne aktive 2FA das Passwort eingeben musst, hängt von deinen Browser-Einstellungen ab - das Passwort wird nur beim Anmelden benötigt. Solange die Session danach gültig bleibt, gibt es keine neue Passworteingabe. Wenn jemand deine Session-ID herausfindet (nicht trivial, aber auch nicht unmöglich), hat er damit ohne 2FA praktisch unbegrenzt Zugriff auf deinen Account. Mit 2FA ist nach maximal fünf Tagen Schluss, und auch das Passwort lässt sich nicht ohne weiteres ändern.

    Wer behauptet, dass 2FA sicherer wäre als Passwörter, hat das System nicht verstanden - 2FA ist eine Möglichkeit, den potentiellen Schaden zu begrenzen, wenn das Passwort (oder ein vergleichbarer Logon-Token) nicht ganz so geheim ist, wie es sein sollte...

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden