Ankündigung

Einklappen
Keine Ankündigung bisher.

Readmore gehackt?

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #31
    Zitat von ZAM Beitrag anzeigen
    Es sind Blowfish-Secrets mit extra Salts pro Account.
    Da wurde intern aber was anderes kommuniziert

    Ansonsten hier direkt vom Hersteller

    vBulletin 5.6.X will use either Bcrypt or Argon2id depending on your server configuration. Argon2id is generally considered more secure than Bcrypt. There is no password field because we never store a password in the database. vBulletin 5 doesn't actually generate salts either. Doing this is considered insecure today. Instead the password_hash function of PHP will create a SALT every time it creates a new hash. No two hashes from the same user should use the same salt.

    The password hash, salt, and method of hashing are stored in the token field within the user table.

    To facilitate logins from vBulletin 3 and 4 users after an upgrade, there is also a Legacy password scheme. This is used to match the password on the md5(md5(password)+salt) scheme that these systems used with the user's first login. The password that was sent will then be re-hashed as one of the secure methods supported. MD5 should not be considered completely secure in 2020. We recommend against using the Legacy scheme permanently in a live environment.
    https://forum.vbulletin.com/forum/vb...word-structure

    kommt also auf die Konfiguration an. Wenn wir Blowfish schon genutzt haben, hätten doch alle User das Passwort schon zum Umzug resetten müssen. Erinnert sich noch einer ob dies der Fall war?

    Kommentar


      #32
      Zitat von gestalt Beitrag anzeigen
      Da wurde intern aber was anderes kommuniziert
      Ich kann dir gern das Code-Segment schicken, oder kannst auch danach googeln. :) Das findet man recht schnell.

      Kommentar


        #33
        Zitat von ZAM Beitrag anzeigen
        Ich kann dir gern das Code-Segment schicken, oder kannst auch danach googeln. :) Das findet man recht schnell.
        Es geht doch darum einfach mal Transparenz zu schaffen und nicht hinter iwelchen Formulierungen wie

        Beim Hash handelt es sich nicht um ein Kennwort im Klartext, sondern um eine Art digitalen Fingerabdruck, mit dem das Passwort zwar identifiziert werden kann, jedoch ist es nicht möglich über einen Hash das echte Kennwort zu erlangen und zu lesen.
        zu verstecken.
        Der Absatz ist einfach brutaler Unfug. Wieso wird nicht von vorne herein die betroffen Version von vBulletin genannt und die eingesetzte Hash-Methode?
        Ist mir einfach unbegreiflich.

        Wieso sollen User wieder selber rechechieren. Ihr seid da einfach in der Bring-Schuld.

        Kommentar


          #34
          Zitat von gestalt Beitrag anzeigen
          Der Absatz ist einfach brutaler Unfug.
          Also ehrlich, komme mal bitte etwas runter - die abfällige Kommunikationsart ist nicht zielführend.
          Es geht hier nicht um "irgendwas geheim halten", wie du hier offenbar zu unterstellen versuchst. Die Forenversion ist kein Geheimnis und für alle einsehbar. Die Erläuterung zum Passwort ist definitiv kein Unfug. Mit Blowfish-Secret können normalsterbliche Benutzer in der Regel nicht viel anfangen, Hash und Salt sind schon fast zu weit gegriffen für die Kommunikation. Bei den Angaben geht man nicht auf technische Ebene, sondern versuchst es für alle soweit verständlich zu formulieren.


          Kommentar


            #35
            Du bist hier aber nicht auf Mädchen.de, alleine dem Kontext dieses Threads solltest du entnehmen können, das man hier ruhig auf technischer Ebene antworten darf.

            Hat der Leak, zufällig was damit zu tun, das ich plötzlich mein Passwort ändern musste, was btw ne stunde gedauert hat, weil es so gut klappt? lulz

            Und wo genau ist das jetzt prima gelöst worden?
            4 Tage nachdem nen User nen Thread zu dem Thema aufmacht, kommt dann mal ne News von euch, die aber nicht mal alle betroffenen erreichen wird, weil viele seitdem gar nicht mehr hier aktiv mitlesen. Vll sollte mal jemand sowas wie E-Mails erfinden...

            Falls ihr die Mail-Addys nicht habt, könnt ihr sie ja dem leak entnehmen...
            Zuletzt geändert von pandalalala; 16.12.2020, 10:57.

            Kommentar


              #36
              Zitat von ZAM Beitrag anzeigen
              Situationsbedingt tut es das doch. Wir haben intern erst gestern davon Kenntnis genommen und den möglichen Einbruch analysiert. Eine Meldung wurde entsprechend bei der Behörde ebenfalls eingereicht.



              Es sind Blowfish-Secrets mit extra Salts pro Account.
              Wie kann es sein, dass es einem User vor euch auffällt, dass die von euch verwendete Software ein Schlupfloch hatte? Dazu, dass ein Moderator darauf Antwortet (vermutlich durch Eigenrecherche) und ihr intern trotzdem erst 4 Tage später davon erfahrt?

              edit: whoops, den letzten Post von Panda nicht gesehen, aber hat ja die gleichen Fragen..

              Kommentar


                #37
                Zitat von pandalalala Beitrag anzeigen
                Und wo genau ist das jetzt prima gelöst worden?
                Die Sicherheitslücke wurde damals schon gestopft, mit einem Patch durch den Forensoftwarehersteller. Jedoch war die Lücke so lange in den einschlägigen Gruppen (nicht veröffentlicht) bekannt, dass sie Reihenweise ausgenutzt wurden. Wir bewegen uns nicht im "Darknet".

                4 Tage nachdem nen User nen Thread zu dem Thema aufmacht, kommt dann mal ne News von euch, die aber nicht mal alle betroffenen erreichen wird, weil viele seitdem gar nicht mehr hier aktiv mitlesen. Vll sollte mal jemand sowas wie E-Mails erfinden...
                Datenschutz. Wir haben nicht die Berechtigung einfach alle aus der Datenbank anzumailen, weil kein Double-Opt-In dafür besteht.

                Kommentar


                  #38
                  Zitat von ZAM Beitrag anzeigen
                  Die Sicherheitslücke wurde damals schon gestopft, mit einem Patch durch den Forensoftwarehersteller. Jedoch war die Lücke so lange in den einschlägigen Gruppen (nicht veröffentlicht) bekannt, dass sie Reihenweise ausgenutzt wurden. Wir bewegen uns nicht im "Darknet".
                  Meine Frage bezog sich eher auf das Informieren der betroffenen User, nicht darauf ob die Lücke mitlerweile geschloßen wurde, weil wir darüber hoffentlich gar nicht diskutieren müssen.

                  Naja, der eine weitere verstoß macht den Braten dann auch nicht mehr fett :D

                  Und guck mal in den Feedback-Thread, das pw zu ändern ist ne Lebensaufgabe :x

                  Kommentar


                    #39
                    Zitat von ZAM Beitrag anzeigen
                    Also ehrlich, komme mal bitte etwas runter - die abfällige Kommunikationsart ist nicht zielführend.
                    Es geht hier nicht um "irgendwas geheim halten", wie du hier offenbar zu unterstellen versuchst. Die Forenversion ist kein Geheimnis und für alle einsehbar. Die Erläuterung zum Passwort ist definitiv kein Unfug. Mit Blowfish-Secret können normalsterbliche Benutzer in der Regel nicht viel anfangen, Hash und Salt sind schon fast zu weit gegriffen für die Kommunikation. Bei den Angaben geht man nicht auf technische Ebene, sondern versuchst es für alle soweit verständlich zu formulieren.

                    Was heißt den runter kommen. Das was in dem News Text steht ist einfach fachlich falsch. Hashes sind per se kryptographisch nicht unknackbar. Das wird aber impliziert. Und wie soll ich jetzt nachvollziehen, welche Version der Forensoftware im März 2019 hier aufgespielt war? Ohne die Info weiß ich ja nichtmal was die Standard Hashfunktion ist, die benutzt wurde. Darum gehts doch einfach.
                    Hätte man einfach gesagt "die betroffene Version war X.XX und dort haben wir bcrypt verwendet" wäre doch alles ok.

                    Sich dann in "das versteht der normale User nicht" zu flüchten, ist auch sehr dünn.

                    Kommentar


                      #40
                      Zitat von ZAM Beitrag anzeigen
                      Situationsbedingt tut es das doch. Wir haben intern erst gestern davon Kenntnis genommen und den möglichen Einbruch analysiert. Eine Meldung wurde entsprechend bei der Behörde ebenfalls eingereicht.
                      Ihr wisst seit mindestens 5 Tagen davon. Und komm jetzt nicht mit Datenschutz ... ihr dürft keine Mail an die User schreiben. Ihr habt es zu verantworten, dass die Daten gestohlen wurden.

                      Edit: Und selbst wenn ihr euch hinter dem Opt-Out verstecken wollt: Ich hab in meinem Profil die Zustimmung gegeben. Die Ausrede, dass ihr ja nicht alle anschreiben dürft, macht 0 Sinn, wenn ihr auch nicht die anschreibt, die die Zustimmung gegeben haben.

                      Oder WENIGSTENS per PM, denn das dürft ihr ohne Probleme bei jedem User.

                      So etwas hätte ich zumindest erwartet ... aber wahrscheinlich erwarte ich da zuviel und bin zu sehr verwöhnt von allen anderen Seiten, wo so etwas selbstverständlich war/ist.
                      Zuletzt geändert von DerKiLLa; 16.12.2020, 12:51.

                      Kommentar


                        #41
                        Ich will hier jetzt niemanden in Schutz nehmen und schon gar nicht readmore.de bzw. die Betreiber dahinter, aber was hier manche User nun verlange ist schon lustig (ja finde ich wirklich lustig).

                        Hier sollten die meisten User (und vorallem die User die hier in dem Thread sich bereits zu Wort gemeldet haben) den Internetfuehrerschein besitzen.
                        Es ist offenkundig kein Geheimnis, wie siefmuetterlich readmore.de betreut wird und es eigentlich nur mit dem minimalsten Aufwand am Leben gehalten wird aka die notwendigen Beatmungsmaschinen nicht abgeschaltet werden.
                        Weiterhin sollte man im Jahre (und hier spiele ich nun wieder auf den Internetfuehrerschein an) 2020 wissen, dass man pro Seite ein uniques Password verwenden sollte.

                        Klar ist das hier nun doof und es gibt keine Rechtfertigung dafuer, wie die Kommunikation ablief und was alles versaeumt wurde zu tun.
                        Ist aber nun so. Und die Daten sind nunmal geleakt.

                        Also warum jetzt hier gross das bashing starten, wenn man auch einfach mit shit-happens es akzeptieren koennte (und ja, das wird in Zukunft weiterhin passieren und auch sehr wahrscheinlich eure Daten betreffen und vielleicht sogar auch nochmal ueber readmore.de) und anfaengt konstruktive Vorschlaege zu posten wie man es in Zukunft besser machen koennte bzw das Risiko auch minimal halten koennte?
                        Anscheinend sind hier viele User sehr bewandert auf dem Gebiet und am Ende sollte es eher ein Miteinander sein als ein Gegeneinander.

                        just my two cents... flame on now :)

                        Kommentar


                          #42
                          Wurde damals wohl doch nicht geschlossen

                          Vom 26.09.2019
                          Zitat von Aki Watzke Beitrag anzeigen
                          Ich lass das mal hier:

                          vBulletin: Große Sicherheitslücke in Forensoftware geschlossen
                          https://www.computerbase.de/2019-09/...erheitsluecke/

                          rm.de hat Version 5.4.4

                          Kommentar


                            #43
                            Zitat von DerKiLLa Beitrag anzeigen
                            Ihr wisst seit mindestens 5 Tagen davon. Und komm jetzt nicht mit Datenschutz ... ihr dürft keine Mail an die User schreiben. Ihr habt es zu verantworten, dass die Daten gestohlen wurden.

                            Edit: Und selbst wenn ihr euch hinter dem Opt-Out verstecken wollt: Ich hab in meinem Profil die Zustimmung gegeben. Die Ausrede, dass ihr ja nicht alle anschreiben dürft, macht 0 Sinn, wenn ihr auch nicht die anschreibt, die die Zustimmung gegeben haben.

                            Oder WENIGSTENS per PM, denn das dürft ihr ohne Probleme bei jedem User.

                            So etwas hätte ich zumindest erwartet ... aber wahrscheinlich erwarte ich da zuviel und bin zu sehr verwöhnt von allen anderen Seiten, wo so etwas selbstverständlich war/ist.
                            Informationen nach Art 34 DS-GVO sind nicht zustimmungspflichtig. Da eine Information der Betroffenen per Gesetz verpflichtend ist, stünde eine etwaige fehlende Zustimmung dem nicht entgegen.

                            Hab jetzt die letzten 2 Seiten nicht im Detail gelesen. Aber sollte man sich hinter einer fehlenden Einwilligung, o.ä. verstecken wollen, so würde man sich ggf. strafbar machen.
                            Nur so als Hinweis an den Datenschutzbeauftragten der 4P und die GF, welche dafür haftbar gemacht werden kann ;)
                            Zuletzt geändert von bumbumquietsch; 16.12.2020, 13:47.

                            Kommentar


                              #44
                              Kuhl. News auf der Seite gesehen. Kommentare geschlossen. Das deutet natürlich auf Drama hin weil da sicher nicht alles einwandfrei gelaufen ist (Neben der Tasache das Daten abgegriffen worden sind).
                              Finde diesen Thread und sehe das er schon ein paar Tage alt ist. Läuft ja mal wieder.
                              Vielleicht muss man froh sein das die Verantwortlichen nach ein wenig suchen immerhin rausgefunden haben wer oder was dieses readmore ist.
                              In der News steht übrigens das die Passwörter zurückgesetzt worden sind. Das ist anscheinend falsch, konnte mich auch nach ein und ausloggen noch mit meinem alten PW anmelden, ohne irgendeine Meldung zu bekommen. Habe es jetzt mal geändert, aber vielleicht sollte man da prüfen ob das jetzt alle User betrifft oder ob sich die Leute weiterhin mit einem potenziell bekanntem PW anmelden.

                              Kommentar


                                #45
                                mega, zum glück benutz ich hier noch das original pw von 2011, lol

                                Kommentar

                                Lädt...
                                X