jaja, wenn man schon keine Ahnung hat, sollte man einfach mal die Fresse halten. Is so.

Der Einbruch erfolgte durch eine andere Applikation als das phpBB selbst. Ich finds lustig, dass das phpBB die Ursache ist, sobald ein phpBB aufm Server laeuft. Schonmal dran gedacht, dass es auch ne Luecke in einer anderen Applikation sein koennte? Beim grossen Angriff auf phpbb.com vor 2 Jahren wars ein Statistik-Tool, das als Einfallstor diente. Wenn mir ein Statistik-Tool Shell-Zugriff aufm Server gibt, dann ist es ne Leichtigkeit an die Daten zu kommen....

Greetz
alcaeus

Hallo,

es ist richtig, dass es nicht am phpBB selbst lag.

Ich denke, Berlinermauer meint den Hashalgorithmus MD5, denn wenn man den Hash hat und weiß, dass es mit MD5 gehasht wurde, kann man günlige passwörter generieren. Daher meint er, solle man den Hashalgorithmus modifizieren, dass man anhand des Hashs nicht so leicht auf die Passwörter schließen kann.
Das hätte phpBB.de natürlich machen können, doch da würde ich phpBB keinen Vorwurf machen. Ich bin überzeugt davon, dass die meisten phpBB-Foren den Algorithmus nutzen, der beim phpBB standardmäßig dabei ist (vielleicht auch die DP?). Ein Fehler kann immer mal passieren, wir sind alle nur Menschen.

Und ich finde es schon toll, dass die Leute von phpBB.de diesen Angriff so schnell bemerkt haben (ich würde dies vermutlich nicht so schnell bemerken) und auch sofort alle registrierten Benutzer darüber informierten. Wer überall das gleiche Passwort nutzt, ist selbst Schuld und wenn er dies doch tut, so hat er nun die Möglichkeit, die Passwörter anzupassen, also ist doch alles in Ordnung. Es ist zusätzlich immer Sache des Benutzers, selbst auf die höchstmögliche Sicherheit zu achten.

Gruß

naja, das ganze zu salzen, ist ein nicht schwieriger patch, der bei jedem minor update mit maximal 10 zeilen in der upgrade.php eingeschlossen hätte werden können. da kann man den phpbblern also doch ein mittelschweres versäumnis unterstellen.

ich muss gleich mal schauen, wie das beim phpbb3 ist...

Naja ganz so einfach ist die Sache aber nicht. Auch wenn zB. ein Statistiktool das Ausspionieren ermöglichte so muß man sich denoch fragen warum eine Serversoftware im Umgang mit Benutzerdaten so unsicher ist das man relativ einfach nach einem Diebstahl der Passwortdatenbank diese offline knacken kann. Es liegt also meiner Meinung nach sehr wohl an phpBB wenn meine Passwörter knackbar sind. Kryptographisch betrachtet weiß man schon seit vielen Jahren wie ein sicheres Loginsystem zu konstruieren ist ohne das man bei gestohlener Login Datenbank was damit anfangen könnte. Man könnte also zumindest "unterlassene Hilfestellung" unterstellen da phpBB nicht nach annerkannten Regeln die Accountdaten geschützt hat. Eine einfache Verschlüsselung der kompletten Daten und live Entschlüsselung während der Laufzeit mit einem Passwort im Speicher hätte schon einiges bewirkt, und das ist noch nichtmal eine kryptographisch sehr gute Lösung. Andererseits könnte man auch den Benutzern des Forums einen Vorwurf machen, immer nur ein Passwort pro Login benutzen und nicht immer das gleiche Passwort für verschiedene Logins. Das verhindert aber nicht das man an die eigene EMail Addresse und sonstwelche Benutzerinformationen rankommt, ergo sollte die phpBB Sicherheit erstmal verbessert werden.

Man muß immer davon ausgehen das der Server kompromittiert wird bzw. das der Server selber der Angreifer sein könnte.

Gruß Hagen

Nein, ist es nicht. Sobald die Passwoerter erstmal gespeichert sind, bringt nachtraegliches Salten nichts mehr; es sei denn du hashst das bereits gehashte Passwort nochmal mit Salt, was aber wiederum die permanente Anwesenheit von Update-Code erfordert bis jedes Mitglied sein Passwort neu eingegeben hat.

AFAIK wird beim phpBB3 gesaltet.

Greetz
alcaeus

Ich werde innerhalb der nächsten sieben Tage noch sehr viel mehr zum Thema vBulletin schreiben, aber habe eben nachgesehen: Das vBulletin gibt jedem User sein eigenes "Salt" zum Passwort. Das stellt also schonmal eine Verbesserung dar.

oh, hast recht. sorry.

Das Ganze hat größere Auswirkungen:

(1) SMF-Portal.de :: "Benutzerdaten ausspioniert!"
http://www.smfportal.de/index.php?topic=2832.0
(Support-Forum zur Foren-Software "SimpleMachines")

(2) Woltlab.de :: "Einbruch in die Foren-Datenbank"
http://www.woltlab.de/forum/index.ph...hreadID=129164
(Offizielles Hersteller-Forum Foren-Software "Woltlab Burning Board")

Gemein bei Woltlab ist, dass auch die Datenbank des Support-Tickers geklaut wurde. Dort sind u.a. die Zugangsdaten (sei es FTP, SSH oder Admin-Zugänge) zu den Kundenservern hinterlegt, soweit diese für eine Support-Anfragen nötig waren.

und natürlich (3), der Einbruch bei phpBB.de, den MrSpock bereits berichtet hat.

Meine Güte.

Was auch verantwortungslos ist: Ich habe mich soeben bei der 1und1 und der SonyEricsson-Website eingeloggt und zuvor auf den Passwort-Vergessen-Link geklickt. Per E-Mail erhalte ich dann das Passwort, das ich damals eingegeben hatte, im Klartext!
Wenn da mal so etwas passiert, ist das ja noch schlimmer ...
Und das sind sicher nur 2 von ganz vielen Websites.

Das selbe ist mir gestern bei lokalisten.de passiert

Was aber die ganze Einbruchssache noch bedenklicher macht: Die erhaltenen Informationen werden zum Verkauf angeboten (Quelle und Verkaufsangebot)

greetz
Mike