Achtung: Passwörter auf Autgress.at

Re: WICHTIGE INFORMATION! BITTE ALLE LESEN!

Beitragvon Dr.Wummi » Montag 18. November 2013, 10:54

Kratk hat geschrieben:@Dr.Wummi:
Du bist also der Administrator von autgress.at?
Gibt es noch andere Leute mit Admin-Zugriff auf euren Server?
Falls du meine Frage nicht beantworten willst, versteh ich das auch.
LG, Thomas

nö, bin nur admin von meiner scoreboardseite.
aber i versteh wenn da misstrauen besteht, bzw leute den account löschen wollen.
Tesla was the electric Jesus.
Benutzeravatar
Dr.Wummi
 
Beiträge: 17

Bundesland: Wien

Re: WICHTIGE INFORMATION! BITTE ALLE LESEN!

Beitragvon Kratk » Montag 18. November 2013, 10:55

Noch was wichtiges: Unbedingt alle die potentiell betroffen sind, vielleicht auch mit ihrem Google-Account, es gibt bei GMail im Browser unten rechts ein Anzeige:
"Letzte Kontoaktivität vor xx Minuten" mit einem Button "Details" darunter --> Bitte umbedingt schnellst möglichst sichern was er dort anzeigt, das könnte helfen die/den Täter ausfindig zu machen!
Benutzeravatar
Kratk
Level 8
 
Beiträge: 37

Bundesland: Wien

Re: WICHTIGE INFORMATION! BITTE ALLE LESEN!

Beitragvon Kratk » Montag 18. November 2013, 10:59

Dr.Wummi hat geschrieben:nö, bin nur admin von meiner scoreboardseite.
aber i versteh wenn da misstrauen besteht, bzw leute den account löschen wollen.

Sorry, aber was ist deine Scoreboardseite -> könntest uns einen Link posten, würd ich gern sehn.
Benutzeravatar
Kratk
Level 8
 
Beiträge: 37

Bundesland: Wien

Re: WICHTIGE INFORMATION! BITTE ALLE LESEN!

Beitragvon arthious » Montag 18. November 2013, 11:00

Kratk hat geschrieben:
Dr.Wummi hat geschrieben:nö, bin nur admin von meiner scoreboardseite.
aber i versteh wenn da misstrauen besteht, bzw leute den account löschen wollen.

Sorry, aber was ist deine Scoreboardseite -> könntest uns einen Link posten, würd ich gern sehn.


Siehe hier:
viewtopic.php?f=15&t=673
If you are in range of my portal then you are in range of my crossbow ;-)
Benutzeravatar
arthious
Level 9
 
Beiträge: 54

Bundesland: Wien

Re: Achtung: Passwörter auf Autgress.at

Beitragvon Kratk » Montag 18. November 2013, 11:19

okey, danke arthious.
Und nochmals die Bitte an die Betroffenen die Hinweise auf Tat und Täter haben, bitte geht wirklich zur Polizei und zeigt das an. Kostet euch nix, außer ein bischen Zeit.

Und als take-home-message für alle: Jedes Passwort nur einmal verwenden, keine simplen Wörter die in Wörterbüchern stehen als Passwörter verwenden, und um sich das ganze dann auch noch merken zu können, bzw. um sich Passwörter zu generieren wenn die Kreativität nicht mitspielt, solche Tools verwenden: http://www.keepassx.org/
Benutzeravatar
Kratk
Level 8
 
Beiträge: 37

Bundesland: Wien

Re: Achtung: Passwörter auf Autgress.at

Beitragvon quattro » Montag 18. November 2013, 12:06

bevor jemand auf die blöde idee kommt hier im forum hinterlegte schlumpfpasswörter zu knacken ein kleiner hinweis: wenn ich da drauf komm, werd ich sehr sehr sauer!

wollt ich nur mal unbegründet vorrausgeschickt wissen. mir ist sowas einfach nur sehr wichtig.
quattro
Level 10
 
Beiträge: 51

Bundesland: bitte auswählen:

Re: AW: WICHTIGE INFORMATION! BITTE ALLE LESEN!

Beitragvon snuffi » Montag 18. November 2013, 12:24

Kratk hat geschrieben:Das schöne (für das Opfer = manche von uns?) ist, dass das Hacken fremder Computersysteme nicht nur Zivilrechtlich problematisch ist, sondern Strafrechtlich relevant --> Du musst nicht mit selbst finanziertem Anwalt vor Gericht ziehen, sondern einfach zur Polizei gehen und die Straftat zur Anzeige bringen. Kostet das Opfer nicht mehr als ein paar Stunden seiner Zeit, und wenn alles glatt läuft müssten die Staatsanwaltschaft sich um alles restliche kümmern.



wir wollen sicher niemanden anzeigen, es geht darum die sache aufzuklären, abzustellen und schaden zu vermeiden. wer hat was von einer anzeige? ich verstehe den ärger, aber wenn nicht mehr passiert ist, als dass ein paar infos zur organisation eines spiels entwendet wurden, dann brauchen wir da keine real-world polizei. dann kann man das innerhalb des spieler klären...

@quattro: 1) würdest da nicht draufkommen und 2) kannst dir sicher sein, dass wir das genauso sehen. nur weil ich nicht gleich zum staatsanwalt lauf, heisst das nicht, dass ich in irgendeiner form toleranz für sowas habe...
Benutzeravatar
snuffi
Level 9
 
Beiträge: 620

Bundesland: Wien

Re: AW: WICHTIGE INFORMATION! BITTE ALLE LESEN!

Beitragvon Kratk » Montag 18. November 2013, 12:32

snuffi hat geschrieben:wir wollen sicher niemanden anzeigen, es geht darum die sache aufzuklären, abzustellen und schaden zu vermeiden. wer hat was von einer anzeige? ich verstehe den ärger, aber wenn nicht mehr passiert ist, als dass ein paar infos zur organisation eines spiels entwendet wurden, dann brauchen wir da keine real-world polizei. dann kann man das innerhalb des spieler klären...


Finde ich schade..
Zuletzt geändert von Kratk am Montag 18. November 2013, 12:56, insgesamt 1-mal geändert.
Benutzeravatar
Kratk
Level 8
 
Beiträge: 37

Bundesland: Wien

Re: Achtung: Passwörter auf Autgress.at

Beitragvon quattro » Montag 18. November 2013, 12:40

1) hast eh recht.
2) davon bin ich ausgegangen.

das mit der anzeige seh ich auch so. es wäre überzogen jemandem wegen eines spiels einen Eintrag im Strafregister an zu hängen.

bin nur was das angeht überempfindlich und möchte das nicht in den eigenen reihen. ob das die schlümpf machen ist mir da schon eher egal.

wobei das verletzen der Privatsphäre anderer schon ein starkes stück ist :-/
quattro
Level 10
 
Beiträge: 51

Bundesland: bitte auswählen:

Re: Achtung: Passwörter auf Autgress.at

Beitragvon snuffi » Montag 18. November 2013, 12:47

wenn jemand sachdienliche hinweise hat, dann sind die admins hier die erste anlaufstelle. in it sachen kennen sich die leute hier besser aus als die staatsanwaltschaft :-D
Benutzeravatar
snuffi
Level 9
 
Beiträge: 620

Bundesland: Wien

Re: Achtung: Passwörter auf Autgress.at

Beitragvon bizini » Montag 18. November 2013, 12:48

Ich bin zwar nicht betroffen aber wenn ich es wäre würde ich es anzeigen, da ich (leider, bis heute früh) jemand bin, der nur eine handvoll Passwörter für ALLES verwendet dh. die hätten dann theoretisch auch Zugriff auf meine Emails, Konten etc. gehabt.
Benutzeravatar
bizini
 
Beiträge: 11

Bundesland: Salzburg

Re: Achtung: Passwörter auf Autgress.at

Beitragvon chritcal » Montag 18. November 2013, 13:04

Frage an den Threadersteller:
Ein derartiger Vorwurf kommt ja nicht von ungefähr und nach einer Vermutung klingt das schon gar nicht. Ich gehe also davon aus dass wir stichhaltige Beweise oder zumindest mehr als Indizien haben?
Wurde der Domaininhaber bereits mit den Vorwürfen konfrontiert?

Weil ab und zu ganz dezent der Vorwurf an jene kommt, die Passwörter wiederverwenden: Hört auf mit dieser leidigen Schuldumkehr.
Ja, es ist natürlich nicht empfehlenswert, aber bei einem phpbb kann/muss man davon ausgehen dass die Kennwörter verschlüsselt sind. Ist dem nicht so wurde wissentlich nachgeholfen. Wurden die Hashes verbreitet ist dies ebenfalls der Fall.

Sollte der Vorwurf stimmen ist das wirklich eine beschämende Sache.
Zuletzt geändert von chritcal am Montag 18. November 2013, 13:09, insgesamt 1-mal geändert.
chritcal
 

Re: Achtung: Passwörter auf Autgress.at

Beitragvon DaPeda » Montag 18. November 2013, 13:08

Ein paar Fragen hätte ich:
  • Zugriff von extern, oder jemand der sowieso Zugriff hatte?
  • Sicherheitslücke ausgenutzt? War phpBB aktuell (wenn nicht kanns ein Problem mit mangelnder Sorgfalt geben)
  • Wodurch ist es überhaupt aufgefallen?
Zuletzt geändert von DaPeda am Montag 18. November 2013, 13:41, insgesamt 2-mal geändert.
DaPeda
 
Beiträge: 2

Bundesland: Niederösterreich

Re: Achtung: Passwörter auf Autgress.at

Beitragvon PredatorBerni » Montag 18. November 2013, 13:13

quattro hat geschrieben:bevor jemand auf die blöde idee kommt hier im forum hinterlegte schlumpfpasswörter zu knacken ein kleiner hinweis: wenn ich da drauf komm, werd ich sehr sehr sauer!

wollt ich nur mal unbegründet vorrausgeschickt wissen. mir ist sowas einfach nur sehr wichtig.



Wir gehen in die andere Richtung: ich suche gerade eine Möglichkeit alle Kennwörter noch besser zu verschlüsseln. Weiters wird die Seite demnächst auf https umsteigen - muss aber erstmal getestet werden - ich bleibe da aber dahinter.

Lg
:twisted: ...nur ein abgefeuerter XMP ist ein guter XMP... :twisted:
! PLAY HARD BUT PLAY FAIR !
Benutzeravatar
PredatorBerni
Level 14
 
Beiträge: 838

Bundesland: Oberösterreich

Re: Achtung: Passwörter auf Autgress.at

Beitragvon PredatorBerni » Montag 18. November 2013, 13:20

chritcal hat geschrieben:Frage an den Threadersteller:
Ein derartiger Vorwurf kommt ja nicht von ungefähr und nach einer Vermutung klingt das schon gar nicht. Ich gehe also davon aus dass wir stichhaltige Beweise oder zumindest mehr als Indizien haben?
Wurde der Domaininhaber bereits mit den Vorwürfen konfrontiert?

Weil ab und zu ganz dezent der Vorwurf an jene kommt, die Passwörter wiederverwenden: Hört auf mit dieser leidigen Schuldumkehr.
Ja, es ist natürlich nicht empfehlenswert, aber bei einem phpbb kann/muss man davon ausgehen dass die Kennwörter verschlüsselt sind. Ist dem nicht so wurde wissentlich nachgeholfen. Wurden die Hashes verbreitet ist dies ebenfalls der Fall.

Sollte der Vorwurf stimmen ist das wirklich eine beschämende Sache.



Zur Zeit haben wir die Beweise des unbefugten Zugriffes gesichert incl IPs, können es aber NOCH nicht einer Person zuordnen. Hoffentlich ist dem/den jenigen wo ein Fehler unterlaufen und wir werden den dann auch sicher auch finden.

Wie es aufgefallen ist: durch Aussagen von Schlümpfen und beharrliches auchen nach der Lücke. Auch mein Googlekonto ist betroffen weil ich (leider - mein Fehler) noch keine two factor auth aktiviert hatte. Die ist nun eingeschalten und es ist spannend zu sehen, dass es gar nicht ruhig ist um mein googlekonto. Bitte macht das Alle - Auth mit SMS-Code bei Zugriff sichern - viele von unseren Spielern hatten den Kopf zu sehr im Game und zu wenig in der Sicherheit - nun ist der Zeitpunkt gekommen, dass wir dabei umdenken.

Und kontrolliert eure Googlezugriffe - das hat vielen heute die Augen geöffnet!!!!
:twisted: ...nur ein abgefeuerter XMP ist ein guter XMP... :twisted:
! PLAY HARD BUT PLAY FAIR !
Benutzeravatar
PredatorBerni
Level 14
 
Beiträge: 838

Bundesland: Oberösterreich

Re: Achtung: Passwörter auf Autgress.at

Beitragvon DaPeda » Montag 18. November 2013, 13:37

Falls sich in Zukunft jemand besser absichern möchte:
  • Aktiviert bei Google die 2-Faktor Authentifizierung
    Dabei bekommt ihr entweder bei der Anmeldung einen Einmal-Code per SMS auf ein vorher definiertes Handy geschickt, oder ihr ladet euch eine App (Google Authenticator) aufs Handy, die den Code erstellt (die funktionert auch bei vielen anderen Seiten, z.B bitcoin.de oder MtGox)
  • Installiert KeePass (Windows), KeePassX (Linux/Mac), und/oder KeePassDroid (Android). Die 3 Programme sind untereinenader kompatibel, und verwalten eure Passwörter bzw. generieren euch ein neues für verschiedene Dienste. Bei allen 3 ist es nicht mehr nötig selbst das Passwort einzugeben, sonder lässt sich per Copy/Paste übernehmen. Die Datei, in der die Passwörter gespeichert werden ist mit einem Master-PW verschlüsselt, und die Datei lässt sich ohne Probleme per Dropbox o.ä. synchron halten.
  • Für einmalige Anmeldungen / Wegwerfaccounts generiert euch ein Passwort (z.B. per KeePass) und verwendet eine temporäre Email-Adresse (z.B. bei 10 Minute Mail)
DaPeda
 
Beiträge: 2

Bundesland: Niederösterreich

Re: Achtung: Passwörter auf Autgress.at

Beitragvon PredatorBerni » Montag 18. November 2013, 13:58

Edit: IP und betroffene Institution entfernt, da ja jetzt geklärt ist, wer es war [snuffi]

Daher kam der Zuriff auf mein Konto. Kamn wer Infos dazu liefern? Hotspot? Schlumpf dort in Ausbildung? Irgendwas brauchbares?
:twisted: ...nur ein abgefeuerter XMP ist ein guter XMP... :twisted:
! PLAY HARD BUT PLAY FAIR !
Benutzeravatar
PredatorBerni
Level 14
 
Beiträge: 838

Bundesland: Oberösterreich

Re: Achtung: Passwörter auf Autgress.at

Beitragvon arthious » Montag 18. November 2013, 14:02

PredatorBerni hat geschrieben:Edit: IP und betroffene Institution entfernt, da ja jetzt geklärt ist, wer es war [snuffi]

Daher kam der Zuriff auf mein Konto. Kamn wer Infos dazu liefern? Hotspot? Schlumpf dort in Ausbildung? Irgendwas brauchbares?


Edit: IP und betroffene Institution entfernt, da ja jetzt geklärt ist, wer es war [snuffi].... da würde ich davon ausgehen dass deren Logs durchaus Aufschluss liefern würden.
Hast du denen mal eine Anfrage geschickt?
Ich könnte mir vorstellen, dass Hochschulen da durchaus hilfsbereit sind, weil die nicht unbedingt erfreut sind wenn Studenten ihr Netz für Straftaten nutzen - ob die nun angezeigt werden oder nicht.
If you are in range of my portal then you are in range of my crossbow ;-)
Benutzeravatar
arthious
Level 9
 
Beiträge: 54

Bundesland: Wien

Re: Achtung: Passwörter auf Autgress.at

Beitragvon PredatorBerni » Montag 18. November 2013, 14:03

arthious hat geschrieben:
PredatorBerni hat geschrieben:Edit: IP und betroffene Institution entfernt, da ja jetzt geklärt ist, wer es war [snuffi]

Daher kam der Zuriff auf mein Konto. Kamn wer Infos dazu liefern? Hotspot? Schlumpf dort in Ausbildung? Irgendwas brauchbares?


Edit: IP und betroffene Institution entfernt, da ja jetzt geklärt ist, wer es war [snuffi].... da würde ich davon ausgehen dass deren Logs durchaus Aufschluss liefern würden.
Hast du denen mal eine Anfrage geschickt?
Ich könnte mir vorstellen, dass Hochschulen da durchaus hilfsbereit sind, weil die nicht unbedingt erfreut sind wenn Studenten ihr Netz für Straftaten nutzen - ob die nun angezeigt werden oder nicht.


Ich hoffe darauf, dass wir dort wen kennen und ich den
Offiziellen Weg nicht gehen muss...
:twisted: ...nur ein abgefeuerter XMP ist ein guter XMP... :twisted:
! PLAY HARD BUT PLAY FAIR !
Benutzeravatar
PredatorBerni
Level 14
 
Beiträge: 838

Bundesland: Oberösterreich

Re: Achtung: Passwörter auf Autgress.at

Beitragvon Kratk » Montag 18. November 2013, 14:05

Ich frag mal nach ob wir da Kontakte haben (arbeite am FH-Campus Wien)
Benutzeravatar
Kratk
Level 8
 
Beiträge: 37

Bundesland: Wien

VorherigeNächste

Zurück zu Forumsinformation



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste