Faktensammlung zum Passworthack auf autgress / Wummi-Liste

Faktensammlung zum Passworthack auf autgress / Wummi-Liste

Beitragvon snuffi » Freitag 22. November 2013, 22:20

Facts rund um den entwendete Passwörter aus der Datenbank des autgress.at - Forums


1.) Was ist vorgefallen?
Die Datenbank des autgress.at Forums wurde von einem Admin mit Spielernamen SwitchPhase kopiert und in der Folge dann daraus die Passwörter der dort registrierten Benutzer extrahiert und gecrackt. Mit den so gewonnenen Passwörter der grünen Spieler wurde dann zusammen mit dem Spieler Dr.Wummi zunächst versucht in das Benutzerkonto auf dem enlightened.at Forum einzubrechen und in weiterer Folge in Google-Konten der grünen Spieler, was in einigen Fällen auch gelang, wenn die Betroffenen dort das selbe Passwort wie auf autgress.at verwendet hatten.
Über diese Konten sammelten die beiden Informationen aus dem enlightened.at Forum und vor dem Event 13magnus auch Informationen aus diversen Hangouts der betroffenen grünen Spieler.

2.) Wer sind die Opfer?
Es wurden mehr als 170 Passwörter sowohl von grünen als auch blauen Spielern geknackt. Ob diese Liste vollständig ist, kann nicht mit Sicherheit gesagt werden, es muss sich JEDER auf autgress.at registrierte Spieler als betroffen betrachten und keinesfalls das dort verwendete Passwort (oder ähnliche/erratbare Varianten) bei irgendeinem Service weiterhin verwenden. Da auch Google Konten betroffen waren ist spezielle Sorgfalt notwendig, denn ein Google Konto erlaubt Zugriff auf verschiedenste Services (Calender, Docs, GDrive, etc.). Hier müssen neben dem Passwort auch unbedingt alle bestehenden Freigaben überprüft werden. Die Täter haben versichert, dass nur Ingress-relevante Informationen gesucht wurden und auf keine privaten Mails, Dokumente, etc. zugegriffen wurde, allerdings darf man sich aus Sicherheitsgründen keinesfalls darauf verlassen!
Ebenfalls als betroffen müssen sich alle Spieler fühlen, welche auf der von Dr.Wummi betriebenen Highscoreliste registriert waren. Auch diese Passwörter wurden geknackt, hier liegt uns aber keine Liste der registrierten Benutzer vor.

3). Wer sind die Täter?
Ausführende waren nach eigenen Angaben nur SwitchPhase und Dr.Wummi, welche die Tat auch bereuen und einsichtig sind. Beide haben die Waffen (den Scanner) niedergelegt und wurden aus dem autgress.at Forum entfernt. Beide haben im Rahmen eines Aufklärungsgesprächs den Tathergang und -umfang offen gelegt und somit bei der Aufklärung mitgeholfen. Ob alle Punkte vollständig aufgeklärt wurden ist nicht gänzlich gesichert, es dürften jedoch keine gravierenden Punkte mehr im Dunkeln liegen.

4.) Wie wurde es bemerkt?
Aufgrund einiger verdächtiger Vorfälle bereits vor dem Event wurde bereits Verdacht geäußert, dass es Informationen an die andere Seite gelangt waren. Auch nach dem Event wurden weitere Unregelmäßigkeiten entdeckt, unter anderem der Zugriff auf den Sprachkanal der Organisatoren. Ein Spieler meldete uns den Verdacht, dass sein Konto kompromittiert wurde, was wir sofort überprüften und dabei Zugriffe auf Spieleraccounts von enlightened.at über den Anonymisierungsdienst TOR feststellten. Der endgültige Beweis war durch den G+ Account von PredatorBerni erbracht, hier wurde eine inkriminierende IP gefunden, welches sich zum Spieler Dr.Wummi zurückverfolgen ließ. In weiterer Folge wurden weitere Accounts überprüft und bereits Sonntag nacht erste Spieler informiert entsprechend unserem Informationsstand. Am Montag morgen war dann klar, dass das Ausmaß eine viel größere Dimension hatte als angenommen und es wurde im enlightened.at Forum eine allgemeine Warnung veröffentlicht und über diverse Hangouts verteilt mit der Bitte um Weitergabe.
Parallel dazu waren wir mit dem Admin Darky des autgress.at Forums in Kontakt, welcher die Logs des Forums untersuchte und nach einigen Stunden Suche den Spieler SwitchPhase beim Versuch des Löschens von Spuren erwischte.

5.) Woher kamen die Passwörter?
Die Daten wurden aus der Datenbank des autgress.at Forums und der Highscoreliste von Dr.Wummi gewonnen - dies war möglich, weil der eine Admin bei autgress.at und der andere der Entwickler der Highscoreliste waren.

6.) Seit wann waren die Passwörter bekannt?
Die Datenbank wurde am 26.08.2013 entwendet. Ab diesem Zeitpunkt wurde auf Konten im enlightened.at Forum zugegriffen. Der Zugriff auf die Hangouts erfolgte laut Aussagen der beiden Täter erst ab ca. 06.11.2013. SwitchPhase gab an, dass der Grund dafür darin liegt, dass Dr.Wummi ein Tool programmieren wollte, mit welchem direkt auf die Hangouts zugegriffen werden könnte ohne Spuren im Google Account zu hinterlassen. Dies dürfte jedoch rein technisch nicht funktionieren oder bald wegen Aussichtslosigkeit eingestellt worden zu sein, denn es wurden schließlich ja doch Spuren hinterlassen.

7.) Wer wusste Bescheid?
Diese Frage wird vermutlich nie mit 100%iger Sicherheit geklärt werden können. Laut Aussage der Täter wurde niemand eingeweiht und alle Informationen anonym weitergegeben.
Den Kontaktpersonen auf blauer Seite wurde gesagt, dass es sich um einen grünen Doppelagenten handelt, welcher diese Informationen weitergibt. Manche Informationen wie Screenshots des Enlightened Forums wurden in einem internen Bereich auf autgress.at veröffentlicht andere Informationen wie Screenshots von Hangouts wurden mittels eines unter dem falschem Namen Lukas Rehling eröffneten Google Kontos an bestimmte Spieler weitergereicht, die diese ihrerseits weiter verteilten.

8.) Wird Anzeige erstattet werden?
PredatorBerni wird keine Anzeige erstatten. Es handelt sich um eine Straftat, welche je nach Grad mit Gefängnis geahndet werden kann (laut Auskunft eines Juristen 6 Monate bis zu 5 Jahren). Bei einem der beiden Täter besteht zudem aufgrund der Vorgeschichte laut eigenen Angaben wenig Chance auf Bewährung. PredatorBernie meint dazu: "in dem Fall aber bin ich der Meinung, dass man wegen einem Spiel kein Leben versauen soll und vor allem ich das mit meinem Gewissen nicht vereinbaren kann!"

9.) Haben wir Beweise oder handelt es sich nur um Behauptungen?
Ja, wir haben IP-Adressen, Zugriffszeiten und die Geständnisse der beiden Täter. Darüber hinaus hat Darky Logs und Spuren aus dem autgress.at Forum gesichert.

10. Stellten sich die Beiden freiwillig?
Nein. Eine IP-Adresse zeigte auf den Umkreis von Dr.Wummi, dieser beteuerte zunächst alleine gehandelt zu haben, um SwitchPhase zu schützen. Als dieser jedoch beim Versuch seine Spuren zu verwischen von Darky erwischt wurde, gaben beide die Sache vollständig zu. Im Anschluss kam es zu einem 4+ stündigen Hangout, in welchem viele Details offen gelegt wurden. Einige Punkte wurden jedoch erst im Verlauf der folgenden Tage geklärt, ob nun die vollständige Geschichte lückenlos auf dem Tisch liegt darf bezweifelt werden, jedoch dürften keine gravierenden Punkte mehr ungeklärt sein. Im Zuge der Aufklärung wurde Darky von PredatorBerni auch für sein zögerliches Vorgehen beim Bereitstellen von gewissen Informationen und das sehr kurze Statement an alle Benutzer kritisiert, was diese jedoch damit begründete, dass er erst datenschutzrechtliche Bedenken abklären musste.

11.). Kann das enlightened.at auch passieren?
Da es sich um einen Zugriff eines Administrators handelte, kann dies theoretisch überall passieren. Zur Zeit wird aber fieberhaft an einer Lösung für bessere Verschlüsselung der Passwörter gearbeitet, damit sogar in einem Fall von einem solchen Zugriff die Passwörter nicht geknackt werden können. Jetzt ist unser Sicherheitsstandard aber schon höher als es bei autgress.at der Fall war. Https und bessere Passwortverschlüsselung sind auf der Timeline und Predatorberni hat sich bereits Urlaub genommen, um an der Verbesserung des Boards zu arbeiten.

12.) Hätten sie sich weitere Backdoors schaffen können?
Leider ja - mit dem Adminlogin im enlightened.at Forum auf jeden Fall. Wir haben deshalb einen erzwungenen Passwordwechsel durchgeführt für alle Benutzer und suchen nach möglichen Backdoors oder Unregelmäßigkeiten. Aufgrund der Vielfalt an Informationen und der Möglichkeit eines Admins Logs zu löschen und Spuren zu verwischen ist dies jedoch ein langwieriger Prozess. PredatorBerni hat jedoch ein persönliches Versprechen abgegeben erst aufzuhören, wenn alles gefunden wurde.

13.) Welche Plattformen wurden gehackt bzw. wo wurden die über gehackten Accounts entwendeten Informationen verwendet?
autgress.at, forum.enlightened.at, Google Account (hier insbesondere GMail/Hangouts) !

14.) Wurde 13Magnus davon beeinflusst?
Ja, aber ob so gering, dass es egal ist oder so viel, dass es was geändert hätte, kann keiner genau sagen. Sie hatten Informationen aus unseren Hangouts, Zugriff auf Zello, das als Sprachfunk beim Event verwendet wurde und Zugriff aufs Forum in allen Bereichen. Wir haben bereits eine Reihe von Statements der Organisatoren der Resistance erhalten, welche versichern keine spielentscheidenden Informationen erhalten zu haben und dies mit Screenshots von erhaltenen Informationen untermauerten. Ob diese kleinen Informationen einen Einfluss gehabt haben und ob irgendwer vielleicht weitere Informationen hatte, lässt sich nie vollständig ausschließen. Für den Eventablauf innerhalb von Wien dürfte aufgrund des Verlaufs mit hoher Wahrscheinlichkeit keine Auswirkung vorhanden sein. Ob sich Vorteile für die Resistance beim Bau des großen Feldes über Wien bzw. der Verhinderung des geplanten noch größeren grünen Feldes ergeben haben, ist nicht restlos geklärt. Spieler Zorni hat hierzu Screenshots von Planungsunterlagen zur Verfügung gestellt, welche belegen sollen, dass seine Teams geplanterweise an diesen Stellen auftauchten, wo es zur Verhinderung des grünen Feldes kam. Letztendlich wird jedoch jeder für sich selbst beurteilen müssen, was er/sie glaubt - wir können nur die uns bekannten Informationen offen legen.

15.) Welche Rolle spielte Zello?
Wahrscheinlich keine. Das Hauptquartier der Resistance hatte sicher ab dem 3. Messpunkt über das Zello Konto von Darky Zugriff auf den Sprachkanal, mit welchem unser Hauptquartier unsere Teams lenkte. Da die Informationen von unseren Organisatoren fast ausschließlich über im voraus vereinbarte Codes (Portalnummern) kommuniziert wurden, erscheint es plausibel, dass der Nutzen dieses Zugriffs keinen ernsthaften Vorteil brachte. Aus dem Resistance Hauptquartier liegen uns bereits von allen dort anwesenden Personen Stellungnahmen und Berichte vor, was wir den betreffenden Personen sehr hoch anrechnen. Wir freuen uns sehr, dass die Zusammenarbeit hier von dem beidseitigen Wunsch getragen war, diese Sache aufzuklären.

16.) Wird Magnus wiederholt? Wird der Spielstand annulliert/verändert?
Mit ziemlicher Sicherheit nicht. Es kann kein Urteil getroffen werden, ob es zu spielentscheidenden Unregelmäßigkeiten gekommen ist. Außerdem handelt es sich hier um eine Serie von Events, welche in eine dynamische Story eingebunden sind. Die Hintergrundgeschichte der Eventserie ist bereits vorangeschritten und kann nicht mehr zurückgedreht werden. Aufgrund des riesigen Organisationsaufwandes sowohl bei Niantic als auch bei den Spielern ist eine Wiederholung in der derzeitigen Situation auch gar nicht sinnvoll, denn niemand der Organisatoren hätte aktuell Zeit dafür. Wir würden uns aber selbstverständlich sehr freuen, wenn Niantic Wien im kommenden Jahr wieder einen Besuch abstattet und dann der Welt beweisen, dass die Resistance bei dieser Runde "einfach nur Glück gehabt hat" :-D

17.) Wird sich Niantic dazu äußern?
Niantic kann sich zu dem Vorfall nur schwer äußern, da sich das Geschehen außerhalb des Spiels abspielte. Alle Informationen, welche Niantic haben könnte, können lediglich von Spielern stammende Aussagen sein, daher ist es unwahrscheinlich, dass es zu einer offiziellen Stellungnahme kommt.

18.) Darf ich mich dazu äußern auch wenn ich nicht betroffen bin?
Ja, natürlich. Jeder ist in gewisser Weise tangiert davon und jede Meinung zählt. Wir fördern einen regen Meinungs- und Datenaustausch darüber, um die Position und Einstellung eines jeden Spielers zu den Vorgängen (auch den "Nebenschauplätzen") auszudiskutieren. Auch sind alle Moderatoren und Admins hier fieberhaft dahinter, alle eure Fragen zu beantworten und mit Rat und Tat zur Seite zu stehen. Scheut nicht uns zu fragen, wie ihr euer Konto besser absichern könnt oder wie ihr mit manchen Daten umgehen solltet - es sind viele erfahrene ITler hier und helfen euch freiwillig und gerne weiter.

19.) Wie geht es weiter?
Diese Frage stellen wir uns oft in den letzten Tagen - hier seid ihr alle gefordert an der Beantwortung mitzuwirken und damit die Basis für das zukünftige Zusammenspiel zu schaffen. Einer unserer priorisierten Vorschläge ist eine Charta unserer Fraktion, welche aussagen soll, wofür unsere Community steht und wofür wir eintreten. Wir rechnen damit, dass sich hier auch die blaue Community beteiligen und auch selbst eine Diskussion in ihrer Spielergemeinschaft in Gang setzen wird. Wie es aber wirklich weiter geht in unserem sehr aktiven Ingressland liegt vor allem an uns und wie wir uns zukünftig verhalten werden am und um den Battleground. Geht mit gutem Beispiel voran und überlegt immer: Hilft uns das wirklich weiter, was ich gerade vorhabe...

20.) Gibt es noch ungeklärte Dinge?
Ja, sicherlich - es wird immer bezüglich mancher Punkte oder Personen Zweifel geben. Das Vertrauen muss hier erst wieder neu aufgebaut werden und es liegt an allen, dazu beizutragen, dass dies möglich wird. Wir danken hier gleich allen Resistance-Spielern, die bei der Faktensamlung bzw. Beweisoffenlegung mitgeholfen haben - das hilft uns Enlightened auch an den guten Kern zu glauben, den es zweifelsohne noch gibt!

21.) Wie soll ich mich verhalten, wenn ich illegale oder regelwidrige Vorgänge bemerke?
Egal wer und egal welche Farbe: Melden! Entweder hier mit einem Thread oder wendet euch an einen Spieler eures Vertrauens, der dies für euch übernimmt. Auch die eigene Fraktion darf nicht milder behandelt werden. Hier heißt es klar: Mit gutem Beispiel vorangehen! Wir haben keinen Platz für solche Spieler und diese werden auch nicht glücklich bei uns werden sondern uns allen den Spielspass verderben. Ehrlich zu verlieren ist immer besser und angesehener als unehrlich zu gewinnen - UND WIR KÖNNEN ES AUCH EHRLICH SCHAFFEN!!!

22.) Wie wird es mit autgress.at weitergehen - was passiert gerade?
Resistance Steiermark hat sich von Autgress verabschiedet, OÖ wird dies laut Aussagen der Agenten auch noch tun. Einige Wiener Spieler haben eine eigene G+ Community gegründet. Über andere Bundesländer liegen uns keine Informationen vor. Was wirklich mit Autgress nun passiert, werden die Agenten entscheiden, die dort aktiv sind. Wichtig für uns ist, dass wir den Kontakt zu allen nun entstehenden Splittergruppen herstellen können, damit der Kontakt nicht abreißt.

23.) Hat die Enlightened Austria Community bzw. das enlightened.at Forum einen Schaden davon getragen?
Ja, haben wir. Einige Spieler haben ihren Account bei uns löschen lassen, weil sie entweder durch die ganze Geschichte stark verunsichert wurden oder sich aus dem Spiel zurückgezogen haben. Es wurde jeder Spieler mit dem Wunsch nach Löschen seines Accounts nach dem Grund gefragt und es war kein einziges Mal zu lesen, dass wir mangelndes Vertrauen in die Community oder die Mods/Admins des enlightened.at Forums der Grund waren. Leider haben viele Spieler einfach den Spass am Spiel verloren. Ihrem Wunsch wurde natürlich entsprochen, wir bedauern aber diese Spieler verloren zu haben und hoffen, dass wir sie nach einer Pause vielleicht doch wieder in Ingress antreffen werden. Wir sehen uns im Veld!

Freiwillige Stellungnahmen zu den Vorkommnissen von Seite der RES. Danke dafür an dieser Stelle für eure Offenheit und Mitarbeit.
Debreziner: https://docs.google.com/document/d/107bI5FZ5cQk5viRpMPinYLeC-sdv4Y3x2p3mMljiUcc/edit
Gewaldro: https://docs.google.com/document/d/1EGD5fWArzjRn4SxUqh0b6IQBPe1FlyfN1shcgemnl0c/edit

Weitere Stellungnahmen der "höheren" Spieler
Dr.Wummi: https://autgress.at/viewtopic.php?p=26145&f=3#p26145
SwitchPhase: https://autgress.at/viewtopic.php?p=26059&f=3#p26059
d4rky: https://autgress.at/viewtopic.php?p=26434&f=3#p26434
zorni: viewtopic.php?p=6146&f=21#p6146

Aktuelle Fortschritte:

Es wird derzeit eine Diskussion über eine Art Charta unserer Community geführt, ein Ehrencodex für unsere Mitglieder.

Die ersten Maßnahmen der Erhöhung unserer Sicherheit haben schon Wirkung gezeigt. Es ist ein Passwortreset durchgeführt worden für ALLE USER hier und eine Alterung. D.h., dass in regelmäßigen Abständen das Passwort hier geändert werden MUSS. Weiters wurden alle Serverzugänge geändert und alle Kennwörter im Backend neu vergeben, was zum Glück ohne Ausfall möglich zu machen war. Die Umstellung auf https wurde heute testweise kurz aufgeschalten, was aber noch zu Serverproblemen führte und weiter ausgearbeitet werden muss. Auch angedacht ist eine andere Art der Authentifizierung hier. Die Fortschritte werden hier immer hinzugepostet.

>>> Diskussion zum Thema HIER. <<<
Benutzeravatar
snuffi
Level 9
 
Beiträge: 620

Bundesland: Wien

Zurück zu Forumsinformation



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast