phpbb - Mitgliederdaten ausspioniert

[MaWeSol]

heute erreichte mich folgende eMail:

Hallo zusammen,

heute haben wir leider weniger erfreuliche Nachrichten für euch. Gestern wurde ein gezielter Angriff auf phpBB.de gefahren. Wir müssen derzeit davon ausgehen, dass durch diesen Angriff die Benutzerdaten (Benutzername, E-Mail-Adresse und MD5-Hash des Passworts) der auf phpBB.de registrierten Benutzer offengelegt wurden. In wie weit diese Daten missbräuchlich verwendet wurden/werden, ist uns derzeit nicht bekannt - allerdings kann nicht ausgeschlossen werden, dass diese Daten verkauft werden.

Ihr solltet daher davon ausgehen, dass eure oben genannten Daten öffentlich sind und insbesondere das Passwort ändern. Denkt bitte auch an die Stellen, wo ihr das gleiche Passwort verwendet und insbesondere den betroffenen E-Mail-Account. Durch einen Brute-Force-Angriff ist es möglich, dass euer Passwort entschlüsselt wird / wurde.

Weitere Informationen: http://...

Wir möchten uns bei euch für die entstandenen und entstehenden Umstände vielmals entschuldigen. Ihr könnt euch sicher sein, dass uns diese Situation extrem peinlich ist. Weitere Informationen werden wir ggf. unter oben genannter Adresse veröffentlichen.

Viele Grüße,

euer phpBB.de-Team

Leider keine Fake-Mail oder so. Im Forum selber wird auch angeregt darüber diskutiert. Viele User lassen jetzt ihre Accounts löschen weil sie der Auffassung sind, die Admins können was dafür.

Jetzt kenne ich mich mit Datenbanken & Co. nicht so dolle aus, aber gehört da nicht schon eine extreme kriminelle Energie dazu, sich Zugang zu Datenbanken zu verschaffen?

Gruß,
Matthias

[fuchzga]

Hi Matthias,
wäre mal zu klären, was "MD5-Hash des Passworts" bedeutet?
Was kann man mit einem Hash anfangen?
Erst daraus kann man erahnen, welche Folgen es für die Mitglieder von phpBB.de hat.
Der Hacker hat nun eine Liste von Mail-Adressen und Hashes, welche er mit einer "Brute-Force" Methode entschlüsseln muss, um an Passwörter zu gelangen.
Ist ihm der Aufwand wert? Keiner weiss es...
Andere Frage: Will er die Mail-Adressen wirklich verkaufen? Glaub ich nicht, da müssen es schon mehrere Millionen Adressen sein, um damit mehr als 10 Euro zu verdienen. IMHO sind aktuell ca. 60.000 User bei phpBB.de gemeldet.

Interessant dazu auch die Folgebemerkung im Thread bei phpBB.de:

Kleine Ergänzung: es handelt sich um kein Problem von phpBB selbst sondern um ein Zusammenspiel von verschiedenen Faktoren.

Man sollte es dem Admin positiv ankreiden, dass er seine User öffentlich warnt. Schwach finde ich allerdings, dass die Aussagen etwas schwammig sind. Welche Faktoren waren denn da im Zusammenspiel?

Grüsse, Karsten

[phpBuddy]

Hallo Karsten,

naja, ganz so verharmlosen kann man das Problem nicht.

Erst daraus kann man erahnen, welche Folgen es für die Mitglieder von phpBB.de hat.
Der Hacker hat nun eine Liste von Mail-Adressen und Hashes, welche er mit einer "Brute-Force" Methode entschlüsseln muss, um an Passwörter zu gelangen.

Nein! Es gibt riesengroße, sogenannte Rainbow Tables, mit denen man binnen Sekunden schwache Passwörter auslesen kann. Bei der Anzahl von 60.000 User würde ich mal schätzen, daß mindestens 25%, wenn nicht mehr, ein unsicheres Passwort benutzen. Unsicher bedeutet hier schon, jedes Wort das irgendwo in einem Wörterbuch steht und das nur aus Buchstaben besteht. Auch PWs bestehend aus Name+Geburtstage sind innerhalb weniger Sekunden zu knacken.
Das Problem ist einfach, daß User nicht wissen wie Angreifer vorgehen und wie einfach es ist, und deswegen so schwache Passwörter benutzen.

Ist ihm der Aufwand wert? Keiner weiss es...

Garantiert, denn sonst greift keiner gezielt nur eine Memberdatenbank an.

Andere Frage: Will er die Mail-Adressen wirklich verkaufen? Glaub ich nicht, da müssen es schon mehrere Millionen Adressen sein, um damit mehr als 10 Euro zu verdienen. IMHO sind aktuell ca. 60.000 User bei phpBB.de gemeldet.

60.000 sind schon eine Hausnummer. Reich werden die Angreifer sicher nicht, aber schaden können sie trotzdem anrichten. Auch dazu muß man wieder wissen wie Angreifer vorgehen.

Die allermeisten User im Internet benutzen in allen möglichen Foren, eBay, Amazon, Online Kaufhäuser immer die gleichen Benutzername und Passwörter. Das machen sie, weil sie sich so nur einmal Zugangsdaten merken müssen - also reine Bequemlichkeit.
Hat jetzt ein Hacker den MD5 eines Passwort in einer Rainbow Table umgewandelt, muß er nichts weiter machen als mit Google den Benutzername des geknackten PWs zu suchen (Beispiel: fuchzga). Schwupps, schon spuckt Google etliche Treffer aus und mit etwas Glück auch einen User mit dem selben Namen bei einem Online Kaufhaus. Jetzt benutzt der Hacker den Benutername und das geknackte Passwort um sich dort einzuloggen und zack, schon hat er Zugriff auf die persönlichen Einstellungen des Opfers. Adresse, Bankverbindung, Kreditkarten Info, usw. stehen ihm frei zur Verfügung.
Der gearschte ist der User, wenn sein Konto leer geräumt wurde, weil er nie und nimmer nachweisen kann das es ein Angriff auf ihn war, weil der Angreifer sich ja ganz normal eingeloggt hat.

[Tropical]

Hi Matthias,
wäre mal zu klären, was "MD5-Hash des Passworts" bedeutet?
Was kann man mit einem Hash anfangen?
Erst daraus kann man erahnen, welche Folgen es für die Mitglieder von phpBB.de hat.
Der Hacker hat nun eine Liste von Mail-Adressen und Hashes, welche er mit einer "Brute-Force" Methode entschlüsseln muss, um an Passwörter zu gelangen.
Ist ihm der Aufwand wert? Keiner weiss es...

Es gibt Rainbow Tables, die erstellt man einmal und kann dann jedes mal einfach Klartext <-> Hash vergleichen. Im Internet gibts ne ganze Menge davon.

Und zum Testen kannst ja mal einen MD5-Hash von einem kurzen Passwort auf www.md5cracker.de probieren...

[Greenhorn23]

http://www.heise.de/newsticker/meldu...993/from/rss09
woltlab soll auch dabei sein und die daten (im augenblick 125.000 datensätze) werden zum verkauf angeboten

die verschiedenen faktoren waren lt. dem screenshot bei heise wohl: social engeneering

[MaWeSol]

Ob das jetzt ein Trost ist, ich weiß es nicht...

Naja, ich glaube mal das mein 12-Stelliges Kennwort aus Zahlen und Buchstaben nicht sooo schnell zu knacken ist (das hoffe ich zumindest, auch wenn ich es glaube nur bei phpbb.de verwendet habe...)

Gruß,
Matthias

[Greenhorn23]

solange es nicht zu einer kollision deines passwortes kommt

[MaWeSol]

solange es nicht zu einer kollision deines passwortes kommt

Kollision? Also Zufallstreffer oder was meinst du damit?

[2-Signs]

und nu is SMF auch mit dabei....
http://www.smfportal.de/index.php/topic,2832.0.html

[fuchzga]

Interessant finde ich die Meldung im Woltlab-Forum, siehe hier.

Soweit wir das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.

So wie ich das sehe, war da kein Hacker am Werk, sondern der Typ hat einfach einem Admin über die "Schulter" geschaut. Evtl. Keylogger, oder Packetsniffer ... Alles was nicht SSL-getunnelt ist, kann man mit einfachen Mitteln mitschnüffeln.

Und zum Testen kannst ja mal einen MD5-Hash von einem kurzen Passwort auf www.md5cracker.de probieren

Huch, der Cracker ist echt gut. Allerdings nur bei reinen Wortkombinationen. Hab mal "Admin100" probiert... haben alle Tools versagt.
Hätte mich auch gewundert, brute force dauert schon etwas länger.

...muß er nichts weiter machen als mit Google den Benutzername des geknackten PWs zu suchen (Beispiel: fuchzga). Schwupps, schon spuckt Google etliche Treffer aus...

Schlechtes Beispiel.
Den fuchzga hab ich mir exklusiv für TP ausgedacht.
Mist, den Rizzo gibt's aber auch zu oft.

Ich gebe dir aber Recht, dass so ein Angriff mit Dictionaries für einfache Passwörter kein Problem darstellt. Ich kenne phpBB nicht - ich hatte mal gelesen, dass dort MD5 in Verbindung mit Salt verwendet wird?
Demnach also doch nicht? Dann weiss ich ja, welche Forensoftware ich nicht für mein neues Projekt nutze!

Irgendwie hatte die Aktion auch was gutes: Mindestens 60.000 Forenbesucher denken jetzt über ihre Zugangsdaten nach und sind in Zukunft sensibilisiert.

Grüsse, Karsten

[Boris]

Ein Grund mehr, sich ein "sicheres" Passwort auszudenken. Sowas wie z.B. F3dvk.D2e-d3 ist mit Brute Force nicht wirklich knackbar.

Ich hab schon die blödesten Passwörter bei Kunden gesehen ... den Nachnamen zum Beispiel. Oder einfach nur "Huhn". Da ist es kein Wunder ...

[phpBuddy]

...wie z.B. F3dvk.D2e-d3

Hey, woher kennst Du mein TP Passwort???

[Boris]

*Böser-CSS-Hacker* ... mit CSS kann man alles, auch TP Passwörter knacken.

[Greenhorn23]

Kollision? Also Zufallstreffer oder was meinst du damit?

ja sowas in der art.
wenn der hash eines anderen passwortes mit deinem übereinstimmt, kommt selten vor, aber es werden auch leute vom blitz getroffen bzw. gewinnen im lotto

[phpBuddy]

Mist, den Rizzo gibt's aber auch zu oft.

Rizzo ist eigentlich nur die Kurzform von Rizzo the Rat. Das ist die kleine schusselige Ratte in der Muppets Show. Angesichts dessen das die Muppets Show wohl weltweit die bekannteste Kindersendung ist verwundert es nicht das Rizzo häufig im Inet anzutreffen ist.