Deutsches Support-Forum von phpBB und WoltLab gehackt !

[Briese]

Quelle:heise.de

Bei einem Angriff auf das deutsche Support-Forum für die beliebte Open-Source-Foren-Software phpBB ist es bislang Unbekannten offenbar gelungen, Benutzerdaten wie Username, E-Mail und den MD5-Hash des Passwortes auszuspähen. Einer Mitteilung der Forenbetreiber zufolge war keine Sicherheitslücke in phpBB Ursache des Einbruchs, sondern das Zusammenspiel verschiedener Faktoren – welche genau, bleibt indes offen. Möglicherweise wurde gezielt das Konto eines Administrators geknackt. Ein Strafantrag wurde bereits gestellt, daher sollen zunächst keine weiteren Informationen veröffentlicht werden.
Mit Hilfe von Brute-Force-Angriffen oder vorberechneten Rainbow-Tables ist es möglich, vom MD5-Hash auf das Klartext-Passwort zu schließen. Da Nutzer des Forums das gleiche Passwort unter Umständen auf verschiedenen Seiten benutzen, empfehlen die Betreiber von phpBB.de, diese dort so schnell wie möglich zu ändern.
[Update]
Der Angriff auf phpBB.de war offenbar kein Einzelfall, auch das Support-Forum von Woltlab ist wohl gehackt worden. Der Täter bietet die Daten auch bereits zum Verkauf, wie ein Screenshots eines Threads auf h4ckyou.org zeigt. Insgesamt bietet er mehr als 125.000 Datensätze an.

 

[Wachert]

Nicht gehackt...

Da hat einer einfach das PW eines Admins rausbekommen, woher auch immer.
Dummerweise hatte dieser in diversen Foren (mit ausreichenden Rechten) das gleiche PW gewählt.
Von gehackt kann NICHT die Rede sein

 

[Armadillo]

Wenn er es durch Bruteforcing rausbekommen hat, zählt das aber auch zu hacken. ;-)

 

[Wachert]

Die wahrscheinlichkeit ist mit Verlaub mehr als gering wenn man sich der Tatsache bewusst ist das bei beiden Supportforen durch den gleichen Accounbesitzer Zugang erlangt wurde und mit welchen Verschlüsselungsmethoden die Passwörter in den Foren gespeichert sind.

Zumal gab es ja indirekte/inoffizielle Bestätigungen für meine Aussage (WSF)

 

[Armadillo]

Und? Unsere beiden Aussagen sind doch durchaus miteinander vereinbar. Wenn er das Passwort überall benutzt hat, kann es ja durchaus sein, dass es in einem Forum durch Bruteforcing rausgekommen is, wogegen im Übrigen ja auch keine Verschlüsselungsmethoden helfen, wenn das Passwort schlicht und einfach zu einfach gewählt war.

 

[Wachert]

Wenn die vielen wenns nicht wären, sei es auf deine oder meine Aussage bezogen
Gehackt war auf jedenfall, auch und vor allem von heise, etwas unglücklich gewählt und meiner Meinung nach ganz im Stil von "ComputerBild" absolute Panikmache bei unerfahrenen Usern.

 

[Armadillo]

Naja dass heise in den letzten 2 Jahren immer mehr nachlässt ist ja bekannt, siehe hunderte von rechtschreibfehlern in den ganzen News die se verfassen. Dies idn ja auch nur noch bedacht darauf zu wachsen mit ihrer Community, siehe heise Auto etc...