Outdoorseiten.net wurde gehackt - Macht eure Accounts sicher!

[Dennis 1.227]

Liebe ULT-User,

diesmal teile ich mit euch eine unerfreuliche Nachricht, die mich soeben per E-Mail erreicht hat. Das Outdoorseiten.net Forum wurde gehackt und die Nutzerdaten samt Passwort-Hashs wurden freigelegt. Hier die E-Mail:

Zitat

Liebe Nutzer,

leider haben wir soeben erfahren, dass unsere Forendatenbank gehackt wurde. Wir
wissen sicher, dass eure Nutzernamen und E-Mail Adressen veröffentlicht wurden.
Eure Passwörter sind zwar nicht direkt, sondern verschlüsselt (gehasht),
veröffentlicht worden, aber aufgrund des Alters des Forums und damit der
Verschlüsselungsmethode ist es möglich diese Verschlüsselung zu brechen. Ob
weitere Daten (Beiträge, Private Nachrichten, Profilinformationen, etc.)
veröffentlicht wurden, können wir nicht ausschließen.

Wir empfehlen euch dringend auf allen Webseiten, wo ihr das selbe Passwort
benutzt habt, das Passwort zu ändern!

Da wir die Sicherheit der Daten des Forums so nicht mehr sicherstellen können,
müssen wir das Forum bis zum Upgrade auf die neue Forenversion abschalten.

Für Rückfragen stehen wir euch unter verein@outdoorseiten.net zur Verfügung.

Wir bedauern den euch dadurch entstehenden Aufwand und hoffen euch sobald wie
möglich auf der neuen, sichereren Version von outdoorseiten.net begrüßen zu
können! 

outdoorseiten.net

Bitte überprüft sorgfältig, ob eure Daten ebenfalls betroffen sind, falls ihr im ODS-Forum aktiv seid oder wart. Ändert zur Sicherheit auch hier euer Passwort und meldet euch ggf. zur 2-Faktor-Authorisierung hier im Forum an. Damit sollten eure Account relativ sicher vor externem Zugriff sein.

Ich wünsche euch noch einen schönen Abend!

[FlowerHiker 308]

Sind nicht alle User betroffen? Ich habe dazu keine Info-Mail erhalten. 

[skullmonkey 1.459]

vor 19 Minuten schrieb FlowerHiker:

Ich habe dazu keine Info-Mail erhalten. 

ALLE User auf ODS sind betroffen. Emails von denen gehen den ganzen Tag über raus, bis heute Abend.

Ich habe gerade bei denen nachgefragt ob man jetzt schon dort sein Passwort ändern soll, oder bis nach dem Update warten soll. Wenn ich dazu was höre poste ich es auch hier.

 

 

Kleiner Tip: Auf https://passwords.google.com/ könnt Ihr überprüfen ob ein Passwort kompromittiert wurde.

Auf https://haveibeenpwned.com könnt Ihr Eure Email Accounts überprüfen, ob die jemals in einem Databreach kompromittiert worden sind.

Falls etwas unklar ist, lest Euch die verlinkten Webseite kurz durch =) 

[Matzo 433]

vor 2 Stunden schrieb Dennis:

meldet euch ggf. zur 2-Faktor-Authorisierung hier im Forum an

ist damit die „Google Authenticator-App“ gemeint?

[Dennis 1.227]

 

Gerade eben schrieb Matzo:

damit die „Google Authenticator-App“ gemeint?

Ja genau

[Matzo 433]

Gerade eben schrieb Dennis:

Ja genau

Alles klar. Danke für die Infos und den Service.

[derray 923]

vor 2 Stunden schrieb FlowerHiker:

Sind nicht alle User betroffen? Ich habe dazu keine Info-Mail erhalten. 

Es sind leider alle User betroffen. Unser Webhost hat das versenden der Mails gestoppt, weil bei denen Massenmails verboten sind. Wir sind dabei das über andere Wege weiter zu führen und haben über Ankündigungen direkt im Forum die Lage erklärt.

mfg
der Ray

Bearbeitet 19. November 2020 von derray

[skullmonkey 1.459]

Ihr braucht im Moment NICHT Euer ODS Passwort ändern. Gerade diese Email bekommen:

Das reicht, wenn du das zeitnah machst wenn das neue Forum online ist, vermutlich musst du 
dann ein neues passwort vergeben. ;-)

Wenn Ihr bei ODS und hier im ultraleicht-trekking.com Forum das gleiche Passwort verwendet, ändert HIER Euer Passwort, wie von Dennis weiter oben vorgeschlagen.

[Dennis 1.227]

vor 1 Stunde schrieb derray:

Es sind leider alle User betroffen. Unser Webhost hat das versenden der Mails gestoppt, weil bei denen Massenmails verboten sind. Wir sind dabei das über andere Wege weiter zu führen und haben über Ankündigungen direkt im Forum die Lage erklärt.

mfg
der Ray

Ich drücke euch die Daumen, dass ihr schnell wieder online seid und eine für euch gängige Lösung zum Passwort-Problem findet. Das zählt zu den Sachen, die man echt nicht braucht.

[derray 923]

vor 14 Minuten schrieb skullmonkey:

Ihr braucht im Moment NICHT Euer ODS Passwort ändern.

ods ist vorerst down. Passwort ändern geht also gar nicht. 

vor 4 Minuten schrieb Dennis:

Ich drücke euch die Daumen, dass ihr schnell wieder online seid und eine für euch gängige Lösung zum Passwort-Problem findet.

Danke! Die Lösung ist das ohnehin lange erwartete neue Forum mit einer neuen Forumssoftware früher zu launchen. Beim Start werden die Passwörter aller User zurückgesetzt und man muss sich selbst ein neues vergeben.

vor 17 Minuten schrieb skullmonkey:

Wenn Ihr bei ODS und hier im ultraleicht-trekking.com Forum das gleiche Passwort verwendet, ändert HIER Euer Passwort

Das gilt für alle Seiten auf denen ihr die gleiche eMail-Passwort-Kombination verwendet. Auch wenn es ziemlich unwahrscheinlich ist, dass die Hacker tatsächlich die Passwortverschlüsselung knacken können. Verwendet grundsätzlich bei allen Konten eigene Passwörter.

mfg
der Ray

[hans im glueck 844]

ergänzung: technik ist zwar auch so eine sache, von der ich keine ahnung habe. ich würde es aber für sinnvoll halten, pn/chatverläufe vorsorglich und grundsätzlich zu löschen, d.h. besonders alle persönlichen daten, die man da so austauscht, z.b. wenn man was kauft/verkauft.

könnte man hin und wieder und jetzt mal drüber nachdenken. obs was bringt, keine ahnung. ich hoffe, dass es phishen zumindest erschwert.

@Dennispn verschwinden hier wohl nach einer zeitspanne aus dem account - sind sie dann auch wirklich weg?

Bearbeitet 20. November 2020 von hans im glueck

[gerritoliver 145]

Kann bitte jemand der osn Menschen etwas zum verwendeten Hash Algorithmus sagen? Wenn das nur md5 war sollte man das auch entsprechend offenlegen dass diese auf gar keinen Fall sicher sind.

[Dennis 1.227]

vor 2 Stunden schrieb hans im glueck:

@Dennispn verschwinden hier wohl nach einer zeitspanne aus dem account - sind sie dann auch wirklich weg?

PNs verschwinden eigentlich nicht automatisch. Die müssen schon manuell gelöscht werden. Ich kann jedenfalls 8 Jahre zurück gehen. Aber deine Vermutung ist schon richtig. Gerade wenn man da Kontodaten oder so teilt, dann sollte man diese PNs vielleicht lieber löschen. Keine Plattform im Internet ist 100% sicher.

[questor 2.150]

Ist ODS Teil des Cit0day breach? Der Alarm über HIBP kam mehr oder minder zeitgleich mit der Meldung von Dennis hier...
https://www.troyhunt.com/inside-the-cit0day-breach-collection/

[derray 923]

vor einer Stunde schrieb gerritoliver:

Kann bitte jemand der osn Menschen etwas zum verwendeten Hash Algorithmus sagen?

osn? openstreetnap??? 

Ist tatsächlich md5 mit salt.

vor 10 Minuten schrieb questor:

Ist ODS Teil des Cit0day breach?

Jup!

mfg
der Ray

[Jens 147]

@Dennis Danke für den schnellen Tipp! 

[BorisG 158]

vor 4 Stunden schrieb derray:

Ist tatsächlich md5 mit salt.

md5 gilt aber auch erst seit ca 2005 als unsicher  

[derray 923]

vor 8 Minuten schrieb BorisG:

md5 gilt aber auch erst seit ca 2005 als unsicher  

Mit Salt gilt md5 aber bis heute als sicher (zumindest laut DSGVO-Vorgaben).

mfg
der Ray

[zopiclon 171]

Ist doch total egal ob sicher oder nicht. 

Das ist nur ein forum, da sieht man der Gefahr nicht ins Auge, weil jemand ein paar log in daten gestohlen hat. 

Was soll man da schon klauen? Einen Text oder Bild, das war wohl eh öffentlich. PN werden wohl niemanden diskreditieren. Und wenn jemand unter fremden Namen schreibt wird es auch niemanden groß schaden, Buchstaben sind keine Waffe. 

Bleibt entspannt

[BorisG 158]

vor 1 Minute schrieb derray:

Mit Salt gilt md5 aber bis heute als sicher (zumindest laut DSGVO-Vorgaben).

Darüber könnte man diskutieren. Das große Problem mit md5 (mit oder ohne Salt) als Algorithmus für Passwörter besteht in der Geschwindigkeit. md5 ist super schnell und man kann extrem viele Möglichkeiten in relativ kurzer Zeit durchprobieren. Mittlerweile gibt es andere Algorithmen (bcrypt oder argon), die um einiges langsamer sind, sprich man braucht sehr viel mehr Resourcen um sie zu knacken.

[derray 923]

vor 9 Minuten schrieb zopiclon:

Was soll man da schon klauen?

Es geht wohl hauptsächlich um eMail-Adressen für Spammer. 

mfg
der Ray

[BorisG 158]

vor 18 Minuten schrieb zopiclon:

Was soll man da schon klauen?

 

vor 6 Minuten schrieb derray:

Es geht wohl hauptsächlich um eMail-Adressen für Spammer. 

Auch, aber nicht nur. Viele Leute benutzen immer noch keine Passwort Manager und verwenden deshalb die gleichen paar Passwörter immer wieder. Mit einem geknackten Passwort und der dazugehörigen Email Adresse kann man dann versuchen sich auf anderen, "wertvolleren" Seiten einzuloggen.

[derray 923]

vor 11 Minuten schrieb BorisG:

Mit einem geknackten Passwort und der dazugehörigen Email Adresse kann man dann versuchen sich auf anderen, "wertvolleren" Seiten einzuloggen.

Richtig. Aber wer mit wertvollen Daten hantiert, sollte es besser wissen.

mfg
der Ray

Bearbeitet 20. November 2020 von derray

[BorisG 158]

vor 1 Minute schrieb derray:

wer mit wertvollen Daten hantiert, weiß es eigentlich besser.

Berühmte letzte Worte  

[zopiclon 171]

vor 1 Stunde schrieb derray:

Es geht wohl hauptsächlich um eMail-Adressen für Spammer.

seit wann ist das denn ein Problem? Die Spammer gibts auch ohne Hack, das kann man legal kaufen

 

vor 1 Stunde schrieb BorisG:

Mit einem geknackten Passwort und der dazugehörigen Email Adresse kann man dann versuchen sich auf anderen, "wertvolleren" Seiten einzuloggen.

Super, dann wird wieder was gelernt. Ist doch was feines.

 

 

Gruss