Cracked E-Mail Accounts

G

gandalf94305

Guest
Es gab im letzten Jahr eine Aktion von Lulzsec, bei der ca. 62.000 E-Mail-Adressen und dazugehörige Passworte veröffentlicht wurden. Diese Accounts bestehen zum Teil noch und haben auch noch die gleichen Passworte. Leider wurden die Account-Inhaber damals nicht über die Publikation informiert, so daß es nun Hijacker gibt, die diese erfolgreich ausnutzen.

Wir haben im Forum dererlei 84 User gefunden. Diese Accounts wurden vorsichtshalber gesperrt. Sollte dies jemanden treffen, der auch heute noch das Forum besucht, bitten wir um Mitteilung per Kontaktformular oder einfach eine neue Registrierung mit einer anderen, sicheren E-Mail-Adresse.

Sorry für die Unannehmlichkeiten.

--gandalf.
 
Also kann man davon ausgehen, wenn der Useraccount nicht gesperrt wurde, sind die eigenen Daten nicht betroffen ?

Gruß
Sandra
 
Genau. Zumindest nicht betroffen von der beschriebenen Lulzsec-Liste von Accounts, die publiziert wurde ;-)

--gandalf.
 
Welcher Account wäre denn betroffen, der zur Anmeldung benutzte (falls er denn noch gepeichert ist) oder der aktuelle?
 
Das ist auf jeden Fall die richtige Reaktion Eurerseits ;-)
 
Moin gandalf,
sind die Sperren erst seit jetzt/heut in Kraft?
Am Sonntag bekam ich schon beim Login den Hinweis, daß mein account gesperrt war oder lag das an euren Hintergrundarbeiten.
Entsperren konnte ich ihn zumindest wieder nach Anforderung eines neuen PW.
 
Letzteres lag an den Arbeiten im Hintergrund.
 
@andilao: diese Frage verstehe ich nicht. Es sind E-Mail-Adressen betroffen. Wenn diese bei einem Account im Forum hinterlegt sind, dann ist natürlich ggf. auch dieser Account betroffen, da erfahrungsgemäß User immer die gleichen Passworte verwenden ;-) Registrierst Du Dich neu mit einer anderen E-Mail-Adresse, die nicht geknackt wurde, dann besteht natürlich zunächst mal kein Problem.

@colonia27: Am Sonntag wurde das Caching in Betrieb genommen, d.h. für eine gewisse Zeit um 12:00 Uhr herum gab es Probleme mit den Logins. Wenn jetzt alles funktioniert, dann bist Du vom genannten Cracking nicht betroffen.

--gandalf.
 
ok, Gandalf, jetzt mal für ältere Zauberer:
Meine Frage zielte direkt auf das "ggf.". Ich musste mich mit einem Nicht-Freemail-Account anmelden, danach konnte ich meinen Standard-Freemail-Wegwerf-Account für Foren einrichten. Eigentliche Frage: Sind die Daten meines ursprünglichen Anmelde-Accounts noch gespeichert? Zusätzliche Frage: Wie sicher sind denn unsere Account-Daten hier? Und nein, ich benutze nicht dieselben Kennworte für Email- und Foren-Accounts.
 
Zuletzt bearbeitet von einem Moderator:
Alte Daten sind ggfl. noch in alten Backupsätzen vorhanden, in der aktuellen Forendatenbank jedoch nicht mehr. 6 Jahre alte Daten sind aber mit Sicherheit auch in keinem Backupsatz mehr drin... In der aktuellen User-DB wird immer nur die aktuelle Mailadresse und das aktuelle Passwort gespeichert.
Insofern kennt hier keiner Deine alten Daten bzw kann diese auch nicht einsehen. Passwörter können wir eh nicht einsehen, die stehen nicht im Klartext in den DBs.

BtW: Deine aktuell genutzte Mailadresse / Dein Mailprovider ist kein Problem im Bezug auf Wegwerfadressen, dieser Provider war auch noch nie bei uns auf der Blacklist, den nutzen hier verdammt viele. Also scheint Dein Anmeldeproblem vor knapp 6 Jahren ein anders gewesen sein als der Mailprovider ;)

Zur Sicherheit: 100% sicher ist nichts, Daten verkauft/weitergegeben werden mit Sicherheit keine, und uns ist auch kein Fall bekannt, indem unsere Userdatenbanken entwendet wurden.
Nur einmal gab es einen Fall, bei dem über eine Lücke im Ad-Server ein Link auf Schadsoftware den Anzeigenframes unseres Systems untergejubelt wurde. Das kannst Du aber in alten Threads selbst nachlesen. ;)
 
Danke für die ausführliche Auskunft! Damals war meine mir inzwischen entfallene Mail-Domain nicht gut genug, was aber nicht wirklich wichtig war, da es genug Ausweichmöglichkeiten gab und gibt.

Interessieren würde mich die Verschlüsselung der Passworte, z.B als MD5 salted hash oder besser?
 
$hash=MD5(MD5($password)+$salt) scheint ja wohl bei vb der Standard zu sein und offensichtlich ist es dann leichter, einen password harvester zu injizieren als die Datenbank per brute force zu knacken, falls man je an sie herankommt.
 
Genau und da sich der Wert $SALT bei jeder Passwortgenerierung des einzelnen Users für diesen alleine ändert nützt es auch nichts, sich die User-DB zu "leihen", und dann Passworttabellen und deren MD5-Hashes anzulegen. Hier hilft nur brute-force und viel Rechenpower.
In meinen Augen ein sinnloses Unterfangen
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.