Ursprungsthread: http://www.linuxforen.de/forums/show...inuxforen-Leak
Allg. Diskussion eröffnet - wo konnte der Leak herstammen, mögliche technische Hintergründe, wie vertrauenswürdig ist die Quelle, Datenlage, allg. Umgang mit Leaks, Maßnahmen dagegen, Pflichten von Anbietern und "der Community", ...
Was euch halt so einfällt dazu :-)
(... und wegen mir auch Aliens)
Ich bin root - ich darf das.
Naja aktuell hochgenommen hatte man ja das KiPo-Netzwerk. Wäre ja dann auch doof, wenn hier hinten rum durch unsere Accounts KiPo's geschleust hätten werden können. Das verleiht dem ganzen mehr brisanz. !Spekulation!Zitat von marce
Wie sehr sind denn Verlinkungen zu Details, Exploits, Proof of Concepts usw (un)erwünscht?mögliche technische Hintergründe
1 + 1 zusammen gezählt... was forumrunner kann passiern, kann tapatalk ebenfalls blamieren?
Da bereits ettliche User und auch Schläfer das bestätigt haben, das HPI eigentlich auch nie unseriös aufgefallen ist und man dem BKA grundsätzlich doch trauen kann... Ich finde dass das Leck bestätigt ist.wie vertrauenswürdig ist die Quelle, Datenlage
Zumindest offen kommunizieren sonst ist das eben ursachenspezifisch., allg. Umgang mit Leaks, Maßnahmen dagegen,
User unverzüglich informieren, Passwörter ändern, BKA + HPI kontaktieren, SSL aktivieren, BugBounty Programm gründen...
Auch bei nem "Hobby-Forum" möchte man sicher sein. Daher würde ich die gleichen Pflichten ähnlich wie bei einem Unternehmen sehen. Mindestens die Information und bei zu hohem Risiko die Seite vom Netz nehmen wäre sofort nötig. Der Rest klar abhängig von der "Frezeit", aber es sollte/muss sich gekümmert werden. Es steht dem Betreiber ja auch frei den ein oder anderen Mod / User als Co-Admin(s) auf dauer oder temp. ins Boot zu holen.Pflichten von Anbietern und "der Community",
[emoji89] [emoji89] [emoji89]Was euch halt so einfällt dazu :-)
(... und wegen mir auch Aliens)
Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?
Man kann von den Mützen halten was man will... Aber wenn BKA+HPI etc. so in einem Artikel stehen, dann sollte man das ernster nehmen als die Ansage von Aliens ala "wir kommen in Frieden!". Leaks hab ich schon genug gesehen/erlebt. Aber noch nie ein dreiäugiges grünes Alien mit Dumbo-Ohren und Schwänzchens...
Deshalb grummel ich auch so mit Eike's Ansagen.
Mein Lieblingsbefehl: dd if=/dev/null of=/dev/bock bs=666
![Avatar von [MORD]Locutus](image.php?s=5271f9808dc178c37495bb47a5afcf50&u=16091&dateline=1061498295 "Avatar von [MORD]Locutus")
![[MORD]Locutus eine Nachricht über ICQ schicken](images/misc/im_icq.gif)
Hat vielleicht jemand eine Idee wie wir an die Datenbank kommen könnten?
Kennt jemand entsprechende TOR-Seiten oder Foren in denen solche Datenbanken auftauchen?
Ich würde mal ganz salopp sagen: Wenn das BKA an so eine Kopie kommen kann, dann sollten wir das doch irgendwie auch können.
Mit einer Kopie könnten wir besser analysieren wie es zu dem Datenabfluss gekommen ist.
Was ich seltsam finde ist, dass viele Schläfer aber auch aktive Accounts betroffen sind, Eike selbst aber anscheinend nicht.
Vielleicht ist nur die User-Tabelle abgeflossen, vBulletin speichert den/die Admin-Accounts aber in einer anderen Tabelle (ist aber nur Spekulation - kenne die Datenbank-Struktur von vBulletin nicht).
Ich weiß nicht ob es unbedingt so viel bringt die Logs zu prüfen, denn zum einen wissen wir nicht WANN die Daten abgeflossen sind und zweitens kann man eine Datenbank auch exportieren ohne dass davon was in den Logs steht.
Wenn man z.b. shell zugriff hat, kann man je nach dem welche Rechte man erlangt hat, die Logs auch säubern.
EDIT: Ich hab mal etwas gesucht: Es gibt zahlreiche Exploits für vBulletin. inkl. SQL Injection über Tapatalk und Remote Code Injection über die 'visitormessage.php'. Betrifft die hier eingesetzte vBulletin Version.
Geändert von [MORD]Locutus (11.07.17 um 10:45 Uhr)
Ich denke die würde es nicht umsonst geben.
Die hätten die Plattform ja hochgenommen. Die Frage wäre ja dann ob es die Daten nur dort gab? Es war ja wohl eine Sammlung aus unterschiedlichen Hacks.Ich würde mal ganz salopp sagen: Wenn das BKA an so eine Kopie kommen kann, dann sollten wir das doch irgendwie auch können.
Was man öffentlich erfährt ist, dass dort lediglich E-Mail Adresse + Passwort auftaucht.Mit einer Kopie könnten wir besser analysieren wie es zu dem Datenabfluss gekommen ist.
Cortesponder wohl auch nicht. Theorie: die beiden nutzen exotische Mail Provider? Die "gefiltert" wurden?Was ich seltsam finde ist, dass viele Schläfer aber auch aktive Accounts betroffen sind, Eike selbst aber anscheinend nicht.
wenns ne sql injection war könnte die http anfrage hervorstechenIch weiß nicht ob es unbedingt so viel bringt die Logs zu prüfen,
das heißt wohl überstunden. Aber angeblich hat er die ja schon durch.denn zum einen wissen wir nicht WANN die Daten abgeflossen sind
ssh logins werden ebenfalls geloggt. Ja man kann die wieder manipulieren, wenn sie lokal liegen. Bei mir läuft grundsätzlich ne Login-Benachrichtigung per Mail im bashrc. Kann man machen :-)und zweitens kann man eine Datenbank auch exportieren ohne dass davon was in den Logs steht.
Wenn man z.b. shell zugriff hat, kann man je nach dem welche Rechte man erlangt hat, die Logs auch säubern.
Nein nicht Tapatalk [emoji33]EDIT: Ich hab mal etwas gesucht: Es gibt zahlreiche Exploits für vBulletin. inkl. SQL Injection über Tapatalk und Remote Code Injection über die 'visitormessage.php'. Betrifft die hier eingesetzte vBulletin Version.
Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?
Der Exploit nennt sich "Tapatalk for vBulletin 4.x - Unauthenticated Blind SQL Injection" ist von 2014 und ist in python gecoded.
CVE: CVE-2014-2023
Naja Tapatalk wird nun eh das Licht ausgeknippst [emoji24]
Die Mail vom HPI... im anderen Thread
Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?
Berechtigungen
Zitieren
Lesezeichen