Ursprungsthread: http://www.linuxforen.de/forums/showthread.php?280820-Linuxforen-Leak

Allg. Diskussion eröffnet - wo konnte der Leak herstammen, mögliche technische Hintergründe, wie vertrauenswürdig ist die Quelle, Datenlage, allg. Umgang mit Leaks, Maßnahmen dagegen, Pflichten von Anbietern und "der Community", ...

Was euch halt so einfällt dazu :-)

(... und wegen mir auch Aliens)

wo konnte der Leak herstammen

Naja aktuell hochgenommen hatte man ja das KiPo-Netzwerk. Wäre ja dann auch doof, wenn hier hinten rum durch unsere Accounts KiPo's geschleust hätten werden können. Das verleiht dem ganzen mehr brisanz. !Spekulation!



mögliche technische Hintergründe

Wie sehr sind denn Verlinkungen zu Details, Exploits, Proof of Concepts usw (un)erwünscht?

1 + 1 zusammen gezählt... was forumrunner kann passiern, kann tapatalk ebenfalls blamieren?



wie vertrauenswürdig ist die Quelle, Datenlage
Da bereits ettliche User und auch Schläfer das bestätigt haben, das HPI eigentlich auch nie unseriös aufgefallen ist und man dem BKA grundsätzlich doch trauen kann... Ich finde dass das Leck bestätigt ist.



, allg. Umgang mit Leaks, Maßnahmen dagegen,
Zumindest offen kommunizieren sonst ist das eben ursachenspezifisch.
User unverzüglich informieren, Passwörter ändern, BKA + HPI kontaktieren, SSL aktivieren, BugBounty Programm gründen...



Pflichten von Anbietern und "der Community",
Auch bei nem "Hobby-Forum" möchte man sicher sein. Daher würde ich die gleichen Pflichten ähnlich wie bei einem Unternehmen sehen. Mindestens die Information und bei zu hohem Risiko die Seite vom Netz nehmen wäre sofort nötig. Der Rest klar abhängig von der "Frezeit", aber es sollte/muss sich gekümmert werden. Es steht dem Betreiber ja auch frei den ein oder anderen Mod / User als Co-Admin(s) auf dauer oder temp. ins Boot zu holen.



Was euch halt so einfällt dazu :-)

(... und wegen mir auch Aliens)
[emoji89] [emoji89] [emoji89]

Man kann von den Mützen halten was man will... Aber wenn BKA+HPI etc. so in einem Artikel stehen, dann sollte man das ernster nehmen als die Ansage von Aliens ala "wir kommen in Frieden!". Leaks hab ich schon genug gesehen/erlebt. Aber noch nie ein dreiäugiges grünes Alien mit Dumbo-Ohren und Schwänzchens...

Deshalb grummel ich auch so mit Eike's Ansagen.

Hat vielleicht jemand eine Idee wie wir an die Datenbank kommen könnten?
Kennt jemand entsprechende TOR-Seiten oder Foren in denen solche Datenbanken auftauchen?
Ich würde mal ganz salopp sagen: Wenn das BKA an so eine Kopie kommen kann, dann sollten wir das doch irgendwie auch können.
Mit einer Kopie könnten wir besser analysieren wie es zu dem Datenabfluss gekommen ist.

Was ich seltsam finde ist, dass viele Schläfer aber auch aktive Accounts betroffen sind, Eike selbst aber anscheinend nicht.
Vielleicht ist nur die User-Tabelle abgeflossen, vBulletin speichert den/die Admin-Accounts aber in einer anderen Tabelle (ist aber nur Spekulation - kenne die Datenbank-Struktur von vBulletin nicht).

Ich weiß nicht ob es unbedingt so viel bringt die Logs zu prüfen, denn zum einen wissen wir nicht WANN die Daten abgeflossen sind und zweitens kann man eine Datenbank auch exportieren ohne dass davon was in den Logs steht.
Wenn man z.b. shell zugriff hat, kann man je nach dem welche Rechte man erlangt hat, die Logs auch säubern.

EDIT: Ich hab mal etwas gesucht: Es gibt zahlreiche Exploits für vBulletin. inkl. SQL Injection über Tapatalk und Remote Code Injection über die 'visitormessage.php'. Betrifft die hier eingesetzte vBulletin Version.

Locutus;1847284']Hat vielleicht jemand eine Idee wie wir an die Datenbank kommen könnten?

Ich denke die würde es nicht umsonst geben.



Ich würde mal ganz salopp sagen: Wenn das BKA an so eine Kopie kommen kann, dann sollten wir das doch irgendwie auch können. Die hätten die Plattform ja hochgenommen. Die Frage wäre ja dann ob es die Daten nur dort gab? Es war ja wohl eine Sammlung aus unterschiedlichen Hacks.



Mit einer Kopie könnten wir besser analysieren wie es zu dem Datenabfluss gekommen ist.
Was man öffentlich erfährt ist, dass dort lediglich E-Mail Adresse + Passwort auftaucht.



Was ich seltsam finde ist, dass viele Schläfer aber auch aktive Accounts betroffen sind, Eike selbst aber anscheinend nicht.
Cortesponder wohl auch nicht. Theorie: die beiden nutzen exotische Mail Provider? Die "gefiltert" wurden?



Ich weiß nicht ob es unbedingt so viel bringt die Logs zu prüfen, wenns ne sql injection war könnte die http anfrage hervorstechen



denn zum einen wissen wir nicht WANN die Daten abgeflossen sind das heißt wohl überstunden. Aber angeblich hat er die ja schon durch.



und zweitens kann man eine Datenbank auch exportieren ohne dass davon was in den Logs steht.
Wenn man z.b. shell zugriff hat, kann man je nach dem welche Rechte man erlangt hat, die Logs auch säubern. ssh logins werden ebenfalls geloggt. Ja man kann die wieder manipulieren, wenn sie lokal liegen. Bei mir läuft grundsätzlich ne Login-Benachrichtigung per Mail im bashrc. Kann man machen :-)



EDIT: Ich hab mal etwas gesucht: Es gibt zahlreiche Exploits für vBulletin. inkl. SQL Injection über Tapatalk und Remote Code Injection über die 'visitormessage.php'. Betrifft die hier eingesetzte vBulletin Version.
Nein nicht Tapatalk [emoji33]

Nein nicht Tapatalk [emoji33]

Der Exploit nennt sich "Tapatalk for vBulletin 4.x - Unauthenticated Blind SQL Injection" ist von 2014 und ist in python gecoded.
CVE: CVE-2014-2023

Naja Tapatalk wird nun eh das Licht ausgeknippst [emoji24]
Die Mail vom HPI... im anderen Thread