Ankündigung Verdächtige Logins in rund 900 ComputerBase-Accounts, die nun sicherheitsgesperrt sind

[Miuwa]

Die Logins werden vermutlich ja eher über die Mailadresse stattgefunden haben wie bei den meisten Webseiten. Man könnte das auf den Username einschränken womit viele geklaute Zugänge wertlos wären.

Wenn 30% der Anmeldeversuche erfolgreich waren, dann kanns meiner Meinung nach eigentlich nur über die Usernamen gelaufen sein. Wenn du einfach nur ne zufällige Liste von Email+PW Kombinationen hast wären davon niemals 36% für CB gültig.

Das ist schon ein sehr spezielle Liste - wie @x.treme geschrieben hat vermutlich auf Basis der Mitgliederliste unter https://www.computerbase.de/forum/members/list/. Und selbst dann ist die Trefferrate schon erschreckend hoch.


Übrigens würde auch im Ausgangspost von Benutzernamen geredet:

Es dürften also diejenigen Nutzer betroffen sein, die dieselbe Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendet haben.

 

[Steffen]

Ich kann nicht sagen, ob bei den erfolgreichen Logins der Nickname oder die E-Mail-Adresse genutzt wurde, denn das speichert XenForo nicht. Bei nicht erfolgreichen Login speichert XenForo das (für 24 Stunden) und da waren sowohl Benutzernamen als auch E-Mail-Adressen dabei.

Es dürften also diejenigen Nutzer betroffen sein, die dieselbe Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendet haben.

Ganz korrekt hätte es hier also heißen müssen "... dieselbe Kombination aus Benutzername und Passwort oder E-Mail-Adresse und Passwort ...".

 

[7vor10]

Entwarnung!!
Das was mir heute passiert ist, läuft unter der Rubrik "Dumm gelaufen".

Ich habe nach der Anmeldung den Verweis zum Ankündungs-Thread erhalten.
Ich habe aber auch die Meldung erhalten, wonach keine weiteren Antworten mehr möglich sind.

Dummerweise hatte aber der TE wenige Minuten vor meinem beabsichtigten Send seinen Thread auf 'erledigt' gesetzt. (Ohne dass ich Gelegenheit hatte, das vorher noch zu lesen.)

Threads werden aber höchst selten auf 'Erledigt' gesetzt. Gelegentlich kommt es vor, dass ein Thread gesperrt wird, weil die Diskussion aus dem Ruder gelaufen ist. (Was in dem Fall erst recht nicht zutreffend war.)

Also nur die Kombination beider Meldungen hat mich zu dieser Fehlinterpretation veranlasst.

Ich bin also definitiv nicht betroffen und es gibt daher auch kein neues Sicherheitsproblem.

Die Beiträge Nummer 95/98 sind somit glücklicherweise gegenstandslos geworden.

 

[cartridge_case]

Dummerweise hatte aber der TE wenige Minuten vor meinem beabsichtigten Send seinen Thread auf 'erledigt' gesetzt. (Ohne dass ich Gelegenheit hatte, das vorher noch zu lesen.)

Deswegen sollte man doch aber weiterhin antworten können. Hast du den Thread noch parat?

 

[7vor10]

Ja, es ist dieser hier!
Geschlossen (als ich noch formulierte).
"Es sind keine weiteren Antworten möglich." (Ist sowohl oben als auch unten auf der Seite zu lesen.)

Ist natürlich ok so.
Nur dass es mich in Kombination mit der Warnmeldung zum Ankündigungs-Thread auf eine völlig falsche Fährte zog.

 

[cartridge_case]

Wurde dann aber vom Moderator geschlossen. User können das nicht.

 

[Azdak]

Der Bot hatte beim Einloggen eine Erfolgsquote von 36%.

~10.000 Accounts, ~900 gesperrte Accounts, 36% erfolgreiche Logins. Die Rate ist ... beängstigend. Bei ~4% und der leider häufigen Einstellung "ein Forenaccount ist mir egal" kann das aber nicht nur Multi-Use-PWs sein, sondern auch Klassiker wie "Passwort" und "123456789". Natürlich bleibt die Frage, wie man eine Vorauswahl an Testkandidaten für User und PW ermittelt hat.

Aber, wenn wenn für fast jeden Zugriff eine IP genutzt wurde, wie habt ihr dann die Betroffenen identifiziert? Insb. bei Logins, die gleich beim ersten mal funktioniert haben? Würde mich interessieren.

 

[Miuwa]

~10.000 Accounts, ~900 gesperrte Accounts, 36% erfolgreiche Logins. Die Rate ist ... beängstigend. Bei ~4% und der leider häufigen Einstellung "ein Forenaccount ist mir egal" kann das aber nicht nur Multi-Use-PWs sein, sondern auch Klassiker wie "Passwort" und "123456789". Natürlich bleibt die Frage, wie man eine Vorauswahl an Testkandidaten für User und PW ermittelt hat.

Da sehe ich den Zusammenhang nicht. Wenn wirklich jeder 3. Loginversuch funktioniert hat, dann wurden keine Wörterbuchattacke gefahren. Selbst wenn jeder attackierte Account bei CB ein Trivialpasswort hat, müsste die Trefferquote beim durchprobieren von "Passwort, Passwort, test123, ...." niedriger sein.

Umgekehrt, wenn der Angreifer die Kombination von Name/Email + PW von einer anderen Website geklaut hat und die Liste dann hier mit den registrierten Nutzer abgeglichen hat ist es völlig egal, wie einfach oder kompliziert die Passwörter waren.

 

[@@@]

Ich kann nur aus meiner Sicht dazu etwas sagen, da ich den Benutzernamen nur einmalig hier verwendet habe, das Passwort jedoch öfter und auch die E-Mail-Adresse. Da mein Account weder gesperrt wurde, noch ich eine Meldung erhalten habe, gehe ich sehr stark davon aus, dass sie nach Benutzernamen gegangen sind.

 

[Kettensäge CH]

Kann ich erfahren ob mein Account betroffen war? Auf jedenfall habe ich trotzdem mal vorsichtshalber mein Email-Passwort geändert, man weiss ja nie.

 

[cartridge_case]

Kann ich erfahren ob mein Account betroffen war?

Wurde doch erklärt was wäre, wenn du betroffen wärest.

 

[Steffen]

Aber, wenn wenn für fast jeden Zugriff eine IP genutzt wurde, wie habt ihr dann die Betroffenen identifiziert?

Die Bot-Logins fanden gehäuft in zwei kurzen Zeiträumen statt.

 

[Mordi]

Kann ich erfahren ob mein Account betroffen war?

Wenn du betroffen warst, hast du eine Mail gekriegt. Ob dein Account nun aber wirklich sicher bist kannst nur du beurteilen, also ob du dein Passwort sonst wo nutzt etc.

 

[Tidus2007]

Danke für die schnelle Info u. eure Transparenz.

 

[SSD960]

Warum gibt es bei Computerbase.de keinen zweiten Faktor?

 

[Steffen]

(╯°□°）╯︵ ┻━┻

 

[Zensai]

Ohne jetzt zu Nahe treten zu wollen, aber dein Post klingt wie ein Vorwurf @SSD960, könnte es dabei sein dass einfach nicht alles gelesen wurde?


Ihr müsst halt echt mal aufhören nur Überschriften zu lesen oder die Informationen die direkt im Ankündigungstext stehen zu überlesen oder einfach wen bisschen aufmerksamer werden, und da kann ich verstehen ich verstehen warum @Steffen mit dem

(╯°□°）╯︵ ┻━┻

antwortet.
Gefühlt kann man schreiben was man will, es liest wieder 80% der Leute nur die Überschrift und setzt dann übereilt Kommentare ab, die LÄNGST beantwortet sind. Das ist echt super anstrengend.

Klar gibts es MFA, kannst du einfach einschalten und wurde hier im Thread auch mehrfach gesagt UND steht in der Ankündigung

Wer seinen ComputerBase-Account darüber hinaus besonders gut schützen möchte, der kann auf der verlinkten Seite auch die Zwei-Faktor-Authentifizierung aktivieren. (Es ist dann zwingend geboten, die generierten Backup-Codes sicher aufzubewahren.)

zusammen mit der Information dass bei uns kein Leck war, sondern offensichtlich woanders.

Wir möchten betonen, dass die ComputerBase-Website oder die ComputerBase-Server nicht gehackt wurden. Die Logins erfolgten automatisiert durch ein Bot-Netzwerk,
[...]
gehen wir davon aus, dass dem Botnetz Kombinationen von Benutzernamen und Passwörtern bekannt waren, die bei einem Hack anderer Websites in der Vergangenheit entwendet worden sein dürften

 

[cartridge_case]

(╯°□°）╯︵ ┻━┻

https://looks.wtf/flipping-tables
Wieder was gelernt. Danke!

 

[Kettensäge CH]

Ihr müsst halt echt mal aufhören nur Überschriften zu lesen oder die Informationen die direkt im Ankündigungstext stehen zu überlesen oder einfach wen bisschen aufmerksamer werden, und da kann ich verstehen ich verstehen warum @Steffen mit dem

Nicht das du das wissen kannst, aber in meinem Fall hab ich den Beitrag verfasst um 5 Uhr morgens nach einer langen Nacht, wo ich am Abend ein Familienmitglied zu Grabe getragen habe während ich auch noch um meinen verletzten Hund kümmern muss, zusammen mit den Medikamenten für meine Bipolare Störung, so... es hat manchmal seine Gründe, das Menschen eine geringe Aufmerksamkeitsspanne besitzen in einem Moment der Schwäche.

Keine Sorge, ich werde mir das Büsserhemd anziehen und den Gang nach Canossa antreten.

 

[andi_sco]

Nicht das du das wissen kannst

Ganz entspannt. Das war sicherlich nicht so extrem gedacht, wie du es jetzt auffasst