Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
-
Kurze Verständnisfrage von einem IT-Laien: Ich habe bei schoenen dunk eine email Adresse verwendet, die ich nur hier und in zwei anderen Foren benutze (das Passwort ist nur hier gültig). Ich habe noch keinen Spam o.ä. bekommen, aber habe vorsichtshalber in den beiden anderen Foren die email Adresse geändert, das heißt, die email Adresse ist nur noch für schönen dunk relevant. Ohne das Problem (oder gar IT Sicherheit im Allgemeinen) kleinreden zu wollen: Aber da kann mir doch eigentlich nichts passieren, außer das ich vielleicht irgendwelchen Spam in einen email Account bekomme, den ich eh nicht benutze?
Same for me und korrekt.Deshalb kann ich die Account-lösch Welle hier auch nicht vollumfänglich nachvollziehen. Schade eigentlich …Das einzig positive darin ist, dass man evtl. so zu einer schnelleren, für alle verbesserten Lösung kommt.
Ehrlicherweise beobachte ich bei mir gerade das Gegenteil. Mir fängt es - ob der Austrittswelle - an egal zu werden. Und bei den Austritten sind offenbar eine ganze Menge Leser dabei - da hat man selten Posts gesehen. Es sind aber auch einige langjährige Poster dabei - das schmerzt sehr. Und ich weiß gerade nicht, ob ich mir den (evtl. eingebildeten) Ton noch lange antun kann UND darüberhinaus auch meine privaten Kontakte (nicht nur Familie) bis an die Grenze dessen belaste, die ich für richtig halte.
-
Kurze Verständnisfrage von einem IT-Laien: Ich habe bei schoenen dunk eine email Adresse verwendet, die ich nur hier und in zwei anderen Foren benutze (das Passwort ist nur hier gültig). Ich habe noch keinen Spam o.ä. bekommen, aber habe vorsichtshalber in den beiden anderen Foren die email Adresse geändert, das heißt, die email Adresse ist nur noch für schönen dunk relevant. Ohne das Problem (oder gar IT Sicherheit im Allgemeinen) kleinreden zu wollen: Aber da kann mir doch eigentlich nichts passieren, außer das ich vielleicht irgendwelchen Spam in einen email Account bekomme, den ich eh nicht benutze?
Schacka hat es ja schon beantwortet: das ist einer der sichersten Wege, den Du gehen kannst.
-
@jsb:
Ich glaube hier liegt ein grundsätzliches Missverständniss vor:
- dass die Seite gehackt wurde, wissen wir seit Mittwoch Nacht (okay, es hätte Abend sein können)
Seit Mittwocfh haben wir die Gewissheit, dass das so ist. Das es wahrscheinlich passiert ist, hätte man seit Anfang 2017 wissen können, als hier im Forum Benutzer über Spam auf ihre exklusive SD-Mailadresse berichteten. Darüber habe ich es ja auch im September bemerkt und Anfang November berichtet. Die Hinweise darauf wurden kleingeredet, nicht ernst genommen oder ignoriert.
Solche Ausssagen lesen sich immer so, als wäre das Problem, dass die Daten veröffentlicht worden wären. Nein, das Problem ist, dass die Daten vor Jahren schon abgeflossen und in der kriminellen Hackerszene verkauft worden sind, weil hier niemand eine Ahnung hat, wie man einen Webserver betreibt. Fangt jetzt bitte nicht wieder an, das Thema kleinzureden. “Wir wissen es seit Mittwoch und haben sofort reagiert” Bullshit. Wer auch immer für den Betrieb (nicht Moderation!) des Servers verantwortlich ist, hat ein Jahrzehnt seinen Job nicht gemacht. Das ist das Problem. Ahnungslosigkeit ist keine Ausrede!
Wie fast überall im Leben gibt es nicht nur schwarz und weiß - die eine und die andere Seite. Ich kann den Wahrheitsgehalt Deiner Aussagen (über die gesendeten Informationen) nicht nachvollziehen. Diesen Satz schreibe ich, weil wir auch Aussagen zu gesendeten Informationen haben - die bei aller Unsicherheit des SMT Protocolls - scheinbar nicht richtig sind (vulgo: Mails die angeblich geschrieben wurden - haben uns nicht erreicht). Ich möchte Dir nicht unterstellen, dass es in Deinem Fall so ist - ich weiß es schlicht nicht
Wenn ich mich an Dein OP richtig erinnere machst Du Dir die Mühe gemacht, die Schwachstellen des Servers aufzuweisen. Die sind ehrlicherweise schon ziemlich lange bekannt gewesen und (leider) keine neue Erkenntnis gewesen
Die Hinweise (spam auf nur für dieses Forum verwendete Adressen), von denen Du sprichts, sind meiner Erinnerung nach Ernst genommen worden. Ich erinnere micht, dass die Kommunikation nach außen relativ zurückhaltend war. Nach innen wurde darüber aber offen kommuniziert. Ich würde das Verfahren für ein releativ gewöhnliches halten.
Im Endeffekt war die Frage, die beantwortet werden musste immer die gleiche: Schalten wir das Forum ab oder lassen wir es trotz der bekannten Mängel weiter laufen. Wir haben uns für das letztere entschieden, weil wir das für die Community als beste Variante ansahen.
Stand heute ist das fast ein Glücksfall. Denn es ist völlig unklar, wannn die Daten abgeflossen sind (vermutlich schon vor Jahren). So können wir jetzt sagen, dass es devintiv an dieser Software liegt und der Datenverlust nicht einer aktuellen Softwarelösung zugeschrieben wird.
-
@jsb:
Wäre es nicht am ressourcenschonendsten (zeitlich und monetär), dieses Forum einfach vollständig zu schließen und als Archiv (ohne Möglichkeit weiterhin zu posten) so stehen zu lassen und dann parallel ein Standardforum neu zu starten?
Ich glaube, die Wachstumsschmerzen bei so einem harten Cut wären geringer als man jetzt vielleicht denkt.Das ganze alte Geraffel wäre aber weiterhin da mit allen Risiken, die über den Verlust von persönlichen Daten hinausgehen. Das erscheint mir eher die zweitbeste Wahl zu sein.
Da ich auch nur interessierter Laie bin: Wenn man das bestehende Forum sozusagen “zumachen” und alle Accounts löschen würde, das Ganze also nur noch als Nachschlagewerk diente - welche Risiken bestünden dann noch?
-
Da ich auch nur interessierter Laie bin: Wenn man das bestehende Forum sozusagen “zumachen” und alle Accounts löschen würde, das Ganze also nur noch als Nachschlagewerk diente - welche Risiken bestünden dann noch?
Selbst bei einem “Nur-Lesen”-Zugriff bestehen bestimmte Angriffsvektoren noch, da auch dort Zugriffe auf die Datenbank erfolgen sodass der Rechner immer noch als Spam-Maschine benutzt werden könnte.
Für die persönlichen Daten bestünden theoretisch keine Gefahr mehr.
-
Ohne großartig Ahnung von der Technik und den juristischen Grundlagen und und und zu haben, wäre meiner Meinung nach der einzig vernünftige Schritt, die Seite wie sie aktuell besteht so schnell wie möglich offline zu nehmen und möglichst zeitnah ein neues Forum mit aktueller Software an den Start zu bringen, wenn man die Seite weiter betreiben will (was ich hoffe, ich mag Foren). Man hätte sicher einen Nutzerschwund erstmal, weil sich nicht jeder neu anmelden will. Aber um jetzt Nutzerdaten zu migrieren o.ä. ist es meiner Meinung nach zu spät, damit hätte man allerspätestens am 3.11. beginnen müssen.
Ohne einen gewissen “Schaden” kommt eine Seite eben nicht davon, wenn man auf unsichere Technik setzt, sich jahrelang nicht drum kümmert und dann Nutzerdaten geleakt werden. Aber so hätte man wenigstens zeitnah eine Perspektive für die Zukunft. Die aktuelle Seite hat diese schlichtweg nicht.
-
@jpde-:
Ohne großartig Ahnung von der Technik und den juristischen Grundlagen und und und zu haben, wäre meiner Meinung nach der einzig vernünftige Schritt, die Seite wie sie aktuell besteht so schnell wie möglich offline zu nehmen
Ja, das sehe ich auch so. Der ganze Server kann ja kontaminiert sein, ohne dass es bemerkt wird. Da kann sich einiges einnisten. Man sollte ihn wirklich erstmal offline nehmen und gründlich durchchecken.
-
@jsb:
Wäre es nicht am ressourcenschonendsten (zeitlich und monetär), dieses Forum einfach vollständig zu schließen und als Archiv (ohne Möglichkeit weiterhin zu posten) so stehen zu lassen und dann parallel ein Standardforum neu zu starten?
Ich glaube, die Wachstumsschmerzen bei so einem harten Cut wären geringer als man jetzt vielleicht denkt.Das ganze alte Geraffel wäre aber weiterhin da mit allen Risiken, die über den Verlust von persönlichen Daten hinausgehen. Das erscheint mir eher die zweitbeste Wahl zu sein.
Könnte man nicht das alte Forum als Archiv haben und alle Nutzer des alten Forums löschen?
-
Da ich auch nur interessierter Laie bin: Wenn man das bestehende Forum sozusagen “zumachen” und alle Accounts löschen würde, das Ganze also nur noch als Nachschlagewerk diente - welche Risiken bestünden dann noch?
Selbst bei einem “Nur-Lesen”-Zugriff bestehen bestimmte Angriffsvektoren noch, da auch dort Zugriffe auf die Datenbank erfolgen sodass der Rechner immer noch als Spam-Maschine benutzt werden könnte.
Für die persönlichen Daten bestünden theoretisch keine Gefahr mehr.
Nur, wenn wir sie entfernten. Wenn wir das nicht täten, wären sie genauso erreichbar, wie die Posts.
-
@ jsb…
Erstmal vielen Dank, das du hier Rede und Antwort stehst!
Ich kann maximus Standpunkt nachvollziehen, da natürlich Software-Probleme schon seit Jahren, eigentlich seit der damaligen Aktualisierung bekannt und “weiter getragen” wurden. Dabei steht mir Kritik nicht zu, da ich weder das technische Wissen besitze, noch ehrenamtlich Zeit in SD investiert habe.
In dieser Situation kann auch etwas Positives entstehen. Das SD nicht immer so weiter machen konnte war klar. Der Leak hat Tatsachen geschaffen, auf deren Grundlage leichter “schmerzhafte” Entscheidungen getroffen werden können. Genauso wie Pucki damals, können jetzt andere User etwas Neues schaffen.
Deine Aufstellung von Lösungs-Optionen finde ich sehr gut! Ich würde mit Option 4, einem neuen Forum, starten und darauf achten, sinnvolle Features und Funktionen hinsichtlich der Weiterenticklung mobiler Geräte und Sozialer Medien mitaufzunehmen. Also weniger Geld in Migration von Altem, mehr in die Zukunft.
Was ist denn das Wichtigste an Schönen Dunk? Der Need, eine übergeordnete Austausch-Plattform für deutschen Basketball, zu stellen. Dieser Bedarf bleibt bestehen. Schönen Dunk ist dafür die größte Marke, die erste Anlaufstation. Diesen Vorsprung hat man. Diese Position gilt es neu zu besetzen.
In einer Migration alter News sehe ich kaum Mehrwert. Auch die Migration alter Posts halte ich für “nice to have”, aber keinesfalls für ein “must”. Wie oft macht man das wirklich? Vielleicht schreckt es potentielle neue User sogar ab, die 10.000te Nachricht von “alten Säcken” zu lesen.
Am besten sprecht ihr mehrere Software-Anbieter an. Bei Non-Profit-Projekte reagieren viele Firmen nicht, einige wenige haben darauf Lust. Mit vorliegendem Kosten-Angebot würde ich BBL / Teams kontatktieren. Sie profitieren am meisten von SD. Für uns sind 5.000 € viel Geld. Für Unternehmen ist es dagegen nur eine Kampagne, deren Budget sie aufgrund von Corona in 2020 nicht ausgeben konnten.
-
Können MIR die technisch nicht affinen die Gefallen tun, nicht technisch zu spekulieren? In dieser Situation führen die häufig guten Interaktionen mit Menschen außerhalb des technischen Bereichs nur zu Bemerkungen, die ich eigentlich glaube geraderücken zu müssen.
Tue ich (oder andere) es nicht, bleiben sie als Wahrheit stehen - das möchte ich eigentlich vermeiden. -
Was auch immr kommen mag. Ich bin gerne bereit einen kleinen finanziellen Beitrag zu leisten und habe für ein neus Forum nur einen Wunsch: einen Ignore-Button
LH
-
@jsb:
was genau ist am 3. Novemver passiert?
Die Mail aus dem Startpost. Gut, vielleicht 1-2 Tage zur Prüfung, aber es ist ja nun nicht neu, dass die technische Infrastruktur der Seite alt und damit nicht sicher ist. Dass Sicherheitslücken existiert haben, muss den Betreibern bewusst gewesen sein.
-
@jpde-:
@jsb:
was genau ist am 3. Novemver passiert?
Die Mail aus dem Startpost. Gut, vielleicht 1-2 Tage zur Prüfung, aber es ist ja nun nicht neu, dass die technische Infrastruktur der Seite alt und damit nicht sicher ist. Dass Sicherheitslücken existiert haben, muss den Betreibern bewusst gewesen sein.
Na da können wir offen reden: Ich weiß nicht, wann genau wir uns das erste mal mit diesem Problem auseinandergesetzt haben. Dieses Problem ist leider seit Jahren bekannt. Ich nahm an, dass Du auf etwas anderes hinweisen wollten.
Diese Versäumnisse liegen weit in der Vergangenheit … -
@jsb:
…
Na da können wir offen reden: Ich weiß nicht, wann genau wir uns das erste mal mit diesem Problem auseinandergesetzt haben. Dieses Problem ist leider seit Jahren bekannt. Ich nahm an, dass Du auf etwas anderes hinweisen wollten.
Diese Versäumnisse liegen weit in der Vergangenheit …Aber genau deshalb sind die von Dir vorgeschlagenen Optionen nur technische Lösungen. Das ganze Schlamassel geht seit Jahren so. Die Behebung der technischen Probleme ist das eine, die grundsätzliche Einstellung der Betreiber und Domain-Inhaber das andere, viel grundsätzlichere Problem. Wenn man einen Oldtimer fahren will, sollte man ein wenig von der Technik verstehen und selbst schrauben können. Dieser ganze Anachronismus mit dem mittlerweile Komplettversagen beim Webseitenhosting ist ein Crash mit Ansage. Das ist ja schon fast mehr Kopf in den Sand stecken und kann man eigentlich nur als Ignoranz bezeichnen. Selbst wenn jetzt bis irgendwann mal (und das wird mal wieder garantiert nicht bis Jahresende sein) die technische Probleme gelöst sein werden, wird das nur ein bis zwei Jahre halten, bis an der nächsten Stelle ein weiteres Problem auftaucht. Ich bin eigentlich auch schon auf dem Sprung, weil mein Vertrauen restlos aufgebraucht ist. So kann man keine öffentlichkeitswirksame Webseite betreiben. Es braucht entsprechende Werbeeinnahmen, solange keine Pop-Up-Werbung kommt wird das die Mehrheit akzeptieren, und damit muss ein professionelles Hosting bezahlt werden.
-
Ich finde es fehlt noch der Hinweis für diejenigen Nutzer die trotz Warnung des jeweiligen Browsers in den letzten Wochen/Monaten TLS 1.0/1.1 freigegeben haben um Zugriff auf SD zu haben wie man das wieder korrigiert.
peace
Internet Explorer, Internet Optionen -> Erweitert -> Runterscrollen bis TLS 1.* verwenden -> Haken rausnehmen.
Wird für den Chrome glaub ich direkt übernommen, bei Firefox siehts genau so aus, ausser das “Erweitert” dort nicht unter “Internetoptionen” zu finden ist, sondern unter “Einstellungen”
-
Aber genau deshalb sind die von Dir vorgeschlagenen Optionen nur technische Lösungen. Das ganze Schlamassel geht seit Jahren so. Die Behebung der technischen Probleme ist das eine, die grundsätzliche Einstellung der Betreiber und Domain-Inhaber das andere, viel grundsätzlichere Problem
So sehe ich das auch.
Gab es eigentlich irgendein Statements des Vereins, der diese Webseite (zumindest offiziell) betreibt? Sprich: spricht qnibert in der News hier für den Verein als verantwortlicher Betreiber?
Ich lese hier quasi immer nur jsb als Moderator, der aber klar gemacht hat, dass er eben nicht für den Verein spräche. Und auch ohne die Diskussionen im Hintergrund zu kennen, die ich mir womöglich nicht mal vorstellen mag: Ich bewundere die (zumindest bisher) vorhandene Motivation von jsb anerkennend. Und ja, auch den guten Willen, den er und seine Mitstreiter zeigen.
An den historischen Verdiensten der Initiatoren des Projekts bzw. des Vereins habe ich dabei überhaupt keine Zweifel. Nur so kann es nicht weitergehen, dass ein augenscheinlicher Zombie-Verein eine solche Community betreibt. Man kann nun…
a) den Verein verändern zu versuchen, durch neue, entscheidungsberechtigte Mitglieder
b) alles ersatzlos einstampfen
c) sich von ihm emanzipieren und was neues auf die Beine stellen (heisst dann halt auch keine bestehenden Inhalte und neue Domain)Ich glaube nicht mehr an a).
Ich hoffe nicht, dass es b) wird.
Ich sehe realistisch nur c).Edit: habe die News gesehen
-
Es gab in den letzten Tagen eine Reihe von irritierenden Posts. Von verschiedenen Seiten. Dazu gehört auch jener über diesem. Was heißt das jetzt genau? Das Schiff treibt führungslos auf hoher See? Es wird nicht mehr moderiert? Es wird nicht mehr eingegriffen, wenn Spam-Posts gepostet werden? Man bastelt in der Zwischenzeit an einem Update, einer neuen Lösung und nützt die Zeit ausschließlich hierfür? Ich finde, es wäre duchaus angemessen, wenn die User informiert sind, wass der Status des Forums somit nun ist.
-
In der Luftfahrt lautet ein wichtiger Grundsatz: “aviate - navigate - communicate” und beschreibt die Prioritäten in absteigender Reihenfolge. Mir scheint, dass dies hier auch so gehandhabt wird und ich begrüße das sehr. Dass die Neugier einiger weniger nicht ausreichend befriedigt wird, halte ich für absolut hinnehmbar.
Macht weiter so, Leute! Für eine Lösung. -
Das heißt auf deutsch, macht bis auf Weiteres euren Scheiß alleine, wir ziehen uns komplett (auch aus der Verantwortung) zurück und tauchen wieder auf, wenn wir eine tragfähige Lösung für die verschiedenen Probleme haben. Ist das verantwortungsvolles Handeln? Oder nur noch frustgesteuert?
-
Das heißt auf deutsch, macht bis auf Weiteres euren Scheiß alleine, wir ziehen uns komplett (auch aus der Verantwortung) zurück und tauchen wieder auf, wenn wir eine tragfähige Lösung für die verschiedenen Probleme haben. Ist das verantwortungsvolles Handeln? Oder nur noch frustgesteuert?
Bei solchen Beiträgen wie denen von dir, könnte ich frustgesteuertes Handeln absolut verstehen.:-(
LH -
Ich hatte zunächst gefragt, was “wir ziehen uns zurück” und “freuen uns, wenn wir uns bald wiedersähen” genau bedeutet. Da steht nichts von we still aviate and navigate but don’t communicate. Sondern wir ziehen uns [baw] zurück. Wenn dem nicht so ist, kann man das ja auch so schreiben. Warum diese “etwas kryptische” Formulierung?
Ein guter Teil der Kritik der letzten Tage hat sich auf das Nichthandeln bei Sicherheitslücken bezogen, aber nach meiner Wahrnehmung auch auf die verbesserungsfähige Kommunikation. Da sehe ich jetzt keinen Fortschritt.
-
Also was persönliche Daten angeht, bei der Registrierung gibt man Email-Adresse und einen Benutzernamen an, sonst noch was?
Die einzig echte Gefahr sehe ich da wenn man überall das gleiche Passwort benutzt, dann könnte über den gespeicherten Hash, der auch erst geknackt werden muss, jemand sich auf anderen Websites anmelden und so weiter Informationen abgreifen.
Daher an dieser Stelle: Für jede Webseite ein eigenes Passwort verwenden!
Ansonsten, eventuell mehr Spam, aber das filtern ja die meisten Mail-Anbieter erfolgreich raus.
Ich freue mich schon auf den nächsten Shitstorm, wenn die die diese Diskussion nicht mitbekommen haben, sich dann über die fürchterliche, schreckliche, unnutzbare neue Forensoftware aufregen, da kommt dann bestimmt gleich die nächste Abmeldewelle.
-
JSB ist hier doch anscheinend die ärmste Sau!Wo sind denn all die anderen Moderatoren hin? qnibert etc….Was sagt guwacevic und andere zum Thema als Ur-SDler?
Weiß der Gründer Frank S. von SD was hier passiert?Da er hoffentlich noch lebt, kann er sich nicht im Grabe umdrehen, aber ich hoffe er bereut SD in diese Vereinshände abgegeben zu haben!
Ich werfe dem Verein SD Intransparenz vor. Ich habe mehrfach gefragt, wer sich hinter dem e.V. verbirgt und wie man Mitglied werden könnte.
Vor Jahren wurden schonmal Euronen eingeworben und die Performance danach war trotzdem bescheiden. Vermutlich war das der Neustartt vor ca. 10 Jahren?
Wer wirklich ein Interesse an einem unabhängigen Weiterbestehen von SD hat, sollte einfach die größtmögliche Transparenz an den Tag legen!Think Big!
Warum sollte es einer Community nicht gelingen Geld für einen Turn-around zu akquirieren?Ich kenne hier soviel Leute, die das locker mitfinanzieren könnten…
Aber unter dieser Vereinsadministration ohne Transparenz wird das sicher nicht funktionieren.
Die BBL hat übrigens momentan null Interesse an SD. Aus Gründen. -
Eigentlich ist alles gesagt. Sogar das, was nicht hätte gesagt werden sollen. Aber es hat halt noch nicht jeder rumgemeckert. Also werden es noch viele Beiträge werden.
Bei der Gelegenheit möchte ich mich bei allen bedanken, die es uns ermöglicht haben, hier zu schreiben. Danke, dass ihr einen Teil eure Freizeit der Basketballcommunity geschenkt habt.
-
Ich habe mehrfach gefragt, wer sich hinter dem e.V. verbirgt
Wende dich doch einfach ans Amtsgericht Stendal, wenn dich das so brennend interessiert. Dort ist der Verein im Vereinsregister registriert (Registernummer VR22368 ). Kostet allerdings einen kleinen Obulus.
Warum sollte es einer Community nicht gelingen Geld für einen Turn-around zu akquirieren?
Ich kenne hier soviel Leute, die das locker mitfinanzieren könnten…
Sofern der Verein gemeinnützig ist und einen aktuellen Freistellungsbescheid hat, könnte eine Spende sogar von der Steuer abgesetzt werden, bis 200 € reicht dafür auch der Kontoauszug.
-
Es macht mir ein bisschen Angst, dass mittlerweile der s-d Server “vom Netz genommen wurde” (so steht es in der Ankündigung), er aber offensichtlich noch online ist, sonst könnte ich hier ja nicht posten. Was passiert ist, ist nur, dass die Domain nicht mehr auf den Server verweist. Online ist dieser weiterhin. Nicht cool.
-