Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
-
Hallo zusammen,
die u. a. Mail habe ich am 3. Noveber an verein@schoenen-dunk.de gesendet, ohne bisher ein Feedback zu erhalten. Darin zeige ich diverse Sicherheitsmängel dieser Seite auf, die den Abfluß von Userdaten auf schoenen-dunk.de möglich und wahrscheinlich machen.
Da mittlerweile sicher ist, dass die Benutzerdaten von schoenen-dunk.de verloren wurden und da der Verein nicht auf Mails reagiert, wende ich mich jetzt an das Forum, da es unsere Daten betrifft.
In der Zwischenzeit ist der sogenannte Cit0day-Leak veröffentlicht worden, in dem die Userdaten von 23000 Webseiten enthalten sind. Auch schoenen-dunk.de ist darin vertreten. Die Datei enthält 25133 Dtensätze mit Emailadressen, einigen wenigen Handynummern und gehashten Passwörtern. Das heisst, die Seite wurde in der Vergangenheit bereits gehackt (wie einige hier aufgrund des Spamaufkommens auch schon vermuteten) und die Accountdaten sind abgeflossen. Ob und wie schnell die Passwort-Hashes zurückgerechnet werden können, ist mir noch nicht bekannt.
Es ist auch noch nicht bekannt, von wann die Daten im Leak stammen. Das Dateidatum lautet 26.5.2020. Bitte ändert Eure Passwörter hier im Forum sofort und auch überall dort, wo ihr das gleiche Passwort verwendet.
Ob Eure Mailadresse in diesem oder anderen Leaks auftaucht, könnt ihr übrigens hier nachsehen: haveibeenpwned.com
Wird dieses Forum noch aktiv betrieben? Wochenlange keine Rückmeldung auf Emails, 10 Jahre alte Serverkonfiguration, kaputte Funktionen und gehackte Userdaten machen irgendwie einen komischen Eindruck.
PS: Ich poste hier mit Erlaubnis mit einem fremden Account, weil ich in meinen nicht mehr hereinkomme (Passwort vergessen) und auch die Neuregistrierung nicht mehr funktioniert. Diesen Post werde ich unter diesem Nutzeraccount verfolgen, falls ihr Fragen habt.
Hier die Mail an den Verein vom 3.11.2020
–-----------------------------
Hallo,ich habe vor 10 Jahren die Fanseite einer Bundesliga-Basketballmannschaft technisch aufgesetzt und mir damals einen Account auf schoenen-dunk.de angelegt. Für die Registrierung habe ich eine einmalige E Mail Adresse (schoenendunk@*********.de) angegeben, die ich nirgends sonst verwendet habe. Auf diese Email Adresse habe ich jetzt Spamaufkommen bemerkt. Das bedeutet, dass diese E Mail Adresse absichtlich oder unbeabsichtigt an Dritte weitergegeben wurde.
Dadurch neugierig geworden, habe ich mir den Server mit der Adresse schoenen-dunk.de einmal genauer angesehen. Das Ergebnis ist aus Sicht der Informationssicherheit vernichtend:
- Die Version des Webservers (Apache 2.2.16) ist aus Juli 2010 und auch die PHP-Version (5.2.17) ist 10 Jahre alt.
- Es sind 91 Schwachstellen für diese Systeme bekannt, die zwischen einem und 14 Jahren alt sind.
- Zwei Schwachstellen haben den höchsten CVSS-Wert 10 und erlauben potentiell die Ausführung fremden Codes und Fremdzugriff auf alle Daten
- Insgesamt sind 18 Schwachstellen mit einem CVSS größer 7.5 bekannt und als schwer einzustufen.
- Die Webseitenverschlüsselung nutzt ein als unsicher geltendes Protokoll (TLS 1.0). Es ist nicht möglich, ein sicheres Protokoll zu verwenden, da nur TLS 1.0 unterstützt wird. Selbst aktuelle Browser warnen mittlerweile vor dem Aufrufen der Webseite. Dazu kommen weitere Sicherheitsprobleme bei der Verschlüsselung der Webseite wie zum Beispiel der unsichere Diffie-Hellman-Schlüsselaustausch,
Danach habe ich dann aufgehört nach Problemen zu suchen, es sind genug da. Ich habe mir auch nicht den Code auf schoenen-dunk.de angesehen (ich könnte es auch nicht, ich bin kein Pentester) aber ich vermute auch hier noch weitere Probleme.
Für mich sieht es so aus, als wäre der Server einmal vor 10 Jahren aufgesetzt worden und dann nie wieder aktualisiert worden. Das ist in der heutigen Zeit, in der das gesamte IPv4-Internet regelmäßig nach Schwachstellen durchsucht wird, nicht mehr umsetzbar. Die Daten aller Nutzer sind einem hohen Verlustrisiko ausgesetzt, was in Zeiten der DSGVO unangenehm werden kann. Dazu sind, wenn es nicht vom Serverbetreiber selbst erfolgte, bereits mindestens einmal Nutzerdaten abhanden gekommen, wie meine Spam-Mails zeigen.
Hier nochmal ein Disclaimer: Auch wenn ich beruflich in der IT-Security unterwegs bin, mache ich das hier privat, ohne kommerzielle Interessen und nur mit Informationen, die öffentlich im Internet verfügbar sind.
Bitte versteht diese Mail nicht als Gemecker eines IT-Nerds. Ich möchte Euch darauf aufmerksam machen, dass ihr ein massives Sicherheitsproblem auf dem Server habt, dass Euch früher oder später Ärger einhandeln wird. Prüft bitte., ob nicht bereits schon ungebetene Gäste auf dem Server persistiert sind. Lasst Euch von erfahrenen ITlern helfen.
Ich bin gern bereit, weitere Informationen zu den Schwachstellen zur Verfügung zu stellen und bei der Behebung zu unterstützen. Wir können gern darüber diskutieren, wie ich diese Informationen erlangt habe, die jeder andere ebenso einsehen kann. Ich könnte Euch auch anbieten (natürlich kostenlos), den Server auf weitere Schwachstellen zu scannen.Dafür bräuchte ich allerdings eine schriftliche Erlaubnis und Haftungsfreistellung.
Ich behalte mir übrigens vor, diese auf öffentlichen Informationen beruhenden Daten im Rahmen eines Responsible Disclosures zu publizieren, insbesondere wenn keine Maßnahmen zur Behebung der Sicherheitsprobleme durchgeführt werden.
Viele Grüße
Sven ******** -
Vielen Dank für deine Ausführungen und Analysen. Sehr interessant und gleichzeitig schade zu lesen.
-
Wird dieses Forum noch aktiv betrieben? Wochenlange keine Rückmeldung auf Emails, 10 Jahre alte Serverkonfiguration, kaputte Funktionen und gehackte Userdaten machen irgendwie einen komischen Eindruck.
Haben wir in diesem Thread auch schon festgestellt:
https://www.schoenen-dunk.de/forum_t131563_Webseite-config-ssl-Zertifikat.htm
Antwort auf die Frage:
Es wird weiterhin in dem Sinne aktiv betrieben, dass von Moderatoren moderiert wird und das Zertifikat der Webseite vor kurzem erneuert/ausgetauscht wurde. Ansonsten ist dort der (aktuell letzte) Beitrag von jsb vom 20.11. zu beachten. -
Wird dieses Forum noch aktiv betrieben? Wochenlange keine Rückmeldung auf Emails, 10 Jahre alte Serverkonfiguration, kaputte Funktionen und gehackte Userdaten machen irgendwie einen komischen Eindruck.
Haben wir in diesem Thread auch schon festgestellt:
https://www.schoenen-dunk.de/forum_t131563_Webseite-config-ssl-Zertifikat.htm
Antwort auf die Frage:
Es wird weiterhin in dem Sinne aktiv betrieben, dass von Moderatoren moderiert wird und das Zertifikat der Webseite vor kurzem erneuert/ausgetauscht wurde. Ansonsten ist dort der (aktuell) letzte Beitrag von jsb vom 20.11. zu beachten.Das Zertifikat musste auch ausgetauscht werden, da es am 6.11.2020 auslief. Leider ist es weiterhin nur ein TLS 1.0 Cert. TLS 1.0 ist 21 Jahre alt und gilt als unsicher. Weitere Informationen dazu hier: https://www.ssllabs.com/ssltest/analyze.html?d=schoenen-dunk.de&hideResults=on
-
Antwort auf die Frage:
Es wird weiterhin in dem Sinne aktiv betrieben, dass von Moderatoren moderiert wird und das Zertifikat der Webseite vor kurzem erneuert/ausgetauscht wurde. Ansonsten ist dort der (aktuell letzte) Beitrag von jsb vom 20.11. zu beachten.Das ist ja schön und gut, aber irgendwer muss sich doch mal unter die darunterliegende Technik kümmern? Der Server ist seit 10 Jahren nicht aktualisiert worden und löchrig wie nur irgendwas.
-
@Maximus, fühle dich eingeladen, an der Lösung mitzuarbeiten, es gibt ja eine Taskforce Gruppe hier bei SD dafür. Du scheinst ja - im Gegensatz zu mir - über das technische know how zu verfügen. Probleme aufzuzeigen ist toll, an der Lösung mitzuwirken ist toller.
@SD-Voerstand (oder wie es sich bei euch nennt): Wenn sich jemand die Mühe macht, eine so lange und inhaltlich sehr sinnvolle email zu schreiben, wäre es nicht soooo verkehrt, mal wenigstens darauf zu antworten. Selbst wenn man derzeit inhaltlich vielleicht nicht antworten kann, so könnte man wenigstens den Empfang bestätigen und dass man sich des Ernstes der Lage bewusst ist und an einer Lösung arbeiten wird.
-
@Maximus, fühle dich eingeladen, an der Lösung mitzuarbeiten, es gibt ja eine Taskforce Gruppe hier bei SD dafür. Du scheinst ja - im Gegensatz zu mir - über das technische know how zu verfügen. Probleme aufzuzeigen ist toll, an der Lösung mitzuwirken ist toller.
@SD-Voerstand (oder wie es sich bei euch nennt): Wenn sich jemand die Mühe macht, eine so lange und inhaltlich sehr sinnvolle email zu schreiben, wäre es nicht soooo verkehrt, mal wenigstens darauf zu antworten. Selbst wenn man derzeit inhaltlich vielleicht nicht antworten kann, so könnte man wenigstens den Empfang bestätigen und dass man sich des Ernstes der Lage bewusst ist und an einer Lösung arbeiten wird.
Ich fühle mich der Community hier nicht verbunden genug, um da noch viel Zeit reinzustecken, dazu habe ich zuviele andere Projekte. Aber ich helfe gern punktuell aus, wenn es Fragen zu Sicherheitsthemen gibt. Der Verein hat meine Emailadresse und wir können auch gern mal darüber telefonieren, was gemacht werden muss. Normalerweise melde ich mich in solchen Fällen auch garnicht, aber hier war leider viel zu viel im Argen, als dass ich stillhalten konnte. Und meine Daten waren halt auch betroffen.
-
[…]
PS: Ich poste hier mit Erlaubnis mit einem fremden Account, weil ich in meinen nicht mehr hereinkomme (Passwort vergessen) und auch die Neuregistrierung nicht mehr funktioniert. Diesen Post werde ich unter diesem Nutzeraccount verfolgen, falls ihr Fragen habt.
[…]
Für die Registrierung habe ich eine einmalige E Mail Adresse (schoenendunk@*********.de) angegeben, die ich nirgends sonst verwendet habe. Auf diese Email Adresse habe ich jetzt Spamaufkommen bemerkt. Das bedeutet, dass diese E Mail Adresse absichtlich oder unbeabsichtigt an Dritte weitergegeben wurde.
Dadurch neugierig geworden, habe ich mir den Server mit der Adresse schoenen-dunk.de einmal genauer angesehen. Das Ergebnis ist aus Sicht der Informationssicherheit vernichtend:
[…]Für mich sieht es so aus, als wäre der Server einmal vor 10 Jahren aufgesetzt worden und dann nie wieder aktualisiert worden. Das ist in der heutigen Zeit, in der das gesamte IPv4-Internet regelmäßig nach Schwachstellen durchsucht wird, nicht mehr umsetzbar. Die Daten aller Nutzer sind einem hohen Verlustrisiko ausgesetzt, was in Zeiten der DSGVO unangenehm werden kann. Dazu sind, wenn es nicht vom Serverbetreiber selbst erfolgte, bereits mindestens einmal Nutzerdaten abhanden gekommen, wie meine Spam-Mails zeigen.
Hier nochmal ein Disclaimer: Auch wenn ich beruflich in der IT-Security unterwegs bin, mache ich das hier privat, ohne kommerzielle Interessen und nur mit Informationen, die öffentlich im Internet verfügbar sind.
[…]
Ich behalte mir übrigens vor, diese auf öffentlichen Informationen beruhenden Daten im Rahmen eines Responsible Disclosures zu publizieren, insbesondere wenn keine Maßnahmen zur Behebung der Sicherheitsprobleme durchgeführt werden.
Ich habe jetzt total viel von Deinem Post gelöscht - da standen auch viele versöhnliche Dinge drin. Bei mir bleibt gerade (auch wegen erheblichen persönlichen Engagements) das negative hängen. Es tut mir jetzt schon leid, sollte ich im weiteren Verlauf dieses Posts ‘beleidigt’ wirken.
Vorabe eine Information: Ich bin hier nur Moderator. Ich spreche nicht für den Verein.Vielen Dank für Deine lange Auflistung der bekannten Sicherheitsprobleme. Du hast in Zahlen gefasst, was mir aus technischer Sicht klar war, obwohl ich nie die CVEs überprüft habe. Für Menschen wie Dich und mich ist das Alter der Software und die eingesetzten Versionen ein klarer Indikator dafür, dass hier nur ein Sicherheitsloch mit Forenfunktionen betrieben wird.
Gründe hierfür sind vielschichtig und nicht mit vertretbaren Aufwand lösbar. Lass mich nur einige wenige Punkte aufführen:
- Ehrenamt
- nicht kommerzielle Interessen des Seitenbetreibers
- selbstloser Einsatz beim Aufsetzen der hier laufenden Software
. der von Dir detektierte legacy Stack macht einfaches upgrade nicht möglich
Ich kann Dein Problem bei Neuanmeldung und Passwort vergessen nicht nachvollziehen (PW vergessen habe ich erst kürzlich getestet, Neuanmeldungen sehen wir doch reichlich).
Mir sind aus professioneller Sicht die technischen und rechtlichen Risiken des Betreibens dieser Software mehr als schmerzlich bewusst (irgendwie kann ich das auch den größten Teil der Zeit ausblenden). Du kannst natürlich jederzeit weitere Schritte einleiten. Das ist Dein gutes Recht. Ich vermute, dass Du damit folgendes erreichen wirst:
1. Aktuelle Bemühungen dieses Forum zu retten, werden eingestellt
2. Der Betrieb hier wird eingestellt
3. Der Verein wird aufgelöst
4. Das Vereinsvermögen wird satzungsgemäß für einen guten Zweck verwendetDas klingt jetzt drohender, als es gemeint ist.
Ich habe (erstmals seit langer Zeit), dass wir einen organisatorischen Migrationspfad für die technische Migration gefunden haben. Ich möchte Euch alle bitten, uns die Zeit zu lassen, dass auszuprobieren. Hilfe ist dabei immer gerne genommen. Eine kurze PN an micht erledigt diesen Job - ich werde dann alles weitere organisieren.
-
Das klingt jetzt vielleicht ebenfalls härter als es gemeint ist:@jsb:
2. Der Betrieb hier wird eingestellt
3. Der Verein wird aufgelöstIch sehe das Problem nicht so ganz. Je länger ich darüber nachdenke, umso weniger.
Es handelt sich damit um einen Verein
- dessen Hauptzweck (glaube ich bzw. wenn ich richtig verstehe) der Betrieb dieser Plattform ist
- der diese bloss noch rein formal, aber eben seit Jahren nicht (mehr) tatsächlich betreibt und damit
- seine Nutzer ohne deren Zustimmung oder oft auch Kenntnis erheblichen datenschutzrechtlichen Risiken aussetzt
- und diese Risiken auch kennt oder kennen müsste
Irgendwie scheint es da durchaus konsequent, die entsprechende (Nicht-) Tätigkeit durch bzw. mit Auflösung zu beenden. Es muss einem nach dem Motto “Der Zweck heiligt alle und jegliche Mittel” rechtlich schon alles egal sein, um das weiter zu rechtfertigen.
-
@jsp: Mir ist schmerzlich bewusst, welche Ursachen zu diesem Zustand führen. Ich musste 2002 mein heissgeliebtes regionales Motorradforum aufgeben, weil es zu oft gehackt und für Phishing mißbraucht wurde. Damals fing ich an, mich für IT-Sicherheit zu interessieren und die Ursache war auch, dass ich meine zugebastelte Forensoftware nicht mehr updaten konnte, weil dann alle Anpassungen weg gewesen wären.
Und ja, die Mail war auch versöhnlich gemeint. Nicht nur, aber auch Genau wie meine Postings hier.
Das Problem ist auch nicht auf Moderatorenebene zu suchen, denn die Mods können wenig an diesem Zustand ändern, deswegen wolte ich mich an den Verein wenden. Der Server muss von Grund auf neu augfgebaut werden (Linux, PHP, Webserver) und dann kann man da eine aktuelle Forensoftware draufschmeissen… Die Diskussion um eine neue Forensoftware ist nur oberflächlich (aber nötig, möchte nicht wissen, wie viele Lücken darin sind.). Das muss zeitnah und mit der passenden Expertise gewuppt werden. Das kostet (Wo)Manpower und evtl. auch Geld (für einen neuen parallel aufzusetzenden Server). Wenn man etwas 10 Jahre rumliegen lässt, bildet sich halt ein großer Wartungsstau. Aber es wird doch bestimmt Leute hier geben, die sowohl BB als auch IT Nerds sind schöenen-dunk.de ist ein tolles Communityprojekt und wichtig für die BB-Fanszene. Vielleicht liesst das hier ja auch die ein oder andere BB-Organisation und sponsort trotz der schweren Zeiten ein wenig Server-Ressourcen. Aber Du hast völlig Recht, die Entscheidung momentan ist: alles sofort dichtmachen oder einen funktionierenden Plan für ein zeitnahes Upgrade schmieden.
-
Das klingt jetzt vielleicht ebenfalls härter als es gemeint ist:
[…]Irgendwie scheint es da durchaus konsequent, die entsprechende (Nicht-) Tätigkeit durch bzw. mit Auflösung zu beenden. Es muss einem nach dem Motto “Der Zweck heiligt alle und jegliche Mittel” rechtlich schon alles egal sein, um das weiter zu rechtfertigen.
Weil Du das mit der Härte geschrieben hast, gehe ich jetzt nicht so die Wände hoch, wie ich eigentlich wollte
In meinem Sprachempfinden ist ‘der Zweck heiligt die Mittel’ so im Bereich von ‘Krieg führen’, ‘unternehmerisch unmoralisch unterwegs sein’ angeordnet.
Das empfinde ich hier als nicht richtig. Vielmehr empfinde ich es als diskreditierend. Die Abwägung, die hier getroffen wurde, war:
Kommunikation ermöglichen trotz Sicherheitsmängel. Ich würde vermuten, dass ein Großteil der (vermutlich wenigen) Mitglieder sich dieser Abwägung überhaupt nicht bewusst war. Es wird keinerlei kommerzieller Nutzen aus dieser Seite gezogen - alle die hier etwas tun machen das ehrenamtlich. Vor diesem Hintergrund finde ich diese Wertung zu hart.Ich vermute, dass der Verein gegründet wurde, weil eben ein komerzielles Interesse wie es bei anderen Sportportalen der Fall ist, nicht angestrebt werden sollte. Das ist dann aber schlussendlich auch das organisatorische Problem, auf das man läuft.
-
Das Problem ist auch nicht auf Moderatorenebene zu suchen, denn die Mods können wenig an diesem Zustand ändern, deswegen wolte ich mich an den Verein wenden. Der Server muss von Grund auf neu augfgebaut werden (Linux, PHP, Webserver)
[…]
Aber Du hast völlig Recht, die Entscheidung momentan ist: alles sofort dichtmachen oder einen funktionierenden Plan für ein zeitnahes Upgrade schmieden.
Es gibt da ja zum Glück Schnittmengen zwischen Mods und IT-afinen.
Wir sind derzeit so konkret mit der Migration befasst, dass ich hoffe hier schon bald ‘Erfolg’ melden zu können. Wie ich das sehe, werden wir im Anschluss auch organisatorisch zumindest für die nächste Zeit besser unterwegs sein, so dass das ersteinmal etwas hält.
Der Hack (wir reden ja jetzt eigentlich nur von der Aufdeckung) kam einfach nur zur Unzeit: Dem Zeitpunkt, wo endlich Bewegung in die Migration kam.
Aber bis zur hoffentlich kommenden Erfolgsmeldung bitte ich um etwas Geduld. Der Satz von oben mit der Hilfe gilt weiterhin (nicht speziell an Dich, sondern an andere Leser) - auch eine Stunde später -
@jsb:
Es wird keinerlei kommerzieller Nutzen aus dieser Seite gezogen - alle die hier etwas tun machen das ehrenamtlich. Vor diesem Hintergrund finde ich diese Wertung zu hart.
Ich vermute, dass der Verein gegründet wurde, weil eben ein komerzielles Interesse wie es bei anderen Sportportalen der Fall ist, nicht angestrebt werden sollte.
Man bezeichnete sich im “Über Uns” zwar als “rein privates Projekt” (und hat diese anfängliche Bezeichnung wahrscheinlich nie aktualisiert).
Auf der anderen Seite verlinkt man “Mediadaten” und hat als Werbe-“Vermarkter”. einen “der führenden Dienstleister für die technologie-basierte Werbefinanzierung von digitalem Content” (unabhängig davon, dass tatsächlich seit Jahren keine neue Werbetätigkeit zu sehen ist).
-
@jsb:
In meinem Sprachempfinden ist ‘der Zweck heiligt die Mittel’ so im Bereich von ‘Krieg führen’, ‘unternehmerisch unmoralisch unterwegs sein’ angeordnet.
Wenn ein Verein als offizieller Betreiber ganz offensichtlich eine solche Plattform nicht verantwortungsvoll betreiben kann (und das jahrelang, wir sprechen hier nicht mehr von “temporären” Privatprioritäten), dann sollte er aufgelöst werden. Oder es ist zu hoffen, dass sich ein anderes Projekt mit entsprechender Plattform konstituiert.
Unabhängig von Altruismus und Idealismus sollte es eine Grenze geben, bis zu der jemand (hier: ein Verein als Rechtsträger) als Verantwortlicher in der Öffentlichkeit seine Dienste anbietet.
Ein Arzt wird auch aus dem Verkehr gezogen, der durch jahrelang nicht abgestellte Mängel seine Patienten gefährdet. Selbst wenn er der Mehrheit seiner Patienten “hilft” und sie alle ohne “Anstreben kommerzieller Interesses” bloss “ehrenamtlich” behandelt.
Was ich mit dem Satz (zugegeben überspitzt) meinte, ist das: Es gibt erfahrungsgemäss oft Reaktionen nach dem Motto “der (gute) Zweck heiligt die Zustände”, dass man aufgrund Ehrenamtlichkeit nicht so kritisch sein sollte - bzw. Kritik rundheraus “abbügeln” (einzelne Beiträge beispielsweise auch im verlinkten Thread).
-
@jsb:
Es wird keinerlei kommerzieller Nutzen aus dieser Seite gezogen - alle die hier etwas tun machen das ehrenamtlich. Vor diesem Hintergrund finde ich diese Wertung zu hart.
Ich vermute, dass der Verein gegründet wurde, weil eben ein komerzielles Interesse wie es bei anderen Sportportalen der Fall ist, nicht angestrebt werden sollte.
Man bezeichnete sich im “Über Uns” zwar als “rein privates Projekt” (und hat diese anfängliche Bezeichnung wahrscheinlich nie aktualisiert).
Auf der anderen Seite verlinkt man “Mediadaten” und hat als Werbe-“Vermarkter”. einen “der führenden Dienstleister für die technologie-basierte Werbefinanzierung von digitalem Content” (unabhängig davon, dass tatsächlich seit Jahren keine neue Werbetätigkeit zu sehen ist).
Auch Dir dürfte klar sein, dass ein Betreiben der Seite Kosten verursacht. In welcher Höhe die liegen, entzieht sich meiner Kentniss. Was ich aber weiß ist, dass Provider in der Regel für:
- Bereitstellen von Rechenleistung und Speicherplatz
- Bereitstellen von Übertragungskapazität
Endgelte in Rechnung stellen. Ich würde vermuten, dass diese über Werbeeinnahmen finanziert werden.
-
@jsb:
Auch Dir dürfte klar sein, dass ein Betreiben der Seite Kosten verursacht.
(…)
Ich würde vermuten, dass diese über Werbeeinnahmen finanziert werden.Klar - ein Verein kann dafür ja auch ein gutes rechtliches Konstrukt sein, um das abzudecken.
Hier stelle ich fest, dass die derzeitige Betreiberstruktur mit offensichtlich schon lange nicht mehr geeignet war/ist, um das Forum verantwortungsvoll zu betreiben. Das ist kein persönlicher Angriff - bzw. höchstens einer auf den Verein als Rechtsperson.
Konsequent wäre demnach entweder eine Organisations- bzw. Vereinsänderung bzw. die Einstellung des Projekts.
-
Als Moderator frage ich mich ja manchmal, warum Diskussionen mit Dir häufig so an Schärfe gewinnen - als Nutzer habe ich es gerade herausgefunden @flash_fan.
Nichts für ungut: Ich vertrete nicht den Verein!
Und: mach Dir mal keine Sorgen @murcs
-
meckern ist einfach
…und manchmal (sachlich) auch berechtigt. So wie hier bei der Datenschutzproblematik.
lass‘ dich von sowas nicht aufhalten, @jsb!
unterschreib Ich hoffe es auch, dass eine erfolgreiche Migration gelingt - und wenn einer diese treibt, dann (zumindest vor den Kulissen hier im Forum) scheint das ja jsb zu sein.
Vielen Dank dafür!
@jsb:
Als Moderator frage ich mich ja manchmal, warum Diskussionen mit Dir häufig so an Schärfe gewinnen
Häufig?
Klar, sicher gibt’s noch ein oder zwei andere Themen aus der Vergangenheit, wo das so gewesen sein mag. Aber was ausser dem Thema Saibou/Corona und Webseite ist dir denn da als “häufig” aufgefallen? (Gerne kurz stichwortartig per PM).
@jsb:
Nichts für ungut: Ich vertrete nicht den Verein!
Weiss ich, und hast du ja spätestens schon 11:59 klargestellt.
Es geht hier ja auch nicht um den Primär um den Verein - bzw. sollte es eigentlich nicht. Sondern um die Zukunftsperspektiven einer Fan-Community für Basketball-Deutschland.
-
@flash_fan okay. Das war die Moderatorensicht und die funktioniert fast immer so: Solange User nicht auffallen, ‘kennt’ man sie nicht. Fallen sie irgendwie auf, denkt man ‘so sind die immer’.
Da bist Du jetzt Opfer geworden: manchmal erreichen die Diskussionen mit Dir Schärfe. -
Tja, so ist das halt manchmal, mit dem, was man wahrnimmt…
Ich komm in mindestens vier Internetforen zu vier völlig unterschiedlichen Diskussionsthemengebieten auf vierstellige Beitragszahlen. Ohne auch nur einmal gesperrt worden zu sein. Die Anzahl Verwarnungen für einzelne Beiträge von Moderatoren kann ich an einer Hand abzählen. Deutlich öfter habe ich ganz persönlich (als private Mitteilung und ohne konkreten Anlass) ehrliche Komplimente von Anderen zu meiner konstruktiven und entspannten Diskussionskultur bekommen.
-
Nur mal so als nicht IT Nerd
der 1 Post suggeriert ja, dass die Daten nicht sicher sind auf schoenen dunk.
Ohne gross in die Technik zu gehen; ist das so
und bitte so schreiben, dass es ein nicht ITler versteht. Erklärt ja die vermehrte Account löschen Beiträge von teilweise sehr aktiven Mitgliedern
Danke -
Ohne gross in die Technik zu gehen; ist das so
und bitte so schreiben, dass es ein nicht ITler versteht.Meines Erachtens ist es so wie im ersten Beitrag dieses Threads beschrieben.
Das Forum baut auf Standard-Software (Apache, PHP) auf, die ziemlich genau 10 Jahre alt sind und seit geraumer Zeit (Jahren) nicht mehr mit Sicherheitsaktualisierungen gepflegt werden. Sie können heute nicht mehr als sicher gelten. Als solches sind es auch deine von schoenen-dunk.de gespeicherten Daten nicht.
Was den speziellen angesprochenen Vorfall angeht, so kann ich ihn nach Abfrage von haveibeenpwned bestätigen: Ich habe meine bei schoenen-dunk.de registrierte Email-Adresse in den letzten 10 Jahren fast ausschliesslich für Aktivitäten und Registrierung rund um schoenen-dunk.de verwendet (nicht völlig ausschliesslich hier im Forum, aber ausser auf schoenen-dunk.de nur für zwei oder drei Managerspiele, die hier im Forum verlinkt waren). Sie ist gemäss haveibeenpwned tatsächlich im genannten “Hack” enthalten, und die Wahrscheinlichkeit angesichts der Umstände sehr hoch, dass das tatsächlich auf schoenen-dunk.de zurückzuführen.
Dazu gehörige Passwörter werden von Internetforen in der Regel nicht im “Klartext” gespeichert, sondern sozusagen “verschlüsselt”, als sogenannte “Hashes” (statt “passwort” könnte beispielsweise “2e2b6533a81bc15430cf65de46dc097eeb5ba70c” gespeichert werden). Die cryptographische “Idee” hinter diesen ist, dass die Forensoftware bei Anmeldung zwar überprüfen kann, ob das Passwort mit dem gespeicherten Hash übereinstimmt - aber man nicht umgekehrt vom gespeicherten Hash technisch nicht auf das Passwort zurückschliessen kann. Was davor schützen soll, dass jemand die Passwörter im Klartext erfährt.
Es ist aber nicht auszuschliessen, dass ein solcher “Rückschluss” gelingt und man die “originalen” Passwörter im Klartext herausfindet. Insbesondere wenn Passwörter mit oder gar für dieselbe E-Mailadresse woanders verwendet werden, stellt dies ein erhebliches Sicherheitsrisiko für Daten ausserhalb von Schönen-dunk.de hinaus dar.
(Man kann das beliebig weiterspinnen: Wenn ich deine Email-Adresse und dein Passwort für schoenen-dunk.de habe, probiere ich das gleiche mal bei deiner E-Mail-Adresse. Mit Zugriff auf deine E-Mail-Adresse kann ich andere Passwörter bei anderen Diensten zurücksetzen. So beispielsweise das von deinem Prepaid-Handy-Anbieter. Wenn ich mir nun eine neue SIM schicken lasse, kann ich eventuell auch dein Online-Banking-Passwort zurücksetzen, und so weiter).
-
Ich kenne mich überhaupt nicht mit dem Problem aus. Aber für alles das gleiche Passwort zu verwenden war schon immer extrem leichtsinnig.
-
-
Der Witz an der Sache - und ich verstehe diesen nicht - liegt doch vielmehr darin, dass niemand aktiv informiert wurde. Schon harter Tobak, wie ich finde.
-
Der Witz an der Sache - und ich verstehe diesen nicht - liegt doch vielmehr darin, dass niemand aktiv informiert wurde. Schon harter Tobak, wie ich finde.
Ich glaube hier liegt ein grundsätzliches Missverständniss vor:
- dass die Seite gehackt wurde, wissen wir seit Mittwoch Nacht (okay, es hätte Abend sein können)
- eine erste Stellungnahme, von uns gibt es seit Donnerstag Morgen
- gestern haben wir die Sticky Note gesetzt
- wir planen alle betroffenen User persönlich zu informieren
Der Cit0day-Leak ist seit etwas einem Monat bekannt. Die konkret betroffenen Seiten seit Mittwoch.
Das ist jetzt in der Reaktion nicht rasend schnell. Insbesondere das mit der Sticky Note habe ich etwas verbockt, weil ich den Text erst gestern schrieb. Worin begründest Du jetzt Deinen Vorwurf? Was hättest Du erwartet?
Ich möchte zu bedenken geben, dass das hier eine rein private Seite ist, die vom Ehrenamt lebt.In meiner Firma würde ich vernuten, dass wir eine öffentliche Kundenkommunikation in einem derartigen Fall vermutlich Donnerstag Abend - eher Freitag früh gehabt hätten. Dort hätten dann aber mehrere Menschen auf verschiedenen Ebenen einen gesamten Tag sich um nichts anderes gekümmert. Zudem sind wir dort - anders als hier - auf direkte Kommunikation vorbereitet.
Wie genau wäre jetzt Deine Vorstellung, wie hier hätte reagiert werden sollen? -
@all: Mal eine praxisnahe Verständnisfrage: Über wieviel Geld reden wir um das Problem zu beheben? Kann mal jemand eine Daumenschätzung für Nichttechniker abgeben? Wenn das Geld zusammenkäme, gäbe es jemanden, der dann das Problem beheben kann?
Du stellst, was für einen Nichttechniker völlig okay ist, eine sehr offene Frage. Darauf kannst Du Antworten von locker finanzierbar bis unfinanzierbar bekommen. Ich probiere eine (mehrere) Antwort zu geben:
1. Das Heilen dieser Seite, in der vorliegenden Form, ist technisch sicherlich möglich, wirtschaftlich allerdings nicht umsetzbar. Dies würde in meinem Verständniss Heilen der vorhandenen Software und hochziehen auf aktuelle Versionen der verwendeten zugrunde liegenden Pakete bedeuten. Das wären nach meiner Einschätzung mehrere Monate Arbeit (bei einem kleinen Team). Ich würde tippen, dass Du mehrere 10.000 € einsetzen müsstest. Das Ergebniss wäre unbefriedigend und aus wirtschaftlichen Erwägungen völlig untragbar
2. Eine Migration sämtlicher hier vorhandener Funktion und weitegehende Automatisierung von Prozessen. Das würde etwa folgendes beinhalten:
- Server bereitstellen
- Forumssoftware bereitstellen
- Migration der aktuellen Daten
- Bereitstellen eines Systems für die News
- Migration alter News
- News Importer
- Tabellen der Ligen
- Fernsehtermine
- Neues Design
Ich habe beim schnell Runterschreiben bestimmt Dinge vergessen. Hier würde man sicher viel auf frei verfügbare Software setzen und auf eine ähnliche Größenordnung wie oben kommen.
3. MVP (minimal viable product - die kleinste Umsetzung die möglich ist): Bereitstellung von Forensoftware ohne viel Schnickschnack. Migration der Daten. Ich denke, dass müsste man für einige Tausend Euro bekommen. Das probieren wir gerade unter Einsatz unser Freizeit.
4. wirklich nur neues Forum ohne irgendwelche Migration. Das gibt es für nahezu umsonst.
Gerade noch vergessen: Was ich super ätzend an der gesamten Situation finde ist folgendes: Gerade haben sich einige Menschen zusammengefunden, die bereit sind, Zeit zu investieren, für eine Rettung dieser Seite zu sorgen. Ich befürchte einen heftigen Einbruch der Motivation, wenn ich die Reaktionen hier sehe: Abmeldungen von alten Usern, beginnender Shitstorm von Menschen, die nur ein gering ausgeprägtes Verständniss der Situation haben, dafür aber jede Menge Meinung dazu.
Für diese Initiative kommt das jetzt leider voll zur falschen Zeit -
@jsb:
Ich glaube hier liegt ein grundsätzliches Missverständniss vor:
- dass die Seite gehackt wurde, wissen wir seit Mittwoch Nacht (okay, es hätte Abend sein können)
Seit Mittwocfh haben wir die Gewissheit, dass das so ist. Das es wahrscheinlich passiert ist, hätte man seit Anfang 2017 wissen können, als hier im Forum Benutzer über Spam auf ihre exklusive SD-Mailadresse berichteten. Darüber habe ich es ja auch im September bemerkt und Anfang November berichtet. Die Hinweise darauf wurden kleingeredet, nicht ernst genommen oder ignoriert.
Solche Ausssagen lesen sich immer so, als wäre das Problem, dass die Daten veröffentlicht worden wären. Nein, das Problem ist, dass die Daten vor Jahren schon abgeflossen und in der kriminellen Hackerszene verkauft worden sind, weil hier niemand eine Ahnung hat, wie man einen Webserver betreibt. Fangt jetzt bitte nicht wieder an, das Thema kleinzureden. “Wir wissen es seit Mittwoch und haben sofort reagiert” Bullshit. Wer auch immer für den Betrieb (nicht Moderation!) des Servers verantwortlich ist, hat ein Jahrzehnt seinen Job nicht gemacht. Das ist das Problem. Ahnungslosigkeit ist keine Ausrede!
-
Ich möchte mich zunächst mal bedanken bei allen, die dieses Forum seit Jahren am (technischen) Leben erhalten und moderieren. Ich denke, man sollte nicht vergessen, dass dies alles ehrenamtlich in der Freizeit passiert. Und vielen Dank an das Team, das gerade an einer Lösung arbeitet.
Natürlich ist es ärgerlich, wenn Daten gestohlen worden sind. Jeder sollte nun in sich gehen, ob er das gleiche Passwort nochmal verwendet hat, und dies schleunigst ändern. Vielleicht ein Anlass, seine Passwortstrategie nochmal zu überdenken.
Zu den oben aufgeführten Alternativen: Für mich wäre es ok, wenn man ein ganz neues Forum ohne Datenhistorie aufmacht, wenn dies die günstigste Lösung wäre. Aber zunächst drücke ich dem Team die Daumen, dass die aktuellen Bemühungen erfolgreich sind.
Und auch wenn ich derzeit nicht so aktiv bin, da ich wenig bewegtes sehe: Meinen Account würde ich gerne behalten. -
Um mal meinen Ausbruch von eben zu erklären und wiedser auf versöhnlich zu schalten: Es ist wichtig, die Problemursache anzuerkennen und sich nicht rauszureden. Nur dann kann man das Problem bei einem Neustart wirklich beheben. Es geht nicht darum, irgendwen an den Marterpfahl zu stellen. Aber man muss sich klar machen und eingestehen, was schiefgelaufen ist, um es beim nächsten Mal besser machen zu können.
-
Also dass das hier nicht der sicherste Ort der Welt ist dürfte ziemlich klar sein und das auch schon lange. Meine sofortige Sorge ist SD zu verlieren weil keiner mehr Bock hat sich darum zu kümmern und schon gar nicht auch noch was scheissviel Arbeit macht beschimpfen zu lassen.
Ich mag SD, ich mag auch wie es funktioniert, ich habe auch keine technische Schwierigkeiten beim zitieren etc. Mir gefällt es besser als die Standard-Foren. Ich mag auch mal in alten Daten/ Aussagen suchen. Vor allem in meinem eigenen Wahnsinn btw. Mir würde SD sehr fehlen. (Auch wenn früher alles besser war, als es noch Puckis, Wahrheiten und Meckerecken gab…:)
Ich hoffe diejenigen die sich aktuell kümmern schaffen es genug Energie aufzubringen das irgendwie fortsetzen, natürlich mit einem akzeptablen Maß an Sicherheit. Ich beschäftige mich halt gerne mit Basketball und freue mich zu lesen wie andere Menschen den Kram so sehen. Es ist des Fan-Seins. Wirklich das allerletzte was mir hier einfallen würde wäre Kritik an dem was hier und wie es hier passiert. #justsayin -
@jsb:
… Wer auch immer für den Betrieb (nicht Moderation!) des Servers verantwortlich ist, hat ein Jahrzehnt seinen Job nicht gemacht. Das ist das Problem. Ahnungslosigkeit ist keine Ausrede!
Ich habe da mal etwas vom Zitat abgeschnitten. Aber hier macht niemand seinen Job. Das ist Freizeit, Ehrenamt, Hobby oder was auch immer. Hier ist auch nichts seltenes oder unvorstellbares passiert. Das gehört leider zum Internet wie die nicht erfolgreiche Zustellung von Paketen durch DHL. Ja, unschön ist beides und im Nachhinein hätte man es sowieso verhindern können. Ja, ich sehe auch, dass hier viele Fehler sehenden Auges begangen wurden. Die Platform linkedin hat den Diebstahl der Userdaten aus „Ermittlungstaktischen Gründen“ monatelang verheimlicht. Auf diese einmal-Adresse habe ich Tausende SPAM-emails bekommen. Das ist für mich nicht professionell. Sagen wir es kurz, ich glaube meine Anspruchshaltung ist hier nicht so hoch wie deine.
@jsb ich freue mich hier über jeder Verbesserung.
-
Wäre es nicht am ressourcenschonendsten (zeitlich und monetär), dieses Forum einfach vollständig zu schließen und als Archiv (ohne Möglichkeit weiterhin zu posten) so stehen zu lassen und dann parallel ein Standardforum neu zu starten?
Ich glaube, die Wachstumsschmerzen bei so einem harten Cut wären geringer als man jetzt vielleicht denkt. -
Kurze Verständnisfrage von einem IT-Laien: Ich habe bei schoenen dunk eine email Adresse verwendet, die ich nur hier und in zwei anderen Foren benutze (das Passwort ist nur hier gültig). Ich habe noch keinen Spam o.ä. bekommen, aber habe vorsichtshalber in den beiden anderen Foren die email Adresse geändert, das heißt, die email Adresse ist nur noch für schönen dunk relevant. Ohne das Problem (oder gar IT Sicherheit im Allgemeinen) kleinreden zu wollen: Aber da kann mir doch eigentlich nichts passieren, außer das ich vielleicht irgendwelchen Spam in einen email Account bekomme, den ich eh nicht benutze?
-
Kurze Verständnisfrage von einem IT-Laien: Ich habe bei schoenen dunk eine email Adresse verwendet, die ich nur hier und in zwei anderen Foren benutze (das Passwort ist nur hier gültig). Ich habe noch keinen Spam o.ä. bekommen, aber habe vorsichtshalber in den beiden anderen Foren die email Adresse geändert, das heißt, die email Adresse ist nur noch für schönen dunk relevant. Ohne das Problem (oder gar IT Sicherheit im Allgemeinen) kleinreden zu wollen: Aber da kann mir doch eigentlich nichts passieren, außer das ich vielleicht irgendwelchen Spam in einen email Account bekomme, den ich eh nicht benutze?
Same for me und korrekt.Deshalb kann ich die Account-lösch Welle hier auch nicht vollumfänglich nachvollziehen. Schade eigentlich …Das einzig positive darin ist, dass man evtl. so zu einer schnelleren, für alle verbesserten Lösung kommt.
-
Wäre es nicht am ressourcenschonendsten (zeitlich und monetär), dieses Forum einfach vollständig zu schließen und als Archiv (ohne Möglichkeit weiterhin zu posten) so stehen zu lassen und dann parallel ein Standardforum neu zu starten?
Ich glaube, die Wachstumsschmerzen bei so einem harten Cut wären geringer als man jetzt vielleicht denkt.Das ganze alte Geraffel wäre aber weiterhin da mit allen Risiken, die über den Verlust von persönlichen Daten hinausgehen. Das erscheint mir eher die zweitbeste Wahl zu sein.