Thema: vBulletin-Sicherheitslücke: 9,1 Millionen Steam Keys von DLH.net kopiert

vBulletin-Sicherheitslücke
9,1 Millionen Steam Keys von DLH.net kopiert
Die Webseite DLH.net wurde gehackt und Millionen Nutzerdaten kopiert - schuld war offenbar eine bekannte Sicherheitslücke im vBulletin-Forum. Es ist nicht das erste Mal, dass diese Sicherheitslücke ausgenutzt wird.

Einem Angreifer ist es gelungen, durch Ausnutzen einer Sicherheitslücke auf der Seite DLH.net rund 9,1 Millionen Steam-Keys zu entwenden, wie ZDnet berichtet. Der Hack wurde offenbar schon am 31. Juli durchgeführt, aber erst jetzt bekannt. Bei DLH.net gibt es spielerelevante News, außerdem ein Forum zum Austausch über Spiele, Cheats und Tipps.

Das Forum gibt Spielern offenbar auch die Möglichkeit, Steam-Keys zum Aktivieren von Spielen auszutauschen. Unklar ist, ob alle 9,1 Millionen Steam-Keys noch gültig sind. Das Forum hat rund 3,3 Millionen Unique-User.

Gleicher Angreifer wie beim Dota2-Forum

Der Angreifer, der auch für den Hack des Dota2-Forums verantwortlich sein soll, das ebenfalls auf der vBulletin-Software basiert, hat jetzt Zugriff auf die Nutzernamen, Vor- und Zuname, gehashte Passwörter, E-Mail-Adressen, Geburtstage, Anmeldedatum und die Avatare. Außerdem sollen sich unter den Daten auch Zugangsdaten für die Spieleplattform Steam befinden, inklusive Informationen über die Aktivität der Nutzer. Wer sich per Facebook angemeldet hat, von dem sind auch die Zugangstoken kopiert worden.

ZDnet zitiert die Seite Leakedsource.com mit der Angabe, dass bereits 84 Prozent der verwendeten Passwörter im Klartext vorlägen, weil die Betreiber die Informationen mit dem unsicheren Hashing-Algorithmus MD5 ablegen würden. Einige Passwörter würden hingegen mit SHA1 gehasht und seien somit nicht trivial zu knacken. Wieso die Seite die Passwörter in unterschiedlichen Formaten vorhält, ist unklar.

Eine Stellungnahme von DLH.net liegt derzeit nicht vor. Weder auf der Webseite noch im Forum finden sich derzeit Warnungen an die Nutzer. Wir werden den Artikel aktualisieren, wenn sich Neuerungen ergeben.

golem

Und deine Lösung ist also auf Foren zu verzichten? Also nur noch 100℅ statische Webseiten im Netz?

Und das szenebox auch ein Forum ist weisst du oder?

Und Twitter, FB, G+ ... alles auch Foren im weiteren Sinne. Und eben, andere Seiten mit ner DB dahinter sind genau so anfällig. Also fast jede modernere Seite selbst Google.

Du meinst vielleicht, dass Forenbetreiber keine verbreitete Forensoftware nutzen sollten, sondern lieber was eigenes coden.
Aber auch das kann man so nicht verallgemeinern. Unbedeutende Foren die keine "Feinde" haben fahren mit was eigenem sicher besser, da sich keiner die Mühe macht Exploits zu suchen. Aber grosse Seiten oder solche die oft angegriffen werden sollten eher auf was verbreitetes setzen, solange sie regelmässig updaten. Denn zu glauben, dass man was sichereres stabileres als die grossen Forensoftwares hinkriegt ist meist eine illusion, ausser man hat ein ganzes Team das sich um die Entwicklung und den Support der eigenen Forensoftware kümmert.

Jetzt stellt euch mal vor, SZB, mygully und alle boersen würden auf ein Forum setzen. ^^

Na klar, Postkartensammelgruppen mit monatlichen Stammtischtreffen.

ZDNet Artikel ist falsch - DLH.Net wurde nicht gehackt!

Dirk (19. August 2016 12:59 )


Der Gestern von einem Idioten namens Zack Whittaker auf ZDNet veröffentlichte Artikel entbehrt jeder Grundlage. DLH.Net wurde weder gehackt, noch wurden Userdaten oder gar Steam Keys gestohlen. Es macht auch wenig Sinn bereits eingelöste Steam-Keys zu klauen.

ZDNet Artikel ist falsch - DLH.Net wurde nicht gehackt!News | DLH.NET The Gaming People