Ubuntu Foren gehackt: über 1,5 Millionen Nutzer betroffen
von caschy | 37 Kommentare
Das bekannte Ubuntu Forum unter ubuntuforums.org wurde gehackt. Das Forum beherbergt mittlerweile über 1,5 Million angemeldete Benutzer, diese suchen im Forum des Ubuntu-Anbieters Canonical nach Rat oder geben Hilfe. Nun gab man bekannt, dass man gehackt wurde. Die Einbrecher gelangten an die Kombination aus Benutzernamen, E-Mail-Adresse und Passwort.
Man teilt mit, dass die Passwörter nicht als Klartext vorliegen, dennoch soll man bei Diensten, bei denen man die identische Kombination aus Mail-Adresse und Passwort verwendet, sein Passwort ändern. Das Forum wurde erst einmal vom Netz genommen, laut Canonical sind Dienste wie der Cloudspeicher Ubuntu One nicht betroffen. Finde ich persönlich sehr schade, dass es eine der wichtigsten Anlaufstellen im Netz getroffen hat, wenn es um Ubuntu geht. Hätte gedacht, dass man gerade vor dem Open Source-Gedanken Halt macht.
Wird geladen ...
Der letzte Satz ist der wichtigste: „Hätte gedacht, dass man gerade vor dem Open Source-Gedanken Halt macht.“ 🙁
der letzte satz ist das naivste was ich seit langem gelesen habe hrhrhr klingt wie „also das man kinder schändet. hätte ich nicht gedacht denn die sind doch unschuldig… oder „also das man robbenbabys schlachtet hätt ich nicht gedacht wo doch gerade die so süss sind… geiler letzter satz wirklich 😉
Ja, da fragt man sich, wie naiv der Autor ist – Hacker sind eben keine Robin Hoods, sondern knallharte Kriminelle.
Die Email-Adressen sind leider richtig viel Geld Wert und meistens der einzige Grund warum so etwas gemacht wird. Eventuelle Passwörter sind für den „Hacker / ScriptKiddy“ nur ein Bonus, den er in Extraspaß oder -geld verwandeln kann.
In diesem Fall wird die Tage sicher eine nette Spamwelle losgehen.
Was mich viel mehr ärgert ist, dass die Forenbetreiber die Emailadressen nicht genau wie Passwörter hashed + salted ablegen. Newsletter muss man nicht in der Forensoftware integriert haben und für eine „Passwort vergessen Funktion“ muss der User seine Emailadresse eingeben. Und Emailbenachricgtigung zu Beiträgen muss dann vom Nutzer ebend als Opt-in erst aktiviert werden, mit dem Hinweis das die Emailadresse dann ungeschützt gespeichert wird.
Bis dahin bleibt wohl nur eine eigene Domain um für jede Seite / Forum auch eine eigene Emailadresse zu Hand zu haben. Nur so lässt sich die Quelle der zugespamten Mailaqdresse erkennen und geziehlt abdrehen.
Das hat mit Naivität nichts zu tun. Es ist einfach die Aussage, dass ich es schade finde. Interpretieren will gelernt sein. Dass Kriminelle mit den Daten was anfangen können und die Daten etwas wert sein könnte, darüber brauchen wir hier nicht diskutieren. Ich finde es halt schade. Jeder „normale Hacker“ hätte über das Loch informiert. Hier geht es auch nicht um meine Sicht der Dinge, sondern die News, die euch informieren soll, denn auch von euch haben dort einige ein Konto.
lol, ganz schön naiv wer denk dass Hacker vor Open Source Projekten halt machen… Hacker sind eben keine Robin Hoods des Internets! Übrigens auch Anonymous sind keine Robin Hoods! Bei all diesen geht es um kriminelle Machenschaften und Geld!
Wenn jemand – was in vielen Foren vorkommt – von oben herab beleidigt wurde oder abfällig behandelt fühlt, dann wird so eine Person nicht wegen des Open Source-Gedanken haltmachen, wenn er sich auf diese Art an dem Forum rächen will, von dem nichts hält, weil es ihn oder zumindest die entsprechenden Moderatoren anwidert.
Nun ja, die Frage ist wer gehackt hat. Angenommen, der normale Hacker würde wirklich OS nicht hacken, bedeutet dies nicht, daß es nicht gehackt werden würde. Denn immerhin gibt es noch kommerzielle Firmen, die Konkurrenzsoftware verkaufen und ein Interesse hätte die OS-Konkurrenz als fehlerhaft dastehen zu lassen.
Sie nutzen vBulletin 4.2.0 obwohl schon vBulletin 4.2.1 verfügbar ist.
Siehe auch: http://www.vbulletin-germany.com/forum/showthread.php/61370-vBulletin-4-2-1-verfügbar
Bei dem ganzen Zoo von Benutzeraccounts weiss ich beim besten Willen nicht mehr, ob ich mir Sorgen machen sollte. Ich vermute ja, denn der Name kommt mir bekannt vor. Auch wenn ich in letzter Zeit fast nur noch stackoverflow, serverfault und askubuntu benutzt habe. Charmant ist da die Authentifizierung gegen Google.
Mhmm… es gibt keine pub Vuln für vBUlletin 4.2.0 – entweder die Plugins, nen unfähiger Admin oder ne unbekannte vuln.
@ caschy:
„Hätte gedacht, dass man gerade vor dem Open Source-Gedanken Halt macht.“
Der Satz davor sagt aus, dass du es schade findest, klar. Aber das „Hätte gedacht …“ drückt eine gewisse Naivität aus – unabhängig davon, ob es von dir so gemeint war –, und da gibt es auch keinen Interpretationsspielraum.
Man ist zwar immer wieder überrascht, dass Menschen „so etwas“ tun, das geht vermutlich den meisten von uns so. Macht man jedoch die Augen auf und schaut sich ein wenig in der Welt um, wird einem sofort klar, dass es immer schlechte Menschen gab, gibt und geben wird. So traurig das auch sein mag, es ist Fakt.
„vor dem Open Source-Gedanken Halt macht“?!? — naja, mit Canonical stehen hinter Ubuntu nicht weniger handfeste kommerzielle Geschäftsinteressen als Microsoft, Oracle oder auch Google sie vertreten — insofern lässt dieser Satz zunächst mal schon eine gewisse Naivität vermuten; auch wenn ich als jahrelanger Leser dieses Blogs dies kaum glauben kann, dass der Autor tatsächlich so naiv sein könnte. Dann mit einem abfälligen „Interpretieren will gelernt sein“ zu antworten, macht es nicht besser — im Gegenteil! Und wenn es nicht um die Sicht der Dinge des Autors, sondern nur um die News ansich geht, war diese letzte Satz so überflüssig wie deplaziert; ich weiß: in typischen „Blogs“ verschwimmen die verschiedenen journalistischen Formen wie „Nachricht“, „Meinung“ und „Kommentar“ — das ist gewollt und gut so. Ebenso gut und gewollt ist die Beteiligung der Leser … dann aber muss man sich auch mal gefallen lassen, dass man eins auf die Mütze bekommt, wenn man etwas schreibt, das ganz offensichtlich so zu interpretieren ist, wie es passiert ist. Wenn das nicht „gewünscht“ ist, muss es so formuliert werden, dass es nicht falsch interpretiert werden kann. Schade, dass auch hier jetzt die dummen Leser als die Buhmänner hingestellt werden, anstatt einen offensichtlichen Fehler zuzugeben und/oder richtig zu stellen …
@Björn: Meine Meinung ist also ein Fehler? Du musst Sorgen haben. Geh mal lieber n bisschen raus in die Sonne und genieß den schönen Tag 🙂 Und Leser stelle ich nicht als Buhmänner hin, nur die, die meinen, meine Aussage zu ihren Gunsten verdrehen zu können um von der Hauptnews abzulenken. Es geht um den Hack und um nichts anderes. Alles Weitere ist vergeudete Lebenszeit, da diese Diskussion null bringt. Weder für mich, noch für dich. Das Ganze ist Kritik an einer Meinung und nicht an Fakten.
Naja sagen wir mal so, es ist schon mehr als Überraschend das jemand das Ubuntuforum hackt. Auch wenn es eine Firma ist die dahinter steht, hat sie afaik nicht wirklich feinde. Ist so zusagen eine der „Guten“. Auch hat man sich durch diese Aktion einen ziemlich starken Feind gemacht. Und zwar nicht weil das Unternehmen so mächtig ist, aber eben die Community.
@ caschy:
Nenene, jetzt betreibst du aber Wortklauberei und führst deine eigenen Aussagen ad absurdum. Björn hat ziemlich objektiv die Sache auf den Punkt gebracht. Das ganze ist mitnichten Kritik an deiner Meinung, sondern Kritik an der irreführenden Ausdrucksweise. Wenn du das anders sehen möchtest, können wir es nicht ändern. Aber was solls, nehmen wir es einfach mal so hin, die „Bösen“ zu sein.
tja …
„Geh mal lieber n bisschen raus in die Sonne und genieß den schönen Tag“
… das ist genau das, was ich mit Leserbeschimpfung meine.
@Tchooe: „Aber was solls, nehmen wir es einfach mal so hin, die „Bösen“ zu sein.“ Genau – fühl dich angesprochen.
@Björn Winkler: Sorry, das habe ich in der Tat so gemeint, wie ich es geschrieben habe. Wenn ich dich für einen Depp halten würde, hätte ich dir es genau so gesagt. Stattdessen wünsche ich dir ernstgemeint einen guten Tag und du bezichtigst mich einer Beschimpfung? Das ist traurig, ehrlich.
Oje, jetzt wird es aber sehr absurd: die „Empfehlung“, an die Sonne zu gehen, war nicht ironisch-sarkastisch gemeint?! Dann werde ich diesen Rat jetzt tatsächlich beherzigen …
😉
@Björn: ne, war so gemeint, wie geschrieben. Kommt gut, lenkt ab – schreibe ja selber gerade aus dem Garten. Aber wie gesagt: war für mich der Kommentar des Tages und mal wieder ein schönes Zeichen, wie manche Leute Texte deuten.