Chip Magazin: Foren wurden gehackt, Daten vielleicht gestohlen
Das Magazin Chip teilt gerade in einer Rundmail mit, dass deren Forum gehackt wurde – oder wie man es sagt „ein unberechtigter Dritter hat sich Zugriff verschafft“. Deshalb wurde das Forum abgeschaltet und „unabhängige Experten“ mit der Untersuchung des Angriffs beauftragt. Bis der genaue Angriffs-Weg nachvollzogen und die ausgenutzte Sicherheitslücke behoben ist, ist das Forum nur noch lesend erreichbar.
Nun kommt es: man weiss nicht, ob überhaupt Nutzerdaten entwendet wurden. Diese Meldung ist eine Vorsichtsmaßnahme für die angemeldeten Benutzer. Es ist jedoch nicht auszuschließen, dass E-Mail-Adressen und verschlüsselte Passwörter (so genannte Passwort-Hashes) entwendet wurden.
Wie man bei Chip absichert, teilt man nicht mit, so heißt es doch recht nebulös „Der Angreifer könnte mithilfe der Passwort-Hashes schwache User-Passwörter entschlüsseln.“
Klare Empfehlung: Nutzer, die dasselbe Passwort auch bei anderen Diensten verwenden, sollten dieses bei den anderen Diensten umgehend ändern. Die User des Forums müssen ihr Passwort beim nächsten Login zurücksetzen, wie man in der Mail weiterhin mitteilt. Chip teilt auch mit, dass man – sofern man möchte, seinen Account per Mail löschen lassen kann: „Möchtet ihr euren Account löschen lassen, schreibt bitte in den Betreff der E-Mail „Löschen“. Als Mailinhalt schreibt bitte euren Usernamen dazu.
Interessant, wie man mal wieder Hashing mit Verschlüsselung durcheinanderwürfelt.
Hab auch ne Mail bekommen. Jetzt weiß ich immerhin (wieder), dass ich dort registriert bin.
Das klingt irgendwie danach, als hätte man auf Salts beim Generieren der Passwort-Hashes verzichtet. Warum machen das so große Seiten in der heutigen Zeit noch? Es ist so einfach wie effektiv. Aber wahrscheinlich kam hier auch noch ein MD5 Hash zur Anwendung -.-
cerberus, Posteo (eventuell bzw. vertuscht) jetzt Chip – wat is da los?
„Aufgrund dringender Wartungsarbeiten ist ein Login zur Zeit leider nicht moeglich“ – Danke Chip – das ist genau das Gegenstück zu dem, was man in solchen Fällen eigentlich machen sollte… Den Nutzern komplett verbieten auch nur irgendwas an den Accountdaten zu ändern…
;D ich wette da werden einige leute einen Heidenspaß haben den Chip-Leuten mit PHP-Fakemailern mails zu senden 😀
Als Tipp: Es gibt Seiten, auf denen man zwar sein Passwort prüfen kann, ob es in einer Hackerdatenbank unverschlüsselt vorliegen hat.. aber leider gibt es unter denen auch schwarze Schafe, wo genau in dem Moment die Datenbank mit deinem Passwort bestückt wird, wenn es eine unseriöse Seite zum Checken ist.
Gruß, Jascha
@Timo: Ging mir genauso 🙂
@ Konstantin: In der Mail ist eine Erklärung:
„Deshalb wurde das Forum sofort abgeschaltet und unabhängige Forensik-Experten mit der Untersuchung des Angriffs beauftragt. Bis der genaue Angriffs-Weg nachvollzogen und die ausgenutzte Sicherheitslücke behoben ist, arbeiten die Systeme in einem sicheren Read-Only-Modus. Die Anmeldung am System ist so lange nicht möglich.“
So langsam macht das onlin sein keinen Spaß mehr. Es vergeht doch keine Woche in der nicht irgendeine Seite gehackt wurde. Schöne Internetwelt vor ein paar Jahren, als es man noch nicht alle paar Tage irgendwo sein PW deswegen ändern mußte. Zeigt aber auch, wie lässig es viele Betreiber mit der Sicherheit nehmen. Warten bis was passiert und dann einen auf „Wir haben jetzt die Sicherheit um 100% erhöht“. Nur 100% von wenig ist immer noch nicht viel 🙂
Ich wünsche der Chip nen richtig schönen Imageschaden. Die sind einfach die allerletzten.
@Fells – Können Datenbanken keinen Login im Read-Only-Mode ermöglichen? – Ich mein – was wird da groß geändert, außer der „last login“ string?
Die Chip entwickelt ihre Foren-Software aber nicht selber – insofern. Dürfte ja ein vBulletin sein, wenn ich mich richtig erinnere.
@beckmannsblog Sag mal. Was bist denn Du für einer? Einen solchen Kommentar abzulassen ist ja wohl unterste Schublade. Ganz egal wie man zu „denen“ steht: Irgendjemandem aufgrund eines technischen Schadens einen generellen Schaden zu wünschen ist voll daneben. Wundern muss man sich natürlich schon, dass „denen“ das passiert.
Also: Ich lästere hier jetzt auch nicht über die auf deiner Seite als Datenmüll eingebundenen YouTube-Videos. Das ist echt nicht mein Stil. Ich bin totaaal cool. Wobei ich schon der Meinung bin, dass das Einbetten von YouTube-Videos nicht all zu schwierig ist. Trotzdem wünsche ich Deinem kleinen sympathischen Blog „superviel Erfolg“ und ganz ganz viel „Imagegewinn“.
wenigstens haben die die User gewarnt.
mann ihr als absolute PC und hardware spezialiesten ,euch passiert so ein mist
ihr seit wie der ADAC.
Ahnung von allen haben wollen, aber dann sowas.
dattttttttttt geht nicht ,hann nicht sein.
ich machs balt wie die Buschmänner mit nen seil durch die luft wirbeln Buschfunk.
Chip hat halt auch ganz schön nachgelassen. Früher gingen sie noch so halbwegs, mittlerweile… Preloader, teilweise hoffnungslos veraltete Downloads, obwohl neuere Versionen einer Freeware existieren, teilweise auch kaputte Downloads…. war schon richtig, dass ich die Seite nicht mehr wirklich besuche.
Irgendwie sinkt auf den meisten deutschen IT-Fachseiten mittlerweile die Berichterstattung und Qualität auf CB-Niveau, inklusive großer Seiten wie Heise. Schade drumm, aber nicht zu ändern.
Ist die Mail selbst ein Fake? Allerdings ist eine Anmeldung im Forum wirklicht nicht möglich…
Ist der eine angegebene Link zu einer FAQ-Seite irgendwie nicht sauber?
Diverse Scanner melden nichts.
Dann kann man nur hoffen, dass der Datenklau nicht dramatisch war
@Imagegewinn Falls du einen Screenshot brauchst, der deine Aussage vollends untermauert, nimm diesen Screenshot: http://i.imgur.com/RCGn0mx.png (kommt aus seinem blog…)
Seit Jahren nicht mehr in dem CHIP-Board gewesen…
Irgendwie froh über die Informationspolitik seitens Chip, andererseits ist der komplette Lockdown kontraproduktiv, da ich so nicht mehr eruieren kann, was ich dort für login-daten verwendet habe:( damn…
“unabhängige Experten” – ich wusste immer das es bei CHIP selber gar keine Experten gibt .. 😀
Fake? Hab auch ne Mail angeblich von Chip bekommen, aber in keinem Passwortmanager einen Account von denen.
@Timo
Ging mir auch so.
War mir gar nicht mehr bewusst, dass ich da noch einen Account habe, der muss uralt sein :).
Ich hab die Mail auch auf 2 meiner Email Adressen bekommen,wobei ich zumindest bei einer von beiden 100 % sicher bin,dass mich mit dieser niemals bei Chip registriert hätte…bzw. Wäre es mir neu ,dass ich mich überhaupt in dem Forum angemeldet habe! Sehr komisch das ganze…?! Gehts irgendjemandem genauso?