Ubuntu Foren gehackt: über 1,5 Millionen Nutzer betroffen

Das bekannte Ubuntu Forum unter ubuntuforums.org wurde gehackt. Das Forum beherbergt mittlerweile über 1,5 Million angemeldete Benutzer, diese suchen im Forum des Ubuntu-Anbieters Canonical nach Rat oder geben Hilfe. Nun gab man bekannt, dass man gehackt wurde. Die Einbrecher gelangten an die Kombination aus Benutzernamen, E-Mail-Adresse und Passwort.

ubuntulogo

Man teilt mit, dass die Passwörter nicht als Klartext vorliegen, dennoch soll man bei Diensten, bei denen man die identische Kombination aus Mail-Adresse und Passwort verwendet, sein Passwort ändern. Das Forum wurde erst einmal vom Netz genommen, laut Canonical sind Dienste wie der Cloudspeicher Ubuntu One nicht betroffen. Finde ich persönlich sehr schade, dass es eine der wichtigsten Anlaufstellen im Netz getroffen hat, wenn es um Ubuntu geht. Hätte gedacht, dass man gerade vor dem Open Source-Gedanken Halt macht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

40 Kommentare

  1. Wolfgang Hofbauer says:

    Der letzte Satz ist der wichtigste: „Hätte gedacht, dass man gerade vor dem Open Source-Gedanken Halt macht.“ 🙁

  2. der letzte satz ist das naivste was ich seit langem gelesen habe hrhrhr klingt wie „also das man kinder schändet. hätte ich nicht gedacht denn die sind doch unschuldig… oder „also das man robbenbabys schlachtet hätt ich nicht gedacht wo doch gerade die so süss sind… geiler letzter satz wirklich 😉

  3. Ja, da fragt man sich, wie naiv der Autor ist – Hacker sind eben keine Robin Hoods, sondern knallharte Kriminelle.

  4. Die Email-Adressen sind leider richtig viel Geld Wert und meistens der einzige Grund warum so etwas gemacht wird. Eventuelle Passwörter sind für den „Hacker / ScriptKiddy“ nur ein Bonus, den er in Extraspaß oder -geld verwandeln kann.

    In diesem Fall wird die Tage sicher eine nette Spamwelle losgehen.

    Was mich viel mehr ärgert ist, dass die Forenbetreiber die Emailadressen nicht genau wie Passwörter hashed + salted ablegen. Newsletter muss man nicht in der Forensoftware integriert haben und für eine „Passwort vergessen Funktion“ muss der User seine Emailadresse eingeben. Und Emailbenachricgtigung zu Beiträgen muss dann vom Nutzer ebend als Opt-in erst aktiviert werden, mit dem Hinweis das die Emailadresse dann ungeschützt gespeichert wird.

    Bis dahin bleibt wohl nur eine eigene Domain um für jede Seite / Forum auch eine eigene Emailadresse zu Hand zu haben. Nur so lässt sich die Quelle der zugespamten Mailaqdresse erkennen und geziehlt abdrehen.

  5. Das hat mit Naivität nichts zu tun. Es ist einfach die Aussage, dass ich es schade finde. Interpretieren will gelernt sein. Dass Kriminelle mit den Daten was anfangen können und die Daten etwas wert sein könnte, darüber brauchen wir hier nicht diskutieren. Ich finde es halt schade. Jeder „normale Hacker“ hätte über das Loch informiert. Hier geht es auch nicht um meine Sicht der Dinge, sondern die News, die euch informieren soll, denn auch von euch haben dort einige ein Konto.

  6. lol, ganz schön naiv wer denk dass Hacker vor Open Source Projekten halt machen… Hacker sind eben keine Robin Hoods des Internets! Übrigens auch Anonymous sind keine Robin Hoods! Bei all diesen geht es um kriminelle Machenschaften und Geld!

  7. Linux Mint says:

    Wenn jemand – was in vielen Foren vorkommt – von oben herab beleidigt wurde oder abfällig behandelt fühlt, dann wird so eine Person nicht wegen des Open Source-Gedanken haltmachen, wenn er sich auf diese Art an dem Forum rächen will, von dem nichts hält, weil es ihn oder zumindest die entsprechenden Moderatoren anwidert.

  8. Nun ja, die Frage ist wer gehackt hat. Angenommen, der normale Hacker würde wirklich OS nicht hacken, bedeutet dies nicht, daß es nicht gehackt werden würde. Denn immerhin gibt es noch kommerzielle Firmen, die Konkurrenzsoftware verkaufen und ein Interesse hätte die OS-Konkurrenz als fehlerhaft dastehen zu lassen.

  9. Linux Mint says:

    Sie nutzen vBulletin 4.2.0 obwohl schon vBulletin 4.2.1 verfügbar ist.

    Siehe auch: http://www.vbulletin-germany.com/forum/showthread.php/61370-vBulletin-4-2-1-verfügbar

  10. Bei dem ganzen Zoo von Benutzeraccounts weiss ich beim besten Willen nicht mehr, ob ich mir Sorgen machen sollte. Ich vermute ja, denn der Name kommt mir bekannt vor. Auch wenn ich in letzter Zeit fast nur noch stackoverflow, serverfault und askubuntu benutzt habe. Charmant ist da die Authentifizierung gegen Google.

  11. Mhmm… es gibt keine pub Vuln für vBUlletin 4.2.0 – entweder die Plugins, nen unfähiger Admin oder ne unbekannte vuln.

  12. @ caschy:
    „Hätte gedacht, dass man gerade vor dem Open Source-Gedanken Halt macht.“

    Der Satz davor sagt aus, dass du es schade findest, klar. Aber das „Hätte gedacht …“ drückt eine gewisse Naivität aus – unabhängig davon, ob es von dir so gemeint war –, und da gibt es auch keinen Interpretationsspielraum.

    Man ist zwar immer wieder überrascht, dass Menschen „so etwas“ tun, das geht vermutlich den meisten von uns so. Macht man jedoch die Augen auf und schaut sich ein wenig in der Welt um, wird einem sofort klar, dass es immer schlechte Menschen gab, gibt und geben wird. So traurig das auch sein mag, es ist Fakt.

  13. „vor dem Open Source-Gedanken Halt macht“?!? — naja, mit Canonical stehen hinter Ubuntu nicht weniger handfeste kommerzielle Geschäftsinteressen als Microsoft, Oracle oder auch Google sie vertreten — insofern lässt dieser Satz zunächst mal schon eine gewisse Naivität vermuten; auch wenn ich als jahrelanger Leser dieses Blogs dies kaum glauben kann, dass der Autor tatsächlich so naiv sein könnte. Dann mit einem abfälligen „Interpretieren will gelernt sein“ zu antworten, macht es nicht besser — im Gegenteil! Und wenn es nicht um die Sicht der Dinge des Autors, sondern nur um die News ansich geht, war diese letzte Satz so überflüssig wie deplaziert; ich weiß: in typischen „Blogs“ verschwimmen die verschiedenen journalistischen Formen wie „Nachricht“, „Meinung“ und „Kommentar“ — das ist gewollt und gut so. Ebenso gut und gewollt ist die Beteiligung der Leser … dann aber muss man sich auch mal gefallen lassen, dass man eins auf die Mütze bekommt, wenn man etwas schreibt, das ganz offensichtlich so zu interpretieren ist, wie es passiert ist. Wenn das nicht „gewünscht“ ist, muss es so formuliert werden, dass es nicht falsch interpretiert werden kann. Schade, dass auch hier jetzt die dummen Leser als die Buhmänner hingestellt werden, anstatt einen offensichtlichen Fehler zuzugeben und/oder richtig zu stellen …

  14. @Björn: Meine Meinung ist also ein Fehler? Du musst Sorgen haben. Geh mal lieber n bisschen raus in die Sonne und genieß den schönen Tag 🙂 Und Leser stelle ich nicht als Buhmänner hin, nur die, die meinen, meine Aussage zu ihren Gunsten verdrehen zu können um von der Hauptnews abzulenken. Es geht um den Hack und um nichts anderes. Alles Weitere ist vergeudete Lebenszeit, da diese Diskussion null bringt. Weder für mich, noch für dich. Das Ganze ist Kritik an einer Meinung und nicht an Fakten.

  15. Naja sagen wir mal so, es ist schon mehr als Überraschend das jemand das Ubuntuforum hackt. Auch wenn es eine Firma ist die dahinter steht, hat sie afaik nicht wirklich feinde. Ist so zusagen eine der „Guten“. Auch hat man sich durch diese Aktion einen ziemlich starken Feind gemacht. Und zwar nicht weil das Unternehmen so mächtig ist, aber eben die Community.

  16. @ caschy:
    Nenene, jetzt betreibst du aber Wortklauberei und führst deine eigenen Aussagen ad absurdum. Björn hat ziemlich objektiv die Sache auf den Punkt gebracht. Das ganze ist mitnichten Kritik an deiner Meinung, sondern Kritik an der irreführenden Ausdrucksweise. Wenn du das anders sehen möchtest, können wir es nicht ändern. Aber was solls, nehmen wir es einfach mal so hin, die „Bösen“ zu sein.

  17. tja …

    „Geh mal lieber n bisschen raus in die Sonne und genieß den schönen Tag“

    … das ist genau das, was ich mit Leserbeschimpfung meine.

  18. @Tchooe: „Aber was solls, nehmen wir es einfach mal so hin, die „Bösen“ zu sein.“ Genau – fühl dich angesprochen.

    @Björn Winkler: Sorry, das habe ich in der Tat so gemeint, wie ich es geschrieben habe. Wenn ich dich für einen Depp halten würde, hätte ich dir es genau so gesagt. Stattdessen wünsche ich dir ernstgemeint einen guten Tag und du bezichtigst mich einer Beschimpfung? Das ist traurig, ehrlich.

  19. Oje, jetzt wird es aber sehr absurd: die „Empfehlung“, an die Sonne zu gehen, war nicht ironisch-sarkastisch gemeint?! Dann werde ich diesen Rat jetzt tatsächlich beherzigen …
    😉

  20. @Björn: ne, war so gemeint, wie geschrieben. Kommt gut, lenkt ab – schreibe ja selber gerade aus dem Garten. Aber wie gesagt: war für mich der Kommentar des Tages und mal wieder ein schönes Zeichen, wie manche Leute Texte deuten.

  21. rantanplan says:

    Gott, kann man diese Spinner als Betreiber nicht blocken? Dummschwätzer!

  22. Gibt es eigentlich eine Seite, die über gehackte Seiten informiert? Man bekommt sowas immer nur beiläufig mit. Eine solche Seite wäre eine gute Ergänzung im RSS-Reader.

  23. … hihi, ich sitze auch auf’m Balkon und kämpfe mit der Autokorrektur meines Androiden. 😉 Vielleicht ist es tatsächlich nicht gut, in der Sonne solche Metadiskussionen zu führen. Schönen Sonntag!
    🙂

  24. Es zeigt sich mal wieder in schönster Art und Weise, dass eine rein textbasierte Kommunikation – egal, wie viele Smileys man auch im Text platziert – immer extrem anfällig für Missverständnisse ist. Sobald ich als Sender voraussetze, dass der Empfänger „es schon richtig interpretieren wird“, steigt die Wahrscheinlichkeit für Missverständnisse exponentiell an, wie Björn und du ja soeben in schönster Form bewiesen habt. Björn war allerdings nicht der einzige, der deine Aussage „Du musst Sorgen haben. Geh mal lieber n bisschen raus in die Sonne und genieß den schönen Tag“ als ironisch-sarkastische Aussage interpretiert hat. Ich denke, es gibt hier mehrere Leute, die sich jetzt mal an die eigene Nase fassen müssen. Ja, auch ich.

    So, denn lass dir mal nicht zu viel Sonne auf die Mütze scheinen! 😉
    (Schon klar, auch diesen Satz kann man so und so interpretieren. Je nachdem, wie man gerade gebürstet ist.)

  25. @Haupy ist mir nicht bekannt, ausser Security-Mailinglisten.
    @Björn: na dann cheers!

  26. @Tchooe: Sitze im Schatten, von daher ist alles roger .

  27. Hi, Caschy,

    Möchte mich einfach nur für deinen Blog-Eintrag über das gehackte Ubuntu User Forum bedanken. Hatte auch keine Interpretationsprobleme mit deinem letzten Satz. 😉
    Und während in typisch deutscher (?) Manier darüber eine Grundsatzdiskussion vom Zaun gebrochen wurde, habe ich einfach den Ratschlag befolgt und meine Foren-Accounts rund um Ubuntu und Linux Mint mit einem neuen Passwort ausgestattet.
    Der Ubuntu Forums-Account muss in der Hinsicht aus nachvollziehbaren Gründen noch ein bisschen warten….
    So, nun wieder raus auf die Terrasse …

    Grüße,
    Karl

  28. der caschy wieder 😉
    vergisst es. ihr werdet es niemals erleben das caschy eine aussage zurück nimmt oder sich gar verbessern lässt. alles was er tut und tun wird ist absolut so gewollt. caschy macht keine fehler. das bestätigen ihm doch die userzahlen hier. er ist der beste.

  29. Wenn ihr mit seinen Aussagen nicht zufrieden seid, dann lest hier einfach nicht. Das hier ist kein staatlicher Nachrichtenblog. Dieser Blog ist mehr oder weniger Privat und wenn einer der Autoren hier seine persönliche Meinung schreibt, dann ist es sein gutes Recht. Finde die ganze Diskussion über den letzten Satz des Artikels total sinnlos. Scheinbar suchen einige Leute einfach nach Fehlern (ihrer Meinung nach) um etwas zum Meckern zu haben.

  30. Ist es nicht auch das Recht hier zu kommentieren? Meinungsfreiheit? Ich habe lediglich meine Meinung kundgetan, das ich die Aussage sehr naiv fand. Ist das schon zu viel? wo leben wir? China? Caschy darf selbstverständlich tun und lassen und schreiben was immer er möchte. Aber auch wir Leser haben rechte und werden diese wahrnehmen bis sie durch Zensur oder Abschaltung genommen werden.

  31. Es müssen aber nicht gleich 10 Kommentare geschrieben werden, wie falsch seine Aussage doch ist in euren Augen. Gut, dass Caschy nen dickes fell hat, er könnte den Blog ja auch dicht machen, wenn hier immer nur gegen ihn gehetzt wird. Niemand mag das.

  32. @gugelugu: Erklär mir mal das China-Ding hier, bin gerade ratlos, was du uns mitteilen möchtest.

  33. @ Phillipp Ohlandt:
    „Wenn ihr mit seinen Aussagen nicht zufrieden seid, dann lest hier einfach nicht.“
    Wie ich dieses alte Totschlagargument liebe … nicht.
    Und bitte beachte: „Hetze“ != „Diskussion“

    So, ich geh wieder raus, brutzeln.

  34. @caschy

    Er will wahrscheinlich sagen, das man hier nur eine Meinung haben darf. Und zwar die des großen Meisters. 10 Beiträge zu „ja großer Caschy das sehe ich genauso“ und alles ist gut. 10 Beiträge zu „ne also das sehe ich anders“ und die Leibgarde kommt hervor und schlägt mit ihren Waffen “ Dann geh doch, dich zwingt keiner hier zu sein, brauchst es ja nicht lesen“ die Sünder in die Flucht.

    Aber macht dir nix raus, du kannst nix dafür und auch nix dagegen machen. Bist auch nicht das einzige Blog wo es so ist. Gegen Fanbois ist man machtlos

  35. Caschy, akzeptier doch einfach, dass Dein Satz ganz schön naiv war. Sascha und Du finde ich in letzter Zeit echt anstrengend, wenn jede angebrachte Kritik sofort hier in sinnlosen Verteidigungsdiskussionen endet.

  36. Ich habe dazu ein paar Informationen verbloggt: Die Deface-Seite und in den Kommentaren ist ein Link zu einem Statement des Hackers. Er sagt selbst, dass er die DB normalerweise nicht veröffentlicht.

    http://www.1337core.de/ubuntuforums-org-gehackt-und-defaced/

  37. Christian says:

    Ich bin auch ein tagtäglicher Leser dieses Blogs und so ein bisschen muss ich dem Bernd da zustimmen. Klar, schnippisch waren die ersten drei Kommentare auf jeden Fall. Aber als Autor hier dann in eine Verteidigungshaltung zu fallen, ist meiner Meinung nach auch der falsche Weg…

  38. @Topic: Das gute an der Sache ist, dass ich dadurch mal mit meinen
    ganzen „Standard-Passwort“-Accounts aufgeräumt habe. Nervig nur dass
    so viele Services die möglichen Passwörter massiv einschränken — wenn
    man wegen der besseren Merkbarkeit gerne ganze Sätze verwendet, werden
    16 Zeichen schnell sehr knapp.

    @gugelugu: Ein Forenbetreiber hat es mal passend auf den Punkt
    gebracht: „Du darfst sagen was immer du willst, aber ich bin nicht
    verpflichtet dir mein Megaphon zu borgen.“

    Es ist halt bei der Moderation von Posts immer die Frage, wo man die
    Grenze zieht. Es gibt auch Leute die die Entfernung offener
    Beleidigungen als Verletzung der Meinungsfreiheit sehen, also wird man
    IRGENDWEM immer auf die Füße treten.

  39. Der Hammer wieder.
    Um mal bei einer der Metadiskussionen anzusetzen:
    Wo auch immer die Leute ihr ‚Fachwissen‘ über Meinugsfreiheit und Rechte als Leser herholen, denkt doch einmal nach!

    Meinungsfreiheit bedeutet, dass dir Sicherheit gegeben werden soll, keine Repressalien befürchten zu müssen, auf Grund deiner Aussage.
    Ob das gegen den Staat ist, oder nicht, der Staat hat dir diese zu geben.

    Die Rechte des Lesers eines Blogs haben damit so ‚ziemlich‘ rein gar nichts zu tun. Bitte wenigstens die Beschriftung des Fasses verstehen, was man auf macht.

    Da steht auch noch ein Fass rum, etwas angestaubt, da es hier überraschend wenig genutzt wird, dabei aber nichts an seiner Bedeutung verloren hat. Ganz schwach kann man es noch sehen, es steht seit seinem ersten Tag, wie in Granit gemeisselt, Hausrecht drauf.

    Das ist das Fass, welches du suchst.
    Lass es aber bitte da, du bist da ein wenig auf dem Holzweg. Setze den Fokus eher auf Demonstrationen, Hungerstreiks oder Leserbriefe in Zeitungen. Das Recht ist (zurecht) nicht auf deiner Seite.

    Jetzt die eigentliche Frage:
    Wollen wir wirklich in so einem System leben?

    Also ich nicht!

    @ Caschy: Einstweilen erwäge ich Anzeige wegen Betrugs mit Vorsatz.
    Die Leistungsbeschreibungen und tatsächlich gelieferten Leistungen, liegen so weit auseinander, es ist eine Frechheit.

    Ich erwarte Infos zur Stadt Bremerhaven, alles was ich sehe, sind langhaarige Studenten, die sich darüber unterhalten, was andere langhaarige Studenten, wieder anderen langhaarigen Studenten angetan haben.

    Und das alles wegen eines Computerspiels mit Pinguin als Maskottchen, was eh nicht fertig gestellt werden wird. Ihr spinnt doch alle!