Um mal meinen Ausbruch von eben zu erklären und wiedser auf versöhnlich zu schalten: Es ist wichtig, die Problemursache anzuerkennen und sich nicht rauszureden. Nur dann kann man das Problem bei einem Neustart wirklich beheben. Es geht nicht darum, irgendwen an den Marterpfahl zu stellen. Aber man muss sich klar machen und eingestehen, was schiefgelaufen ist, um es beim nächsten Mal besser machen zu können.
maximus
Beiträge
-
-
@jsb:
Ich glaube hier liegt ein grundsätzliches Missverständniss vor:
- dass die Seite gehackt wurde, wissen wir seit Mittwoch Nacht (okay, es hätte Abend sein können)
Seit Mittwocfh haben wir die Gewissheit, dass das so ist. Das es wahrscheinlich passiert ist, hätte man seit Anfang 2017 wissen können, als hier im Forum Benutzer über Spam auf ihre exklusive SD-Mailadresse berichteten. Darüber habe ich es ja auch im September bemerkt und Anfang November berichtet. Die Hinweise darauf wurden kleingeredet, nicht ernst genommen oder ignoriert.
Solche Ausssagen lesen sich immer so, als wäre das Problem, dass die Daten veröffentlicht worden wären. Nein, das Problem ist, dass die Daten vor Jahren schon abgeflossen und in der kriminellen Hackerszene verkauft worden sind, weil hier niemand eine Ahnung hat, wie man einen Webserver betreibt. Fangt jetzt bitte nicht wieder an, das Thema kleinzureden. “Wir wissen es seit Mittwoch und haben sofort reagiert” Bullshit. Wer auch immer für den Betrieb (nicht Moderation!) des Servers verantwortlich ist, hat ein Jahrzehnt seinen Job nicht gemacht. Das ist das Problem. Ahnungslosigkeit ist keine Ausrede!
-
@jsp: Mir ist schmerzlich bewusst, welche Ursachen zu diesem Zustand führen. Ich musste 2002 mein heissgeliebtes regionales Motorradforum aufgeben, weil es zu oft gehackt und für Phishing mißbraucht wurde. Damals fing ich an, mich für IT-Sicherheit zu interessieren und die Ursache war auch, dass ich meine zugebastelte Forensoftware nicht mehr updaten konnte, weil dann alle Anpassungen weg gewesen wären.
Und ja, die Mail war auch versöhnlich gemeint. Nicht nur, aber auch Genau wie meine Postings hier.
Das Problem ist auch nicht auf Moderatorenebene zu suchen, denn die Mods können wenig an diesem Zustand ändern, deswegen wolte ich mich an den Verein wenden. Der Server muss von Grund auf neu augfgebaut werden (Linux, PHP, Webserver) und dann kann man da eine aktuelle Forensoftware draufschmeissen… Die Diskussion um eine neue Forensoftware ist nur oberflächlich (aber nötig, möchte nicht wissen, wie viele Lücken darin sind.). Das muss zeitnah und mit der passenden Expertise gewuppt werden. Das kostet (Wo)Manpower und evtl. auch Geld (für einen neuen parallel aufzusetzenden Server). Wenn man etwas 10 Jahre rumliegen lässt, bildet sich halt ein großer Wartungsstau. Aber es wird doch bestimmt Leute hier geben, die sowohl BB als auch IT Nerds sind schöenen-dunk.de ist ein tolles Communityprojekt und wichtig für die BB-Fanszene. Vielleicht liesst das hier ja auch die ein oder andere BB-Organisation und sponsort trotz der schweren Zeiten ein wenig Server-Ressourcen. Aber Du hast völlig Recht, die Entscheidung momentan ist: alles sofort dichtmachen oder einen funktionierenden Plan für ein zeitnahes Upgrade schmieden.
-
@Maximus, fühle dich eingeladen, an der Lösung mitzuarbeiten, es gibt ja eine Taskforce Gruppe hier bei SD dafür. Du scheinst ja - im Gegensatz zu mir - über das technische know how zu verfügen. Probleme aufzuzeigen ist toll, an der Lösung mitzuwirken ist toller.
@SD-Voerstand (oder wie es sich bei euch nennt): Wenn sich jemand die Mühe macht, eine so lange und inhaltlich sehr sinnvolle email zu schreiben, wäre es nicht soooo verkehrt, mal wenigstens darauf zu antworten. Selbst wenn man derzeit inhaltlich vielleicht nicht antworten kann, so könnte man wenigstens den Empfang bestätigen und dass man sich des Ernstes der Lage bewusst ist und an einer Lösung arbeiten wird.
Ich fühle mich der Community hier nicht verbunden genug, um da noch viel Zeit reinzustecken, dazu habe ich zuviele andere Projekte. Aber ich helfe gern punktuell aus, wenn es Fragen zu Sicherheitsthemen gibt. Der Verein hat meine Emailadresse und wir können auch gern mal darüber telefonieren, was gemacht werden muss. Normalerweise melde ich mich in solchen Fällen auch garnicht, aber hier war leider viel zu viel im Argen, als dass ich stillhalten konnte. Und meine Daten waren halt auch betroffen.
-
Antwort auf die Frage:
Es wird weiterhin in dem Sinne aktiv betrieben, dass von Moderatoren moderiert wird und das Zertifikat der Webseite vor kurzem erneuert/ausgetauscht wurde. Ansonsten ist dort der (aktuell letzte) Beitrag von jsb vom 20.11. zu beachten.Das ist ja schön und gut, aber irgendwer muss sich doch mal unter die darunterliegende Technik kümmern? Der Server ist seit 10 Jahren nicht aktualisiert worden und löchrig wie nur irgendwas.
-
Wird dieses Forum noch aktiv betrieben? Wochenlange keine Rückmeldung auf Emails, 10 Jahre alte Serverkonfiguration, kaputte Funktionen und gehackte Userdaten machen irgendwie einen komischen Eindruck.
Haben wir in diesem Thread auch schon festgestellt:
https://www.schoenen-dunk.de/forum_t131563_Webseite-config-ssl-Zertifikat.htm
Antwort auf die Frage:
Es wird weiterhin in dem Sinne aktiv betrieben, dass von Moderatoren moderiert wird und das Zertifikat der Webseite vor kurzem erneuert/ausgetauscht wurde. Ansonsten ist dort der (aktuell) letzte Beitrag von jsb vom 20.11. zu beachten.Das Zertifikat musste auch ausgetauscht werden, da es am 6.11.2020 auslief. Leider ist es weiterhin nur ein TLS 1.0 Cert. TLS 1.0 ist 21 Jahre alt und gilt als unsicher. Weitere Informationen dazu hier: https://www.ssllabs.com/ssltest/analyze.html?d=schoenen-dunk.de&hideResults=on
-
Hallo zusammen,
die u. a. Mail habe ich am 3. Noveber an verein@schoenen-dunk.de gesendet, ohne bisher ein Feedback zu erhalten. Darin zeige ich diverse Sicherheitsmängel dieser Seite auf, die den Abfluß von Userdaten auf schoenen-dunk.de möglich und wahrscheinlich machen.
Da mittlerweile sicher ist, dass die Benutzerdaten von schoenen-dunk.de verloren wurden und da der Verein nicht auf Mails reagiert, wende ich mich jetzt an das Forum, da es unsere Daten betrifft.
In der Zwischenzeit ist der sogenannte Cit0day-Leak veröffentlicht worden, in dem die Userdaten von 23000 Webseiten enthalten sind. Auch schoenen-dunk.de ist darin vertreten. Die Datei enthält 25133 Dtensätze mit Emailadressen, einigen wenigen Handynummern und gehashten Passwörtern. Das heisst, die Seite wurde in der Vergangenheit bereits gehackt (wie einige hier aufgrund des Spamaufkommens auch schon vermuteten) und die Accountdaten sind abgeflossen. Ob und wie schnell die Passwort-Hashes zurückgerechnet werden können, ist mir noch nicht bekannt.
Es ist auch noch nicht bekannt, von wann die Daten im Leak stammen. Das Dateidatum lautet 26.5.2020. Bitte ändert Eure Passwörter hier im Forum sofort und auch überall dort, wo ihr das gleiche Passwort verwendet.
Ob Eure Mailadresse in diesem oder anderen Leaks auftaucht, könnt ihr übrigens hier nachsehen: haveibeenpwned.com
Wird dieses Forum noch aktiv betrieben? Wochenlange keine Rückmeldung auf Emails, 10 Jahre alte Serverkonfiguration, kaputte Funktionen und gehackte Userdaten machen irgendwie einen komischen Eindruck.
PS: Ich poste hier mit Erlaubnis mit einem fremden Account, weil ich in meinen nicht mehr hereinkomme (Passwort vergessen) und auch die Neuregistrierung nicht mehr funktioniert. Diesen Post werde ich unter diesem Nutzeraccount verfolgen, falls ihr Fragen habt.
Hier die Mail an den Verein vom 3.11.2020
–-----------------------------
Hallo,ich habe vor 10 Jahren die Fanseite einer Bundesliga-Basketballmannschaft technisch aufgesetzt und mir damals einen Account auf schoenen-dunk.de angelegt. Für die Registrierung habe ich eine einmalige E Mail Adresse (schoenendunk@*********.de) angegeben, die ich nirgends sonst verwendet habe. Auf diese Email Adresse habe ich jetzt Spamaufkommen bemerkt. Das bedeutet, dass diese E Mail Adresse absichtlich oder unbeabsichtigt an Dritte weitergegeben wurde.
Dadurch neugierig geworden, habe ich mir den Server mit der Adresse schoenen-dunk.de einmal genauer angesehen. Das Ergebnis ist aus Sicht der Informationssicherheit vernichtend:
- Die Version des Webservers (Apache 2.2.16) ist aus Juli 2010 und auch die PHP-Version (5.2.17) ist 10 Jahre alt.
- Es sind 91 Schwachstellen für diese Systeme bekannt, die zwischen einem und 14 Jahren alt sind.
- Zwei Schwachstellen haben den höchsten CVSS-Wert 10 und erlauben potentiell die Ausführung fremden Codes und Fremdzugriff auf alle Daten
- Insgesamt sind 18 Schwachstellen mit einem CVSS größer 7.5 bekannt und als schwer einzustufen.
- Die Webseitenverschlüsselung nutzt ein als unsicher geltendes Protokoll (TLS 1.0). Es ist nicht möglich, ein sicheres Protokoll zu verwenden, da nur TLS 1.0 unterstützt wird. Selbst aktuelle Browser warnen mittlerweile vor dem Aufrufen der Webseite. Dazu kommen weitere Sicherheitsprobleme bei der Verschlüsselung der Webseite wie zum Beispiel der unsichere Diffie-Hellman-Schlüsselaustausch,
Danach habe ich dann aufgehört nach Problemen zu suchen, es sind genug da. Ich habe mir auch nicht den Code auf schoenen-dunk.de angesehen (ich könnte es auch nicht, ich bin kein Pentester) aber ich vermute auch hier noch weitere Probleme.
Für mich sieht es so aus, als wäre der Server einmal vor 10 Jahren aufgesetzt worden und dann nie wieder aktualisiert worden. Das ist in der heutigen Zeit, in der das gesamte IPv4-Internet regelmäßig nach Schwachstellen durchsucht wird, nicht mehr umsetzbar. Die Daten aller Nutzer sind einem hohen Verlustrisiko ausgesetzt, was in Zeiten der DSGVO unangenehm werden kann. Dazu sind, wenn es nicht vom Serverbetreiber selbst erfolgte, bereits mindestens einmal Nutzerdaten abhanden gekommen, wie meine Spam-Mails zeigen.
Hier nochmal ein Disclaimer: Auch wenn ich beruflich in der IT-Security unterwegs bin, mache ich das hier privat, ohne kommerzielle Interessen und nur mit Informationen, die öffentlich im Internet verfügbar sind.
Bitte versteht diese Mail nicht als Gemecker eines IT-Nerds. Ich möchte Euch darauf aufmerksam machen, dass ihr ein massives Sicherheitsproblem auf dem Server habt, dass Euch früher oder später Ärger einhandeln wird. Prüft bitte., ob nicht bereits schon ungebetene Gäste auf dem Server persistiert sind. Lasst Euch von erfahrenen ITlern helfen.
Ich bin gern bereit, weitere Informationen zu den Schwachstellen zur Verfügung zu stellen und bei der Behebung zu unterstützen. Wir können gern darüber diskutieren, wie ich diese Informationen erlangt habe, die jeder andere ebenso einsehen kann. Ich könnte Euch auch anbieten (natürlich kostenlos), den Server auf weitere Schwachstellen zu scannen.Dafür bräuchte ich allerdings eine schriftliche Erlaubnis und Haftungsfreistellung.
Ich behalte mir übrigens vor, diese auf öffentlichen Informationen beruhenden Daten im Rahmen eines Responsible Disclosures zu publizieren, insbesondere wenn keine Maßnahmen zur Behebung der Sicherheitsprobleme durchgeführt werden.
Viele Grüße
Sven ******** -
Ja, aber…. Zu berücksichtigen wäre aber auch, dass weder Artland, noch Ol momentan einen guten Lauf haben…Und gegen Crailsheim war es echt eng…
Man darf gespannt sein, wie sie sich gegenüber Tübingen anstellen… -
Eine Weiterplanung mit Korner ist Sportlich nicht zu rechtfertigen und wird wahrscheinlich nur deshalb realisiert, damit die Geschäftsführung nach der Akte Flevarakis nicht komplett die Glaubwürdigkeit verliert.
Ich ärgere mich schwarz über den Zeitungsartikel in der BZ von heute, in dem Braun zugibt, dass die Rotation evtl doch etwas zu kurz ist und dass Trainerpraktikant Korner jetzt nach einer Saison weiß, wie er die BBL von der Stärke her einzuschätzen hat….So kann man doch nicht gegenüber den immer weniger Fans kommunizieren!Genau meiner Meinung!
Es hört sich ja so an, dass Korner bleiben darf mit einem Endergebnis Platz 15, Fleverakis aber gehen musste mit einem Endergebnis Platz 13… Da passt was nicht… -
Aber wie soll das denn funktionieren, mit weniger Geld eine Mannschaft zusammenstellen, die auch noch Bundesliganiveau spielen soll. Das hat mit den teuren Spielern doch schon nicht geklappt….
Nachzulesen hier…
ArtikelIch traue es Herrn Braun und schon gar nicht Herrn Korner zu, in der kommenden Saison ein leistungsfähiges Team zusammenzustellen….
Bitte ein Neuanfang!!!
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Daten von 25133 Accounts von schoenen-dunk.de in Cit0day-Leak enthalten
Kader Basketball Löwen Braunschweig 2014/2015
Kader Basketball Löwen Braunschweig 2014/2015
Kader Basketball Löwen Braunschweig 2014/2015