Forum Hackerangriff

  • Wie ihr sicherlich mitbekommen habt, war das Forum den ganzen Dienstag down. Aus bisher unerklärlichen Gründen wurden wir gehackt und es wurde versucht alles zu löschen.

    Wir konnten das meiste wiederherstellen, es kann aber sein, dass einige Anhänge verloren gegangen sind, da die Hacker schon dabei waren diese zu löschen. Daten wurden nicht geklaut,

    also eure Nutzerdaten sind weiterhin sicher. Falls euch Fehler auffallen, meldet diese bitte.

  • Sowas passiert in letzter Zeit irgendwie häufiger und noch nie habe ich auf meine Emails so viel Spam bekommen wie Ende 2020/Anfang 2021 (Das hat nichts mit dem Forum zu tun)

    93er M3 Avusblau - Sunday Cruiser

    96er 323i Bostongrün - Daily

  • Hi,

    Ja es gibt regelmäßig Backups. Habe das ganze Analysiert und wir hatten wohl eine Sicherheitslücke außerhalb des Forums.

    Es wurden keine Daten gedownloadet, lediglich alles versucht zu löschen (Was schon nervig genug ist).


    Passwörter sind nach wie vor sicher. Diese werden mittels Double Salted bcrypt verschlüsselt.


    "test" sieht in der Datenbank z.B. so aus:

    Code
    $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a

    Der wert ist aber nicht immer identisch das man daraus etwas leiten könnte.


    Wird "test" erneut erzeugt sieht es z.B. so aus:


    Code
    $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

    Was bedeutet das jetzt genau?

    Also ganz einfach gesagt, der Hacker MUSS beide Salt kennen.

    Dann muss er die Information haben welcher Typ als Verschlüsselung verwendet wird z.B SHA1, SHA256, Blowfish etc.


    Durch die bcrypt Funktion wird außerdem eine "costs" mitgeben. Diese sagt aus wie lange ein wert verschlüsselt wird. Einfach gesagt: bei uns benötigt das System 3 - 5 Sekunden ca. um das Passwort zu generieren, er müsste das selbe tun.

    Das heißt, pro Entschlüsselungsversuch 3 - 5 Sekunden. Ist das Passwort jetzt nicht unbedingt 123 wird er dafür eine definitiv eine ecke Benötigen.


    Die Erfolgschancen sind da sehr sehr gering.


    Ich habe jetzt einen Sicherheitsfahrplan erstellt und werde das ganze nach und nach Umsetzen.

    Auch im Forum werde ich einige zusätzliche Features einbauen dazu aber später mehr.


    Das Problem mit dem Spam und den Fake-Usern werde ich auch in Angriff nehmen, damit hier endlich mal Ruhe herrscht.


    Mit freundlichen Grüßen

    inZane