Peinlichkeiten inside: Nutzerdatenbank eines Fetisch-Forums gehackt

Schön ist es nie, wenn die eigenen Nutzerdaten als Bestandteil eines Datenbank-Hacks mit gestohlen werden. In vielen Fällen sind die Folgen allerdings recht gering. Doch ein aktueller Fall kann dafür sorgen, dass einer Reihe von Nutzern zumindest ... mehr... Internet, Hacker, Laptop, Illegal Bildquelle: wellnews.ru Internet, Hacker, Laptop, Illegal Internet, Hacker, Laptop, Illegal wellnews.ru

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Oh Gott, gleich schauen ob centaurmoms.com auch betroffen ist
 
wie sieht es eigentlich bei Winfuture aus?

"Schön ist es nie, wenn die eigenen Nutzerdaten als Bestandteil eines Datenbank-Hacks mit gestohlen werden."

War nicht mal etwas vor 3-4 Jahren der Fall?...
 
@AlexKeller: Vor 3-4 Jahren? Gab's da überhaupt schon Internetz?
 
@crmsnrzl: hmmm... jetzt wo du es schreibst. Denke es war das Arpanet, könnte mich aber auch irren...
 
@crmsnrzl: Naja in Deutschland hat sich kaum etwas verändert.
 
@Menschenhasser: Doch, es gibt jetzt sogar Neuland...
 
@AlexKeller: Absolut kein Risiko! Du musst dich, wenn du dich hier registrierst, nicht outen.

(Ja, mir ist bewusst dass die Frage anders gemeint war.)
 
"In der Datenbank sind auch diverse Einträge zu finden, die zu .gov- und .mil-Domains oder zu Firmennetzen gehören."

Tja, selbst schuld.
 
Kann ruhig jeder wissen, dass ich auf dem anderen Gleis fahre.
 
das ist nur "news" für leute die auf der seite nicht mitmachen können weil der eigene stock im a... im weg ist ;P

im ernst, das verwerfliche daran, finde ich, ist weniger, was auf der seite gemacht wurde sondern eher, dass es da draußen noch immer viele leute gibt deren eigenes leben offenbar so grottenlangweilit ist, dass sie es nötig haben mittels reliöser moralapostelei auf andere herab zu schauen. wie traurig muß so eine existenz sein ...
 
@dustwalker13: Diese Seite ist doch genau für diese Leute - die mit dem Stock im A... . :-)
 
Ich betreibe auch ne Site als Projekt. Ist zwar nichts los da, aber die Sicherheit der Nutzerdaten ist gewährleistet. Sollte es jemandem möglich sein, die Datenbank zu knacken, erhält er keine Nutzerdaten. Alles was eine Person identifiziert wird in der Datenbank verschlüsselt. Wüsste mal gerne, warum andere Projekte das nicht auch hinbekommen! Man muss doch nicht jeden Mist im Klartext auf dem Server liegen haben, oder? Alle Kontakt-Informationen gehören meiner Meinung nach eh nur verschlüsselt abgelegt. Echt ein Armutszeugnis der Betreiber!
 
@SunnyMarx: Wenn du E-Mail = Benutzername hast, musst du die irgendwo entschlüsselt liegen lassen - zumindest bei halbwegs großem User-Stamm. Wenn du bei jeder Anmeldung erst zehntausende von Adressen entschlüsseln musst, wird dein Server bald streiken. ^^ Vielleicht wäre es möglich, zur Identifizierung des Datensatzes den Loginnamen zu hashen. Andererseits musst du die Daten entschlüsseln und das geht nur, wenn der Server den Schlüssel kennt. Hier hilft nur, Webserver & DB-Server zu trennen, sonst liegt wieder beides nebeneinander und man hat wieder nix gewonnen...
Wie hast du es gemacht?
 
@larsh: Sicher? Ich löse es, in dem ich die Mail-Adresse grundsätzlich in Kleinbuchstaben umwandle und dann aus dieser einen gesalzenen Hash erzeuge. Diesen packe ich unverschlüsselt in die Datenbank zur Erkennung des richtigen Datensatzes. Und schon kann der Account einer Mail-Adresse beim Login zugeordnet werden, ohne dass Daten im Klartext vorliegen müssen. ;-)
 
@SunnyMarx: Ja so meinte ich das. :) Allerdings hast du dann die Mailadresse nicht mehr (falls du Newsletter oder Benachrichtigungen versenden willst). Und wenn du die zusätzlich verschlüsselt ablegst, brauchst du ja einen Key o.ä., den abzulegen finde ich immer schwierig, habe noch keine wirklich tolle Lösung gefunden. Oder beim Webseitenstart muss man einmalig ein Passwort eingeben, dann liegt nix rum. Blöd nur, wenn sich die Webseite nachts um 2 neu startet oder so. :D
 
@larsh: Nun, die Mail-Adresse hab ich ja im Endeffekt 2 mal vorliegen. Einmal als Hash und einmal richtig verschlüsselt, so dass sie entschlüsselt werden kann. Und wenn ich einen Newsletter schicke, müssen die Mail-Adressen von einem Cronjob, der den Newsletter verarbeitet und versendet eh entschlüsselt und ausgelesen werden. Sende ich ne Mail als Support-Antwort, handelt es sich auch nur um einen Datensatz, bei dem die Mail-Adresse entschlüsselt werden muss. Aber bei einem Cronjob kommt es ja eh nicht auf schnelle Reaktion an, sondern auf Durchhaltevermögen des Servers. ;-)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen