Spam an meine DSLR-Forums email Adresse bekommen

[Oldy62]

@Dachstein: Wenigstens ein paar Beispiele hatte ich hier schon in Post 19 erwähnt.


Lies mal etwas genauer und zeig mir die Stelle, wo ich das unterstellt habe!
Von seinen Äußerungen her, erweckt er aber den Eindruck es wäre so! Ich hoffe dem ist nicht so, und deshalb warte ich hier auch auf eine ordentliche Äußerung seinerseits.

Du scheinst ein echtes Problem zu haben. Damit meine ich nicht die Spamgeschichte.
Ich lass dich jetzt mal einfach weiterhäkeln, denn du verstehst sowieso nur das, was du verstehen willst.

Schönen spamfreinen Tag noch.

 

[Pecos]

Beispiel: Ein Adresssammler stellt fest, dass ein großer Anteil technisch interessierter Internetnutzer auch im DSLR-Forum angemeldet ist oder dieses einen sehr großen Nutzerstamm und damit eine große Zielgruppe hat. Auch der Adresssammler wird wissen, dass viele Nutzer sich für jedes Forum eine eigene Adresse anlegen. Was also liegt da näher, als dslr-forum@jede_dem_Sammler_bekannte_Domain durchzuspammen? Kost' ihn ja nix.

Klar sowas in der Richtung kann es auch sein. Allerdings verwendeten die bisher betroffenen unterschiedliche Email-Präfixe. Natürlich könnte ein Spammer, direkt an mehrere Präfixe senden (kostet ja nix, wie du schon sagst), dann würde diese Mail aber vermutlich mehrfach im Postfach landen.
Möglich wäre es sicherlich...
Dennoch sollte man einem möglichen Datenleck nachgehen, denn das ist sicherlich genauso plausibel und meiner Meinung nach ist die Wahrscheinlichkeit hierfür wohl auch höher. Einfach gar nichts zu tun und das ganze zu ignorieren wäre aufjedenfall der falsche Weg.

Du scheinst ein echtes Problem zu haben. Damit meine ich nicht die Spamgeschichte.

Soso wie Du meinst...ich lass das mal weiter unkommentiert...

Ich lass dich jetzt mal einfach weiterhäkeln, denn du verstehst sowieso nur das, was du verstehen willst.

Und Du liest nicht richtig, oder willst mich ebenfalls nicht richtig verstehen

 

[Gast_338619]

Einfach gar nichts zu tun und das ganze zu ignorieren wäre aufjedenfall der falsche Weg.

Wird meiner Erfahrung nach auch nicht getan. Beim letzten Mal gab es auch einige Äußerungen, die Nichtstun unterstellten, im Hintergrund sind Betreiber und Helfer aber wohl ganz schön am rotieren gewesen, das zu analysieren.

 

[Pecos]

@********:
Ich weiß, dass sich scorpio beim letzten Mal schon ins Zeug gehängt hat. Deswegen hab ich das hier ja auch nicht unterstellt.
Aber wenn hier innerhalb von 4 Monaten mit gerade mal einem Satz geantwortet wird ist das wenig.

Man merkt halt einfach nicht, dass etwas unternommen wird.
Versteh mich nicht falsch: Das nichts tun unterstelle ich ihm prinzipiell erstmal nicht. Vielleicht arbeitet er ja auch schon daran. Aber ist ein bisschen Aufklärung ob der Sache wirklich nachgegangen wird zuviel verlangt?

 

[Gast_338619]

Ich denke, er äußert sich hier deswegen wenig dazu, weil eher im Hintergrund gearbeitet wird. Das kriegt man eben als Außenstehender nicht mit.

 

[Rembrandt]

Hi!

..und meiner Meinung nach ist die Wahrscheinlichkeit hierfür wohl auch höher. .

Sehe ich nicht so, wenn jemand an die DB ran gekommen wäre, hätten ungleich mehr Leute hier Spam eMails erhalten dem ist aber nicht so.

Hier habe ich einmal ein par Punkte aufgelistet wie eine eMail Adresse unwissentlich weiterverbreitet werden kann.

1.) vom eigenen eMail Server/Provider.
2.) durch Kommunikation im Forum mit anderen Usern, z.b. bei Handel(Kauf/Verkauf), die eMail Adresse wurde so durch dritte weiterverbreitet.
3.) durch abruf des eMails Account per Handy/Tablet, eine Applikation hat zugriff auf das Adressbuch/Postfach des selbigen.
4.) durch abruf des eMails Account per PC, der PC ist/war durch eine Schadsoftware befallen und dadurch wurde das Adressbuch/Postfach weiter verbreitet.

wobei es sicher noch weitere Verbreitungsmöglichkeiten gibt.

mfg Andi

 

[wumi]

Eine Antwort bzgl. Verschlüsselung gespeicherter Passwörter steht aber noch aus.

Da nach Aussage der Betreiber bis auf das Exif-Skript keine vBulletin-Erweiterungen/Mods/etc. benutzt werden, ist es das Standardverfahren von vBulletin:

http://www.vbulletin.com/forum/showthread.php/311252-Encryption-method-of-password

Also zweimal MD5-gehasht mit Salt, was es nach dem aktuellen Stand der Technik "praktisch" unknackbar macht (auch wenn MD5 alleine schon Schwächen hat, aber das Salt ist hier ausschlaggebend).

Man beachte auch, dass das PW-Hash beim dauerhaften Login auch auf dem eigenen Rechner gespeichert wird (nochmal gehasht mit Lizenz-ID als Salt). Ist der Rechner also mit Schadsoftware infiziert, kann diese relativ leicht durch ein heimliches Login im Forum die Mail-Adresse und anderes herausbekommen (ohne das Passwort zu kennen!) - das Problem haben aber alle "Auto-Login"-Systeme.

Edit: Ergänzung: Soweit ich verstanden habe, wird bei vBulletin der PW-Hash beim Login lokal auf dem Rechner generiert und über das Netz geschickt. D.h. jemand, der auf dem Netzwerk mitliest, kann sich daraufhin ebenfalls im Forum einloggen, genau wie jemand, der den AutoLogin-Cookie kennt. Wie auch immer, sobald Schadsoftware auf dem Rechner ist oder die Verbindung unsicher, hat man eh verloren (gegen die unsichere Verbindung würde ggfs. SSL helfen, die Forderung kam hier ja schonmal).

 

[Gast_338619]

Richtig. Das ist auch der Nachteil am "dauerhaft eingeloggt bleiben".
Mit meinem Tablet bin ich permanent eingeloggt, egal, wie oft ich mich am PC ein- und auslogge. Ich hoffe einfach mal, dass mein Tablet sauber ist.
Ich hoffe...
Und wenn nicht, frage ich hier im Forum, woher XYZ meine Mailadresse hat.

 

[Gerlach]

Wird meiner Erfahrung nach auch nicht getan. Beim letzten Mal gab es auch einige Äußerungen, die Nichtstun unterstellten, im Hintergrund sind Betreiber und Helfer aber wohl ganz schön am rotieren gewesen, das zu analysieren.

Geschichtsfälschung?

Anfangs wollte der Betreiber nicht wahr haben, dass der IFRAME überhaupt von seinem Server kam. Später installierte er ein Skript, das automatisch nach Infizierungen suchte und sie entfernte als Kapitulation gegenüber der eigentlichen Sicherheitslücke, die nicht identifiziert war. Erst nach Monaten war die eigentliche Sicherheitslücke offenbar geschlossen und was die Lücke war und wie sie geschlossen wurde, darüber schweigt sich der Betreiber seither aus.

Ich will dem Betreiber nicht ein Bemühen absprechen, aber damals war das Ergebnis absolut ungenügend und man fragte sich, warum die zahlreichen guten Vorschläge seitens der Nutzer damals nicht aufgegriffen wurden.

Zum E-Mail-Datenklau wurde schon festgestellt, dass es sich nicht um einen aktuellen Datenklau handelt, sondern dieser schon vor geraumer Zeit stattfand. Daher kein Wunder, dass sich in Logs dazu nichts findet. Ändert aber nichts daran, dass es diesen Datenklau offensichtlich gegeben hat.

 

[Gast_338619]

Geschichtsfälschung?

Na!

Wie gut oder schlecht die ergriffenen Maßnahmen waren, kann und will ich nicht beurteilen. Es ging mir nur um die Unterstellung, es wäre nichts getan worden. Und nach meiner subjektiven Einschätzung ist ein Aufräum-Skript zwar natürlich nicht so gut wie die Identifikation der Sicherheitslücke, aber immer noch besser als gar nichts.
Wenn die jetzt betroffenen User die gleichen Adressen verwenden wie zum Zeitpunkt der damaligen Attacke, sollen sie die Adressen eben abschalten und andere für's Forum nutzen.

 

[Pecos]

Also zweimal MD5-gehasht mit Salt, was es nach dem aktuellen Stand der Technik "praktisch" unknackbar macht (auch wenn MD5 alleine schon Schwächen hat, aber das Salt ist hier ausschlaggebend).

Das hängt aber auch sehr von der Passwortlänge ab...ich weiß gerade gar nicht, gibt es hier eigentlich eine mindestlänge des Passworts?

Erst nach Monaten war die eigentliche Sicherheitslücke offenbar geschlossen und was die Lücke war und wie sie geschlossen wurde, darüber schweigt sich der Betreiber seither aus.

Nunja gut, wenn ich mich recht erinnere durften da damals auch aus ermittlungstechnischer Sicht keine wirklichen Details preisgegeben werden.
Außerdem merkte man damals immerhin, dass sich um die Sache gekümmert wurde und das Team auch sehr bemüht war.
Und über die Qualität der Maßnahmen damals, kann man als Außenstehender in dem damaligen Fall auch überhaupt nicht urteilen.

Wenn die jetzt betroffenen User die gleichen Adressen verwenden wie zum Zeitpunkt der damaligen Attacke, sollen sie die Adressen eben abschalten und andere für's Forum nutzen.

Ich glaub, die Leute mit den leicht auswechselbaren Email-Adressen sind vermutlich nicht die Leute, die soviel Ärger mit den gestohlenen Daten haben. Das sind jetzt nur diejenigen die das Problem überhaupt bemerkt haben bzw. dem Forum zuordnen konnten.

 

[RaiseHell]

Just for the record: Auch bei mir sind in den letzten Tagen wieder Fishing-Mails auf meiner ausschließlich beim DSLR-Forum angegebenen Mail-Adresse eingelangt. Ich war ja bereits beim letzten Mal betroffen, siehe den von scorpio verlinkten Thread. Damals ist die Sache im Sand verlaufen, daher wird es auch diesmal so sein, im Prinzip also echt sinnlos, das hier zu diskutieren. Da wird kurz in irgendwelchen Server-Logs nachgeschaut und dann im Prinzip vermeldet "in den Server Logs ist nichts zu sehen, also ******t's euch nicht an, Thema erledigt".

Mir persönlich ist es im Prinzip auch egal, da ich ja – wie das irgendjemand hier so nett formuliert hat – ebenfalls das "Paranoia-System" einsetze. Ich kann also einfach die Mail-Adresse wieder ändern und hab meine Ruhe. Mir tut's aber um all die anderen leid, die dann vielleicht in einem der Fishing-Mails auch wirklich noch auf einen Link klicken und sich entweder irgendwas am Rechner einfangen oder dort irgendwelche Zugangsdaten für ihr Spiel eingeben, weil sie tatsächlich irgendein Blizzard-Game haben, oder deren Mail-Adresse fortan im Spam erstickt.

Aber sei's drum. Am besten den Thread gleich closen, es kommt ja sowieso nichts raus. Reine Zeitverschwendung, echt.

 

[Trickster]

Da wird kurz in irgendwelchen Server-Logs nachgeschaut und dann im Prinzip vermeldet "in den Server Logs ist nichts zu sehen, also ******t's euch nicht an, Thema erledigt".

Ich weiß ja nun nicht, was einige erwarten. Was wollt Ihr denn noch? Wenn der Betreiber sich dahingehend äußert, daß die Logs nichts ergeben, wird das sicher auch so sein. Reicht einigen aber nicht und behaupten, daß da was faul wäre. Täte er jetzt schreiben, daß vielleicht was sein könnte, gäbe es auch wieder großes Gezeter und noch mehr Stoff für Spekulationen. Ergo: Es jedem recht getan, ist eine Kunst, die niemand kann.

Mir tut's aber um all die anderen leid, die dann vielleicht in einem der Fishing-Mails auch wirklich noch auf einen Link klicken und sich entweder irgendwas am Rechner einfangen oder dort irgendwelche Zugangsdaten für ihr Spiel eingeben, weil sie tatsächlich irgendein Blizzard-Game haben, oder deren Mail-Adresse fortan im Spam erstickt.

Es wird genügend vor Phishing und anderen unlauteren Dingen gewarnt, wer jetzt darauf reinfällt, ist selber schuld. Es gibt kostenlose Antiviren- und andere Anti-Malware-Programme, Warnhinweise über Phishing etc. und(ja, auch hilfreich) den gesunden Menschenverstand - wer da heute noch drauf reinfällt, verdient kein Mitleid.

Aber sei's drum. Am besten den Thread gleich closen, es kommt ja sowieso nichts raus. Reine Zeitverschwendung, echt.

Nun ja, solche Themen werden oft auch schnell geschlossen(dieser hier wurde es bislang noch nicht, obwohl auch nicht mehr so neu), weil eben immer wieder Unterstellungen, Mutmaßungen und Forderungen kommen, daß "der Betreiber doch mehr schreiben soll". Wenn es aber nichts gibt?

 

[Gerlach]

Ich weiß ja nun nicht, was einige erwarten. Was wollt Ihr denn noch?

Ist es wirklich die Frage, was "wir" wollen? Es gibt im Umgang mit persönlichen Daten in Deutscland ganz klare gesetzliche Vorschriften und insbesondere gibt es eine Sorgfaltspflicht bei der speichernden Stelle. Mal in die Logs gucken und nichts finden ist da ein klarer Beleg, dass den Sorgfaltspflichten nicht Genüge getan wurde.

Momentan scheint der Server ja "dicht" zu sein. Aber in der Vergangenheit muss es eklatante Lücken gegeben haben, die zum Auslesen der Datenbank und Einspielen manipulierter HTML-Seiten gereicht haben müssen.

Daher ist es schon richtig, dass ein akuter Handlungsbedarf für den Betreiber wohl momentan nicht gegeben ist. Aber ich würde mir sehr wünschen, dass der Betreiber mal erkennen ließe, dass er bei zukünftigen "Problemen" radikaler im Interesse des Schutzes der Nutzer agieren würde. Das ist meiner Meinung nach auch seine gesetzliche Verpflichtung und ihm daher zur Vermeidung von Schadenersatzansprüchen auch dringend anzuraten.

Es ärgert mich auch immer sehr, wenn hier Argumente kommen, dass ja derjenige selber schuld ist, der dann auf Phishingmails hereinfällt. Fakt ist: Leute fallen darauf rein. Das Perfide am Abgreifen von Mail-Adressen aus Forenanmeldungen ist, dass es viele Internetnutzer gibt, die ihre E-Mail-Adresse nirgends veröffentlichen und auch keinen/kaum Spam bekommen. Womit man nicht konfrontiert wird, damit beschäftigt man sich auch nicht. Daher ist die Gefahr schon real, dass gerade bei erspähten Foren-E-Mails besonders viele auf den Spam hereinfallen. Es ist auch nicht jeder technisch so versiert, dass er sich Filter einrichten oder sich eine neue E-Mail-Adresse besorgen kann. "Auch unbedarfte Mitbürger haben das Recht, vom Gesetz geschützt zu werden."

Und wer sich alleine auf irgendwelche Antiviren-Lösungen verlässt, kann sich getrost der Klasse "unbedarfte Mitbürger" zuordnen.

 

[Pecos]

Momentan scheint der Server ja "dicht" zu sein.

Wobei man sich da auch nie sicher sein kann...schon allein deswegen wäre es nicht verkehrt mit möglichst vielen betroffenen Usern herauszufinden wann diese sich beispielsweise registriert haben oder ihre Email-Adresse geändert, sodass man den Zeitraum möglichst weit eingrenzen kann und auch ausschließen, dass die Lücke möglicherweise noch besteht...

 

[scorpio]

Ist es wirklich die Frage, was "wir" wollen? Es gibt im Umgang mit persönlichen Daten in Deutscland ganz klare gesetzliche Vorschriften und insbesondere gibt es eine Sorgfaltspflicht bei der speichernden Stelle. Mal in die Logs gucken und nichts finden ist da ein klarer Beleg, dass den Sorgfaltspflichten nicht Genüge getan wurde.

Momentan scheint der Server ja "dicht" zu sein. Aber in der Vergangenheit muss es eklatante Lücken gegeben haben, die zum Auslesen der Datenbank und Einspielen manipulierter HTML-Seiten gereicht haben müssen.

Jetzt reicht es mit den Unterstellungen, Vermutungen und negativen Tatsachenbehauptungen, die hier aufgestellt werden. Das mit den Schadensersatzforderungen kann ganz schnell auch nach hinten losgehen!

Weder damals im Fall der eingeschleusten IFrames noch jetzt bei den Fällen der Spam-Mails kann mit den mir, den Technikern des Rechenzentrums oder der Kripo zur Verfügung stehenden Mitteln ein Ausspähen von Daten aus der Datenbank des Forums nachgewiesen werden. Es gibt auf Serverseite keinerlei Anzeichen dafür.

 

[Pecos]

Weder damals im Fall der eingeschleusten IFrames noch jetzt bei den Fällen der Spam-Mails kann mit den mir, den Technikern des Rechenzentrums oder der Kripo zur Verfügung stehenden Mitteln ein Ausspähen von Daten aus der Datenbank des Forums nachgewiesen werden. Es gibt auf Serverseite keinerlei Anzeichen dafür.

Wurde der aktuelle Fall, denn nun überhaupt an die Kripo oder externes Sicherheitsdienstleister weitergeleitet? Oder beziehst Du Dich in dem zitierten Satz damit nur auf die damalige Iframe-Attacke?

Das war auch eine meiner Fragen aus Post #19, welcher bisher leider unbeantwortet blieben...

 

[scorpio]

Wurde der aktuelle Fall, denn nun überhaupt an die Kripo weitergeleitet? Oder beziehst Du Dich in dem zitierten Satz damit nur auf die damalige Iframe-Attacke?

Was ist denn an

" ... noch jetzt bei den Fällen der Spam-Mails kann mit den ... oder der Kripo zur Verfügung stehenden Mitteln ..."

unklar?

Das war auch eine meiner Fragen aus Post #19, welcher bisher leider unbeantwortet blieben...

Du wirst sicherlich Verständnis dafür haben, dass ich zu Weihnachten als Ehemann, Vater und Großvater auch noch andere Dinge zu tun habe, als mich permanent im Forum aufzuhalten, um solche Fragen zu beantworten.
Bei anderen Unternehmen hättest du sogar jetzt nicht mal die kleinste Reaktion, die sind über die Feiertage oder sogar bis ins neue Jahr gar nicht besetzt. Ich frage mich, worauf sich die Erwartung gründet, das müsse hier auf jeden Fall anders sein.

 

[Nordmensch]

Das Perfide am Abgreifen von Mail-Adressen aus Forenanmeldungen ist, dass es viele Internetnutzer gibt, die ihre E-Mail-Adresse nirgends veröffentlichen und auch keinen/kaum Spam bekommen. Womit man nicht konfrontiert wird, damit beschäftigt man sich auch nicht.

Das diese Internetnutzer ihre Mailadresse nirgends veröffentlichen ist ein eindeutiges Zeichen dafür das sich diese Leute mit derartiger Problematik beschäftigt haben und genau deshalb nicht damit konfrontiert werden.

Obendrein besteht ja keine Teilnahmepflicht an öffentlichen Foren, wem es -aus welchen Gründen auch immer- zu unsicher erscheint nimmt halt nicht daran teil. So wie man es z.B. bei bestimmten Übertragungen auch macht: ein Provider der z.B. keine SSL-Verschlüsselung beim Mailabruf unterstützt wird nie meiner werden. Im Rahmen seiner Möglichkeiten wird Scorpio schon das mögliche tun um das Forum und seine User vor Schaden zu schützen, man muss aber auch sehen das es ein freizeitbetriebenes Forum ist wo viel privates Geld, Know-How und Zeit investiert wird. Die Reaktion mancher empfinde ich schon als arg überreagiert.

 

[Klaws]

Offenbar wurde jetzt auch bei mir meine spezielle E-Mail-Adresse für das DSLR-Forum "erraten". Und das beim ersten Versuch. Ich habe zwei Spam-Mails erhalten (19. und 26.12.2012) an exakt die korrekte Adresse erhalten - und sonst keine gleichartigen Spam-Mails an irgendwelche anderen "geratenen" Adressen. Insbesondere ist bei mir der erste Teil der E-Mail-Adresse nicht "dslr-forum" - also wird hier wohl sehr ondividuell "geraten"?

Jetzt reicht es mit den Unterstellungen, Vermutungen und negativen Tatsachenbehauptungen, die hier aufgestellt werden. Das mit den Schadensersatzforderungen kann ganz schnell auch nach hinten losgehen!

Weder damals im Fall der eingeschleusten IFrames noch jetzt bei den Fällen der Spam-Mails kann mit den mir, den Technikern des Rechenzentrums oder der Kripo zur Verfügung stehenden Mitteln ein Ausspähen von Daten aus der Datenbank des Forums nachgewiesen werden. Es gibt auf Serverseite keinerlei Anzeichen dafür.

Sehr schön. Das ist weder ein Beweis dafür noch dagegen. Trotzdem reichen die hier geschilderten Vorkommnisse als Anscheinsbeweis aus.

Die E-Mail-Adressen können auch schon früher abgegriffen worden sein. Ähnliche Fälle gab es auch schon früher. Hier aus einem anderem Forum, auch auf Basis von vBulletin: http://www.umtslink.at/3g-forum/threads/69312-Spam

Die "gute Nachricht": dass es ähnlich gelagerte Vorfälle in anderen Foren gibt, deutet eher auf ein vBulleting-Problem hin. Sprich, es ist unwahrscheinlich, dass der Betreiber der DSLR-Forums (oder einer seiner bezahlten Erfüllungsgehilfen) hinter der Sache steckt.

Du wirst sicherlich Verständnis dafür haben, dass ich zu Weihnachten als Ehemann, Vater und Großvater auch noch andere Dinge zu tun habe, als mich permanent im Forum aufzuhalten, um solche Fragen zu beantworten.

Habe ich.

Noch schöne "Restweihnachten" und alles Gute fürs neue Jahr!

- Klaus