User-Datenbank entwendet (???)

[RaiseHell]

So, ich hab mich gerade seit Ewigkeiten das erste Mal hier wieder angemeldet, weil ich heute um 17:47 Uhr die exakt selbe Phishing-Mail erhalten habe, wie sie mlmlc schon erwähnt hat, und zwar ebenfalls auf eine e-Mail-Adresse, die ich ausschließlich für dieses Forum verwendet habe.

Interessant ist allerdings, dass die betroffene e-Mail-Adresse am 21.08.2011 auf eine andere Adresse hier in meinem Profil abgeändert wurde. Das bedeutet im Klartext, der Leak der Daten muss vor dem 22.08.2011 stattgefunden haben.

Da meine e-Mail-Aliases lediglich an einer einzigen, zentralen Stelle verwaltet werden und an keine einzige der anderen Aliases (immerhin 96 Stück) das Phishing-Mail versendet wurde, lässt als wahrscheinlichsten Ort des Datenleaks nur die Forum-Datenbank oder einen im direkten Umfeld des Forums betroffenen PC vermuten.

Vermutungen, wonach Daten (insbesondere aus Adressbüchern) direkt von den PCs mancher Foren-User entwendet wurden, kann ich zumindest in meinem Fall klar ausschließen, da die e-Mail-Aliases weder in meinem e-Mail-Client, noch sonst wo lokal auf meinem Rechner gespeichert sind.

Dass es hier bereits andere User mit dem selben Problem gibt ist wohl kaum ein Zufall und sollte Grund genug sein, hier weitere Untersuchungen anzustellen.

 

[Gast_338619]

Interessant ist allerdings, dass die betroffene e-Mail-Adresse am 21.08.2011 auf eine andere Adresse hier in meinem Profil abgeändert wurde. Das bedeutet im Klartext, der Leak der Daten muss vor dem 22.08.2011 stattgefunden haben.

Wie vermutet. Vielen Dank!

 

[RaiseHell]

Mir fällt gerade auf, dass mlmlc seinen User-Account erst am 23.01.2011 erstellt hat. Das würde also den Zeitraum weiter einschränken, nämlich vom 23.01.2011 bis einschließlich 21.08.2011.

Der Vollständigkeit halber häng ich auch noch den Header der Phishing-Mail an:

From - Fri Aug 17 17:14:37 2012
Return-Path: <ejxku@WWW-9763E06E580.com>
Delivered-To: x3767025@xxx-mx1.xxxxxx.com
Received: from WWW-9763E06E580.com (unknown [110.103.67.59])
	by xxx-mx1.xxxxxx.com (Postfix) with ESMTP id 13B767693BA
	for <xxxxxx@xxxxxx.com>; Thu, 16 Aug 2012 08:47:43 -0700 (PDT)
Message-ID: <2FE79B477EC2028CDE87ECC949590A87@WWW-9763E06E580.com>
From: "Diablo III" <diablo@email.com>
To: <xxxxxx@xxxxxx.com>
Subject: [EN]Diablo III Account Locked - Action Required
Date: Thu, 16 Aug 2012 23:47:30 +0800
MIME-Version: 1.0
Content-Type: text/html;
	charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

 

[Gast_338619]

Bei Quellen tracen zurück zu 61.235.245.154: China Railway Telecommunications Center, Beijing. Super - aber wie vermutet.

 

[Gast_319607]

Wer letztendlich den Sack voll eMail-Adressen gekauft hat, und darauf Spam versendet, ist schlußendlich egal. Das müssen und werden nicht dieselben Leute sein.

Ich bin noch nicht vor August 2011 angemeldet gewesen, habe aber auch eine Unique-eMail-Adresse, die nirgendwo eingetragen ist, sondern mit einem Catch-All weitergeleitet wird. Da kann man also nicht im Mailserver einbrechen, und eine Zuordnung stehlen, es geht jede Adresse. Das fällt aber auf mit dem "Durchprobieren", bzw scheitert wahrscheinlich am Graylisting.
Ich habe jedenfalls (noch) nichts bekommen.

 

[Chironer]

Das wäre mir neu,...

Na, da wirst du noch ne Menge lernen können.

 

[RaiseHell]

Süffisante Wortmeldungen helfen uns auch nicht weiter.

 

[mossoma]

ich habe am 16.08.12 auch diese mail erhalten.

Tom

 

[Chironer]

Warum erhalte ich keine, bzw nicht mehr Spam als sonst?

 

[Pecos]

Das kann man schlecht sagen und kann auch mit den Mail-Providern der einzelnen User zu tun haben. Beispielsweise könnte es sein, dass bei den paar Leuten die jetzt Spam bekommen haben Greylisting nicht aktiviert ist und der Spammer in diesem Fall keinen zweiten Zustellversuch unternimmt...das würde ich momentan für am Wahrscheinlichsten halten...


Ich hab übrigens auch ne eigene Adresse hier fürs Forum (und ich dachte ich wär ziemlich allein mit der Methode), kam aber bisher kein Spam...

 

[BadBoogeyMan]

Ich erhalte bei meiner Domain auch massig Emails an Adressen, die garantiert noch nie irgendwo verwendet wurden. Viele Spammer ballern wie mit der Schrotflinte in der Gegend rum.
Die obige Mail war aber weder dort bei meinen anderen Adressen bisher dabei.

Beim Betreff der oben genannten Mail musste ich gleich an eine andere Meldung denken:
Bei Blizzard wurden letztens eingebrochen. http://www.heise.de/newsticker/meldung/Battle-net-Einbruch-bei-Blizzard-1664645.html

Vielleicht sollen jetzt die fehlenden Informationen abgegriffen werden, um doch noch Zugang zu den Accounts kriegen.

 

[Gast_338619]

Das müssen und werden nicht dieselben Leute sein.

Sehr richtig erkannt, darum ging es auch gar nicht. Das war eine reine Information dazu, wer jetzt der Versender war, um damit möglicherweise gezielter bei Google suchen zu können. Wie zu erwarten leider ergebnislos.

Das fällt aber auf mit dem "Durchprobieren", bzw scheitert wahrscheinlich am Graylisting.

Greylisting.

(Ich wollte auch mal den Besserwisser-Smiley einsetzen.)

 

[Pecos]

Interessant ist allerdings, dass die betroffene e-Mail-Adresse am 21.08.2011 auf eine andere Adresse hier in meinem Profil abgeändert wurde. Das bedeutet im Klartext, der Leak der Daten muss vor dem 22.08.2011 stattgefunden haben.

Hmm, das ist die Frage ob man das wirklich eingrenzen kann...ich könnte mir auch vorstellen, dass auch die alten Emailadressen noch in der Datenbank verbleiben, wobei ich nicht weiß ob dies bei vBulletin tatsächlich der Fall ist...
Aber auch wenn nicht könnte die Emailadresse eventuell über alte DB-Backups die (auch) gestohlen wurden in die Spammer-Hände gelangt sein...
Aber da wir hier keine ausführlichen Informationen zum Serversystem hier haben, kann wohl nur scorpio etwas konkretes dazu sagen...

Hast Du eigentlich nur die Adresse gewechselt oder auch den Provider (der jetzt eventuell Greylisting unterstützt)? Wenn nicht wäre meine Theorie wohl etwas unwahrscheinlicher, da dann wohl auf beide Adressen Spam gekommen wär...

Greylisting.

(Ich wollte auch mal den Besserwisser-Smiley einsetzen.)

Nunja nach amerikanischer Schreibweise wäre denke ich auch Graylisting korrekt

 

[Gast_338619]

Nunja nach amerikanischer Schreibweise wäre denke ich auch Graylisting korrekt

Greylisting ist ein feststehender Begriff (vgl. Google-Ergebnisse, engl. Wikipedia, div. amerikanische Mailanbieter) - und off topic.

 

[RaiseHell]

@ Pecos:

Das sind gute Einwände, an die ich bisher nicht gedacht hatte.
Auffällig ist natürlich schon auch, dass – sollten die Adressen tatsächlich vor dem 22.08.2011 in falsche Hände gefallen sein – erst ein Jahr später Spam- bzw. Phishing-Mails an diese Adressen versendet werden. Ich kann mir zwar noch irgendwie erklären, dass Kriminelle aus taktischen Gründen etwas zuwarten, bevor sie die Adressen verkaufen oder einsetzen, aber ein ganzes Jahr oder länger zu warten erscheint mir dann doch etwas unstimmig. Das würde also tatsächlich eher darauf hinweisen, dass der Datenleak noch nicht so lange zurück liegt, die entsprechenden Personen allerdings nur Zugriff auf ein veraltetes Backup erlangen konnten.

Ich hab lediglich die Adresse gewechselt (auf eine andere Domain), der Hoster und somit der Betreiber des Mail-Servers ist derselbe.

 

[maxl78]

Also ich kann nur sagen dass dieses Problem nicht nur dieses Forum betrifft, ich kenne 2 andere Foren die jedoch eine andere Forensoftware (WBB2 bzw.WBB3) verwenden wo im letzten Monat eine ähnliche Diskussion stattfindet.
Auch dort rätseln die Serveradmins und User wie das sein kann.

Natürlich kann in jeder Forensoftware eine Lücke sein die noch nicht entdeckt wurde - aber seltsam dass das bei verschiedenen Forensofts im ähnlichen Zeitraum passiert

 

[Pecos]

Ich hab lediglich die Adresse gewechselt (auf eine andere Domain), der Hoster und somit der Betreiber des Mail-Servers ist derselbe.

Hmm, wobei das natürlich ein Indiz dafür sein könnte, dass die neue Adresse den Spammern nicht bekannt ist, da wohl sonst Spam auf beide Adressen gekommen wäre...

Natürlich kann in jeder Forensoftware eine Lücke sein die noch nicht entdeckt wurde - aber seltsam dass das bei verschiedenen Forensofts im ähnlichen Zeitraum passiert

Naja es muss ja nicht unbedingt die Forensoftware an sich sein, welche die Lücke aufweist...da läuft ja schließlich noch so einiges andere an Software im Hintergrund die eventuell angreifbar ist...

 

[BlueByte]

moin,

Das ist mir klar. Nutzt aber nichts. Wenn jemand die Frage stellt, ob Daten aus der DB entwendet wurden, kann ich nur auf Grundlage der vorhandenen Informationen antworten.

Möglich ist alles und nichts.

@scorpio, in dem Zusammanhang wäre interessant wie das Pass in der DB gespeichert wird?

Klartext
Verschlüsselt
Verschlüsselt-Salt

Natürlich wäre mit Salt optimal.

Angriffszenarien sehen z.B. vor hier Mailadresse und Passwort abzugreifen und diese Kombination auf anderen Portalen wie Amazon und EBAY zu verwenden.

Ich nutze dafür unterschiedliche Passwds, aber viele User sicher nicht.


Danke
Sascha

 

[Pecos]

Standardmäßig verwendet vBulletin soweit ich weiß Hashes mit Salt (allerdings wohl auch nur md5 und kein SHA)...und ich denke mal nicht, dass scorpio das ausgebaut hat...

Dennoch sollte man eventuell mal darüber nachdenken die User zu informieren...das Daten abhanden gekommen sind scheint mir jedenfalls bestätigt zu sein...
Auch besteht sicherlich die Möglichkeit, dass nicht nur die Email-Adressen kopiert wurden...so könnten unsichere Passwörter auch relativ schnell herausgefunden werden...
Und aufgrund des doch recht großen Handelsbereiches, dürften sich in den PNs sicherlich auch einige Bankverbindungen finden lassen...

 

[Bildermichel]

das Daten abhanden gekommen sind scheint mir jedenfalls bestätigt zu sein...

Wer sagt das ?
Ich habe jedenfalls keinen Spam erhalten,ich kann mir auch vorstellen das es noch ein oder zwei andere Möglichkeiten gibt wie man an Mailadressen kommt.
Das es hier im Forum ein paar Betroffene gibt liegt absolut im Zufallsbereich.
mfg Michael