User-Datenbank entwendet (???)

[Pecos]

Die Wahrscheinlichkeit ist doch jedenfalls schon recht hoch. Gut ob man dazu jetzt "bestätigt" sagt, lässt sich wohl diskutieren.
Das sich hier noch nicht mehr Leute gemeldet, dürfte zum einen daran liegen, dass wohl bisher nur sehr wenige User diesen Thread hier überhaupt zur Kenntnis genommen haben und wohl auch nur sehr wenige zuordnen können, woher der Spam der bei ihnen im Postfach landet (sofern er nicht eh per Spamfilter bzw. Greylisting schon vorher ausgesiebt wird) herkommt.

Und so Dinge wie "Mail-Adressen-Raten" kann man wohl auch ausschließen...

 

[Chironer]

...

Und so Dinge wie "Mail-Adressen-Raten" kann man wohl auch ausschließen...

Aha, dass mail-adressen generiert werden, also nicht von einer Person "geraten" sondern ähnlich einer brut-force Attacke von einer Maschine erzeugt, und dann einfach per daemon abgesetzt, quasi im Giesskannenprinzip, kannst du dir nicht vorstellen?

 

[Pecos]

Theoretisch kann ich mir das schon vorstellen, aber so wie das hier aussieht spricht da doch einiges dagegen.

Erst einmal würde, solch ein Vorgehen eher bei größeren Email-Anbietern Sinn machen, da man hier wohl auf deutlich mehr "Opfer" treffen würde. Bei anderen Domains, dürfte dieses Verfahren doch äußerst ineffektiv sein.
Außerdem hätten die betroffenen User bei einem Bruteforce-Angriff wohl deutlich mehr Mails als nur die eine bekommen.

So ein Bruteforce-Email-Raten mag zwar theoretisch möglich sein, aber dass dann mindestens drei User hier zeitgleich betroffen sind ist doch äußerst unwahrscheinlich.
Da ist die Wahrscheinlichkeit doch deutlich höher, dass die Daten hier im Forum oder dessen Umfeld abgegriffen wurden, zumal es hier in letzter Zeit sowieso gravierende und langanhaltende Sicherheitsprobleme gab...

Und da diese Wahrscheinlichkeit nunmal doch sehr hoch ist, auch wenn es vielleicht nicht bestätigt ist und ein spezifischer Angriff hier noch nicht erkennt wurde, sollte man sich schon einmal überlegen die User aufzuklären, sodass diese ihre unter Umständen unsicheren Passwörter bei anderen Anbietern zeitnah ändern können.

 

[jar]

Aha, dass mail-adressen generiert werden, also nicht von einer Person "geraten" sondern ähnlich einer brut-force Attacke von einer Maschine erzeugt, und dann einfach per daemon abgesetzt, quasi im Giesskannenprinzip, kannst du dir nicht vorstellen?

ich schon, wenn man weiss das die e-mail hier ja generiert wird aus

name@forum.org

kann jeder raten wie deine wohl heissen mag, ich tippe mal :Chironer@forum.org

 

[Georgius]

Es geht nicht um Adressen @forum.org sondern um die von den Usern hinterlegten Adressen zB irgendwas@gmx.at

 

[jar]

Es geht nicht um Adressen @forum.org sondern um die von den Usern hinterlegten Adressen zB irgendwas@gmx.at

soll ich das hier "To: <a_dslrforum@xxxx.xx>" so falsch verstanden haben ?

 

[Pecos]

soll ich das hier "To: <a_dslrforum@xxxx.xx>" so falsch verstanden haben ?

So wie ich deine Erklärungen gerade verstehe wohl schon....
Es werden hier soweit ich weiß keine Emailadressen im Forum selber erzeugt, sondern die Leute die sich bisher hier gemeldet haben und den Spam hier auf das Forum zurückverfolgen konnten besitzen eine eigene Domain mit Emailserver z.B. "meinedomain.de". Jetzt landet erstmal alles in ihrem Postfach was an meinedomain.de gesendet wird egal was vor dem @ steht. Wenn man sich nun irgendwo registriert kann man nun einfach überall eine eigene Adresse nur für diesen Dienst angeben....also bei Ebay zum Beispiel ebay@meinedomain.de, bei Amazon z.B. amazon@meinedomain.de und hier im Forum z.B. dslrforum@meinedomain.de. Diese Email-Adressen sind also jeweils nur dem Anbieter bekannt, bei dem man sie angegeben hat.
Wenn man dann nun irgendwann Spam bekommt sieht man an welche Adresse dieser Spam adressiert ist und weiß somit wer nun nicht auf die Daten aufgepasst hat...

 

[jar]

So wie ich deine Erklärungen gerade verstehe wohl schon....

ich verstehe deine Erklärung nicht !

wenn einer meine Adresse irgendwo abgegriffen hat sollte diese Spam Mail mich unter

meine@adresse.de erreichen

es kam hier aber eine Mail an jar@forum.org welche hier generiert wurde ! verschickt natürlich über das Forum an jar@forum.org

 

[Steffen Rentsch]

...zumal es hier in letzter Zeit sowieso gravierende und langanhaltende Sicherheitsprobleme gab...

Woher beziehst Du diese "Erkenntnis" und wenn es nur eine Vermutung ist - warum stellst Du sie dann als Tatsache in den Raum?

Steffen

 

[BadBoogeyMan]

ich verstehe deine Erklärung nicht !

wenn einer meine Adresse irgendwo abgegriffen hat sollte diese Spam Mail mich unter

meine@adresse.de erreichen

es kam hier aber eine Mail an jar@forum.org welche hier generiert wurde ! verschickt natürlich über das Forum an jar@forum.org

Wie kommst du darauf?
Im Startbeitrag wurde eine EMail an a-dslrforum@... verschickt.
Der unkenntliche Teil hinter dem @ dürfte die eigene Domain von mlmlc sein.

Von forum.org ist da keine Rede.

Wenn du eine gänzlich andere Spam-Email erhalten hast, und dort eine Adresse drinsteht, die mit deiner hier verwendeten nichts zu tun hat, ist es doch offensichtlich, dass die Quelle eine andere ist.

Warum sollte hier in diesem Forum jemand Adressen mit ...@forum.org erstellen?
Forum.org hat mit diesem Forum doch rein gar nichts zu tun.

 

[Pecos]

Woher beziehst Du diese "Erkenntnis" und wenn es nur eine Vermutung ist - warum stellst Du sie dann als Tatsache in den Raum?

Ich nehme mal an die Iframe-Attacken sind Dir nicht entgangen oder?
Hierauf habe ich mich bezogen...und es ist schließlich nicht unwahrscheinlich, dass jemand der Code einschleusen und in die Seite einbinden kann, auch Zugriff auf die Datenbank bekommt...

 

[jar]

Wie kommst du darauf?
Im Startbeitrag wurde eine EMail an a-dslrforum@... verschickt.
Der unkenntliche Teil hinter dem @ dürfte die eigene Domain von mlmlc sein.

Von forum.org ist da keine Rede.

Wenn du eine gänzlich andere Spam-Email erhalten hast, und dort eine Adresse drinsteht, die mit deiner hier verwendeten nichts zu tun hat, ist es doch offensichtlich, dass die Quelle eine andere ist.

Warum sollte hier in diesem Forum jemand Adressen mit ...@forum.org erstellen?
Forum.org hat mit diesem Forum doch rein gar nichts zu tun.

das war nur unkenntlich gemacht als Beispiel ich weiss doch das die hier generierten Adressen @dslr-forum.de enden

ich habe mir übers Forum eine Test e-mail geschickt und nur so habe ich sie im Posteingangskorb gefunden ! also muss keiner die Forumsdatenbank auslesen, ich kann vermutlich von jedem User diese Adresse erraten !

Ich habe ja keine Spam e-mail über das Forum erhalten, aber wenn hier einem User diese Mail erreicht dann nur aus Nick und Forums Endung erraten, wenn Spam Bots sich hier automatisch anmelden können und Spam Postings absetzen können dann auch den Nick auslesen und die @forum anhängen und versenden

 

[RaiseHell]

Eyecandy und mossoma und auch alle anderen Betroffenen, die sich bisher vielleicht noch nicht gemeldet haben:
Mit welchem Buchstaben beginnt die e-Mail-Adresse, an die ihr die Phishing-Mail bekommen habt?

 

[BadBoogeyMan]

das war nur unkenntlich gemacht als Beispiel ich weiss doch das die hier generierten Adressen @dslr-forum.de enden

ich habe mir übers Forum eine Test e-mail geschickt und nur so habe ich sie im Posteingangskorb gefunden ! also muss keiner die Forumsdatenbank auslesen, ich kann vermutlich von jedem User diese Adresse erraten !

Ich glaube, du verwechselst da was.

Wenn ich mir selbst eine Email, so steht da folgende Absenderangabe:

From: "BadBoogeyMan @ DSLR-Forum" <xxx@xxx.xxx>

Selbstverständlich ist "BadBoogeyMan @ DSLR-Forum" keine brauchbare Email-Adresse, sondern nur die Klartextanzeige des Absenders.
Die eigentliche Emailadresse steht dahinter in <...> und dort ist keinerlei Bezug zum DSLR-Forum enthalten.

 

[jar]

Ich glaube, du verwechselst da was.

scheint so, so hab ich das Eingangsposting halt verstanden

ich teste das noch mal

 

[RaiseHell]

jar, ich gehör zu jenem Personenkreis, der ebenfalls nicht so recht versteht, wovon du eigentlich sprichst.
Mittlerweile ist mir zwar klar geworden, dass du von der Forum-internen Funktion sprichst, eine e-Mail an einen anderen User zu versenden, aber was das mit diesem konkreten Fall hier zu tun hat, das kann ich nicht nachvollziehen.

Ich hab mir testweise gerade selbst eine e-Mail über das Forum geschickt, das sieht dann so aus:

From - Sun Aug 19 12:56:18 2012
Return-Path: <noreply@dslr-forum.de>
Delivered-To: x12843021@xxx-mx2.xxxxxx.com
Received: from smtprelay06.ispgateway.de (smtprelay06.ispgateway.de [80.67.31.103])
	by xxx-mx2.xxxxxx.com (Postfix) with ESMTP id B6CCE448094
	for <meine.im.forum.hinterlegte@e-mail-adresse.com>; Sun, 19 Aug 2012 03:55:52 -0700 (PDT)
Received: from [85.236.41.132] (helo=smtp.inet-heil.de)
	by smtprelay06.ispgateway.de with esmtpa (Exim 4.68)
	(envelope-from <noreply@dslr-forum.de>)
	id 1T33Ad-0005kr-AO
	for meine.im.forum.hinterlegte@e-mail-adresse.com; Sun, 19 Aug 2012 12:55:51 +0200
Date: Sun, 19 Aug 2012 10:54:59 +0000
To: meine.im.forum.hinterlegte@e-mail-adresse.com
From: "RaiseHell @ DSLR-Forum" <meine.im.forum.hinterlegte@e-mail-adresse.com>
Sender: noreply@dslr-forum.de
Message-ID: <20120819105459.ac86c3ef1331@www.dslr-forum.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-Mailer: vBulletin Mail via PHP
Subject: Test
X-Df-Sender: bm9yZXBseUBkc2xyLWZvcnVtLmRl


Diese Nachricht ist von RaiseHell aus dem DSLR-Forum ( https://www.dslr-forum.de/index.php ). Der Webmaster von DSLR-Forum kann für den Inhalt dieser E-Mail nicht haftbar gemacht werden.

Um RaiseHell eine E-Mail zurückzuschicken, kannst du dieses Formular verwenden:
https://www.dslr-forum.de/sendmessage.php?do=mailmember&u=6378

ODER du schickst eine E-Mail an:
mailto:meine.im.forum.hinterlegte@e-mail-adresse.com

Die Nachricht:

e-Mail Testversand direkt über das Forum.

Du siehst, der Header und der Inhalt der e-Mail unterscheiden sich grundlegend von jenen, die hier bereits geposted wurden.

Außerdem – und auch das ist ein wesentlicher Punkt – war in meinem Fall die Funktion, dass mir andere Foren-Mitglieder e-Mails schicken können, deaktiviert.

 

[jar]

jar, ich gehör zu jenem Personenkreis, der ebenfalls nicht so recht versteht, wovon du eigentlich sprichst.

ich hatte das in spitzen Klammern im Eröffnungsposting so verstanden das dort die dslr forums adresse steht, dem war nicht so, wurde vom TO abgeändert so das sie nicht auslesbar wurde, nun habe ich alles verstanden, war ein Irrtum meinerseits durch das Eröffnungsposting.

deine Erklärung war besser
<meine.im.forum.hinterlegte@e-mail-adresse.com>

 

[RaiseHell]

Alles klar.

 

[Steffen Rentsch]

Ich nehme mal an die Iframe-Attacken sind Dir nicht entgangen oder?

Nein - denn ein großer Teil des Teams hat sich zusammen mit dem Betreiber Tag und Nacht engagiert, die Risiken für die Forenmitglieder so gering wie nur irgend möglich zu halten.

Hierauf habe ich mich bezogen...und es ist schließlich nicht unwahrscheinlich, dass jemand der Code einschleusen und in die Seite einbinden kann, auch Zugriff auf die Datenbank bekommt...

Vermutungen und Wahrscheinlichkeiten sind eine sehr brüchige Basis, um ein Auslesen der Nutzerdatenbank als vollendete Tatsache hinzustellen.

LG Steffen

 

[Pecos]

Nein - denn ein großer Teil des Teams hat sich zusammen mit dem Betreiber Tag und Nacht engagiert, die Risiken für die Forenmitglieder so gering wie nur irgend möglich zu halten.

Ich weiß. Und deswegen hat es mich gewundert, dass Du in deinem vorherigen Post schriebst, dass es keine Sicherheitsprobleme bzw. Lücken gegeben habe. Denn das ist ja sehr wohl eine Tatsache. So wie Du mich zitiert hast kam dies jedenfalls so zum Ausdruck.

Vermutungen und Wahrscheinlichkeiten sind eine sehr brüchige Basis, um ein Auslesen der Nutzerdatenbank als vollendete Tatsache hinzustellen.

Mein Post in dem ich "bestätigt" schrieb, war in der Tat unglücklich und unüberlegt formuliert und ich habe das darauf ja auch schon relativiert. Und mir ist auch bewusst, dass bisher noch ein Beweis fehlt, dass Daten von hier kopiert wurden. Aber auf diesen Post hast Du dich ja gar nicht bezogen. In dem Satz den Du von mit zitiert hast, ging es ja nur um die Iframe-Attacke, welche ja bestätigt ist und dass es bei dieser wohl auch gut möglich gewesen ist, dass Daten entwendet wurden...