Elektroroller-Forum.de

Jetzt würde mich dann doch interessieren, was genau passiert ist (und sei es als mahnendes Beispiel für eigene Unternehmungen) und welche Konsequenzen das für uns haben könnte.
Insbesondere auch ob ein zusätzlicher Passworttausch empfohlen wird oder ob das im großen Stil jetzt noch eher kontraproduktiv sein könnte.

Juhuu...Ich bin wieder drin!!!So wie es vor Jahren der Boris bei AOL verkündete...

Danke also den fleissigen Helfern im Hintergrund...

LG Jan

PS: Ich hätte mir aber gewünscht, dass das Problem gleich für alle sofort sichtbar verkündet worden wäre. Das
hätte mir viele Anmeldeversuche + die HIlferufmail erspart. Statt dessen war die Info bei Bekanntmachungen, b.z.w.,
neues Thema. Vielleicht auch mein Fehler da nicht "unten" hingeskrollt zu haben...

Also was besseres wie "BEHOBEN " hinten an den Thread-Titel hängen ist mir halt nicht eingefallen. Immerhin taucht diese Globale Ankündigung ganz oben über jedem Unterforum auf...

MEroller hat geschrieben: Di 19. Sep 2023, 14:56 Also was besseres wie "BEHOBEN " hinten an den Thread-Titel hängen ist mir halt nicht eingefallen. Immerhin taucht diese Globale Ankündigung ganz oben über jedem Unterforum auf...

O.K. - Mir ist halt keine solche Info gleich ins Auge gesprungen...Wie gesagt evtl.,auch mein Fehler...
...Aber jetzt ist es gut sichtbar. Vielleicht hatte ich einen Tunnelblick ...
LG Jan...

PS: Habe Dir eine PN geschrieben...

Anscheinend hat das Forum Romanum gerade das gleiche Problem ...Verbindung wird abgelehnt,weil Server nicht sicher ist Ein Hacker Großangriff ...?
Gruß Pottdriver

An die Superg´scheiten hier die der Auffassung sind Zwei-Faktor-Authetifizierung bringt nichts:

Zum Einen, wenn jemand hier vorbei kommt muss er einerseits was wissen und anderseits muss er was haben was unre Garantie nicht der Fall sein wird außer ein hat de Person gefangen und übt Gewalt aus.

Banken wurden auch erwähnt und jaja, die machen das bestimmt auch nur weil es sinnlos ist gell

Egal, man will hier garantiert wichtige Daten abziehn wer welchen Roller fährt etc.

Schönen Abend noch mitnander

Hast Du was geraucht?

Nur um kurz alle wach zu rütteln. Das Forum wurde komprimitiert und sicherlich die Datenbank gekapert. Meist werden dann Email und Passwörter auf irgendwelchen dubiosen Webseiten verkauft.

Danach werden die Daten an Bots verfüttert und die gehen dann im www überall testen wo die Kombination passt. Meist werden dadurch anderswo Lücken offen gelegt oder mit dem Zugriff auf email Adressen werden falsche Einkäufe auf eBay getätigt usw.

Also nutzt bitte unbedingt einen Passwortmanager und verwendet bei kritischen Logins immer ein unterschiedliches und sicheres Passwort.

@STW Bitte beachte https://dsgvo-gesetz.de/art-34-dsgvo/

Du bist in der Pflicht deine (z. B. inaktive) Nutzer über diesem Vorfall zu informieren. Dabei reicht kein Stickypost wie dieser, da davon sicher nicht alle registrierten Nutzer Wind bekommen. Es wäre also gut eine Email - Admin Rundmail an alle Nutzer zu schicken.

Im Forum ist sicherlich kein Passwort hinterlegt, sondern nur ein Hashwert. Bei trivialen Passworten kann man über ein Wörterbuch aus dem Hashwert das Passwort ermitteln, bei etwas komplexeren Strukturen nicht. Wenn es ein salted Hash ist (keine Ahnung, ob das hier der Fall ist, der Admin wird es wissen), dann ist auch das Rückermitteln eines Passwortes per einfacher Wörterbuchsuche nicht mehr möglich.
Und ansonsten gilt die gute Regel: verwende kein Passwort (und auch keinen gleichnamigen Account) auf mehreren Webseiten. Ob es dagegen eine gute Idee ist, einen Passwortmanager auf einem i.d.R. schlecht geschütztem PC zu verwenden, der eher und unbemerkter geknackt wird als ein Server, ist auch noch eine spannende Sache ...

Ob überhaupt die (User-)Datenbank geknackt worden ist oder nur ein ein Stück Extrasoftware z.B. für Spamversand installiert wurde ist auch ein Unterschied. Man muss keine Userdaten abgreifen, kann den Server aber für andere Zwecke kapern. Was genau vorgefallen ist (ich meine aus dem Kontext gelesen zu haben, dass es einen "bösen" Upload gab) und ob Userdaten betroffen waren weiß sicherlich der Admin, und dementsprechend ist es auch seine Aufgabe abzuwägen, ob eine Rundmail notwendig ist, um sich DSGVO-Konform zu verhalten.
Beim letzten Hack vor einigen Jahren gab es zumindest eine Rundmail, auch ohne eine DSGVO, weil da tatsächlich Userdaten abgegriffen worden sind. Da saß ich gerade im Urlaub auf einem Berg im Schwarzwald und habe per 2G-Verbindung das Passwort gewechselt.

Etwas affig erscheint mir aber die Vorstellung, dass es ein Angreifer drauf abgesehen hat zu ermitteln, wer welchen Roller fährt, und das dann noch als "wichtige Daten" bezeichnet. Das haben die meisten im öffentlichen Profil stehen, oder haben gleich einen "anonymisierten" Nutzernamen wie CE04. Man muss nicht einmal einen Forenaccount haben, um die Infos einsehen zu können.
Meine größte Sorge ist nun nicht, dass mir künftig chinesische Rollerhersteller das Postfach zuspammen mit Produkten, die besser sein sollen als meine RGNT.

Danke an die Admins des Forums.
Das war bestimmt viel Arbeit und hat jede Menge Zeit gekostet.
Heute konnte ich mich wieder normal anmelden.