ohh mann ich denke mir noch ganz entspannt, ist zwar scheisse aber zum glück hab ich dort nichts bestellt und keinen account.
kurz nochmal nachgesehen und siehe dar - falsch, hab voriges jahr dort 2 games geordert und damit sind auch meine Daten dabei.
das liegt schlicht dran das die ganzen websites einfach schlampig umgesetzt sind..
wenn man da schon liest das die lücke seit 2008 besteht.. da wird einem schlecht, und das ist nur nen dämliche spieleversand, Banken etc sind nicht weniger schlampig..
Kein Wunder heutzutage darf jeder Idiot ne Hp oder ein Forum betreiben.
ist schon krass wie vertrauenswürdig man seine daten an eine x-beliebiegen Shop weitergibt, ich für meinen Teil prüfe die Shops/Versandseiten nicht vorher...
aber irgendwann wird jede Bankinfo/Nummer in Daten umgewandelt und Daten kann mann nun mal "hacken"...
Ich verfolge das Thema auf diversen Blogseiten, wie auch Foren, das ganze erinnert mich an die spanische Inquisition.
Klar sicherlich ärgerlich, dennoch Frage ich mich, zum Teil auch als betroffener ohne gleich Vorwürfe und Anschuldigungen in den Raum zu werfen, welches System heutzutage sicher ist?
Sei es durch einen Bug im Shopsystem oder durch die richtigen Personen die sich in der Thematik "hacking" auskenne, bei letzterem ist wohl kein System sicher, man erinner sich an den Briten bzw. Schotten Gary McKinnon....
McKinnon hatte eingeräumt, sich Zugang zu Computern etwa der NASA, des Pentagon und des US-Militärs verschafft zu haben.
In dem Sinne.....
Frag mich sowieso welcher Schwachkopf mit "uhh das Pentagon" kommt.
Arbeiten auch nur Menschen.
Ich bin bei der Seite auch Angemeldet, hab dort zwar noch nicht viel bestellt.
Hab dort aber leider auch meine Bankdaten eingetragen.
Nur weil ein Einbruch in ein System stattfindet ist noch nicht schlampig gearbeitet worden. Gehen wir aber mal von diesem unserem Forum aus. Wo sind hier jetzt Angriffsflächen?
Serverseite
Das Forum selbst. Vielleicht sind hier Lücken drin, die ausgenutzt werden können.
Vielleicht bietet PHP selbst Lücken die ausgenutzt werden können.
Vielleicht bietet der Webserver, vermutlich Apache 2, Lücken die ausgenutzt werden können.
Vielleicht bietet der Datenbankserver, vermutlich MySQL, Lücken die ausgenutzt werden können.
Vielleicht bietet der Shellzugang zum Server Lücken die ausgenutzt werden können.
Vielleicht bietet der eingesetzte Linuxkernel Lücken die ausgenutzt werden können.
Vielleicht gibt es einen lokalen User mit unsicherem Passwort, das leicht geknackt werden kann.
Vielleicht gibt es genug Rechenleistung um ein sicheres Passwort zu knacken.
Clientseite
Vielleicht bietet das Betriebssystem des Administrators, der diesen Server betreut und wartet Lücken die ausgenutzt werden können.
Vielleicht bietet ein Browserplugin auf dem PC des Administrators/Kunden Lücken die ausgenutzt werden können.
Vielleicht bietet ein anderes Programm auf dem PC des Administrators/Kunden Lücken die ausgenutzt werden können. (Instant Messenger, eMailclient, Medienplayer, Tauschbörsensoftware, Dokumentenbetrachter, Bildbetrachter und noch viel mehr)
Vielleicht läßt sich das eMailkonto des Kunden/Administrators übernehmen und ein Passwort finden um den Server zu übernehmen.
Und damit habe ich nicht einmal 50% der verfügbaren Angriffsfläche durch. Wir können hier noch ewig schreiben, wo überall Angriffsfläche ist. Schlampig muss deshalb nichts gewesen sein.
das die lücke seit 2008 offen ist, ist schlampig..
Zitat:Original von Gabumon
das die lücke seit 2008 offen ist, ist schlampig..
Laut der Stellungsnahme auf der letzten Seite, ist die Sicherheitslücke erst jetzt bekannt geworden und das mit den 2 Jahren soll ein Gerücht sein.
Ich weiß jetzt zwar nicht wen man Glauben kann, anderseits gäbe es in 2 Jahren mit so einer Sicherheitslücke bestimmt schon Opfer von dessen Kontos abgebucht wurde, bzw. hätte bestimmt schon ein Betrüger die Daten missbraucht.
soweit ich weiss wurde denen vor über einem Jahr mitgeteilt das die seite ne sicherheitslücke hat, diese wurde aber nicht ausgenutzt
erst jetzt, weil die eben immer noch da ist..
Zitat:Original von EqPO
Vielleicht bietet der Datenbankserver, vermutlich MySQL, Lücken die ausgenutzt werden können.
*gg* erinnert mich an studivz, das per sql-injection gern das ein oder andere passwort verrät
