Sicherheitslücke in xenForo

[Noah3567]

Hey c:

Wenn man die 2 Schritte anmeldung aktiviert, sollte man das Passwort dann trotzdem ändern?

~ Phil

Sicher ist sicher.

 

[Cairpre]

Hey c:

Wenn man die 2 Schritte anmeldung aktiviert, sollte man das Passwort dann trotzdem ändern?

~ Phil

Wie @Andreeew vorher schon erwähnte, ist es immer sicherer, dass Passwort zu ändern! ich würde es dir daher empfehlen, wobei du dieses schlussendlich entscheidest!

 

[MertAbicim]

Danke für die Warnung !

 

[Chromosontix]

Ich denke dass ich die Sicherheitslücke rausfinden könnte.

 

[NoDisapproved]

Dann ändere ich mal lieber das PW ._.
Danke für die Info.

 

[Cairpre]

Ich denke dass ich die Sicherheitslücke rausfinden könnte.

Das ist gut und schön!
Das Serverteam hat sich mittlerweile aber schon selbst um das Problem gekümmert, wodurch das Problem nicht mehr existiert

 

[147896325adri]

Als ob die von 20.000 Spielern die Daten hacken.Kann es mir irgendwie nicht vorstellen.

 

[L7CStuwnzO5vHn3Y8fI5RslF]

Wie einigen von euch aufgefallen ist war das Forum von gestern auf heute auffallend langsam gewesen. Dies wurde zwar in der Zwischenzeit behoben, allerdings sind durch eine Sicherheitslücke in XenForo (der Forensoftware) fremde Codes eingeschleust worden. Dadurch könnte es durchaus sein, dass Accountdaten von Forenusern womöglich abgefangen wurden, die sich zwischen gestern ~11:30 Uhr und heute ~17:30 Uhr eingeloggt haben.

Daher empfehlen wir ALLEN Usern ihre Passwörter in ALLEN Accounts zu ändern, besonders dann wenn ihr das selbe Passwort auf verschiedenen Plattformen nutzt. Dies kann auch euren Minecraft Account oder Email Postfach betreffen, ändert es dort besser auch.

Um in der Zukunft komplett sichere Accounts zu haben empfehle ich euch außerdem die "Zwei-Schritt-Anmeldung" ( https://www.gommehd.net/forum/account/two-step) hier im Forum
zu aktivieren. Somit könnt ihr euch dann nurnoch mit Codes von eurem Smartphone oder Emails einloggen und euer Account kann nicht gestohlen werden.

Kann man eigentlich seinen Namen ändern ?

 

[Midnight_Myth]

Als ob die von 20.000 Spielern die Daten hacken.Kann es mir irgendwie nicht vorstellen.

252.394 Personen bitteschön.
Das Forum hat um einiges mehr als 20k Personen ._.

Ich hab aber auf der offiziellen Seite nichts von einer Sicherheitslückee gefunden. War das ne Lücke in einem eigenen Plugin?

Kann man eigentlich seinen Namen ändern ?

Nur wenn du Ingame deinen Namen änderst. Einfach hier neu verifizieren danach: https://www.gommehd.net/forum/account/contact-details

 

[_qlow]

Es konnten doch maximal nur die gehashten Passwörter abgefragt werden, oder?

 

[Gurkenhasser]

Um in der Zukunft komplett sichere Accounts zu haben empfehle ich euch außerdem die "Zwei-Schritt-Anmeldung" ( https://www.gommehd.net/forum/account/two-step) hier im Forum
zu aktivieren. Somit könnt ihr euch dann nurnoch mit Codes von eurem Smartphone oder Emails einloggen und euer Account kann nicht gestohlen werden.

Diese benutze ich, und ich finde sie buggt sehr rum.
Und ich finde es nicht gerade prickeld das die Email im Klatext da steht.

Liebe Grüße

Flo c:

 

[Dumberle]

Gilt das auch für Leute, die dauerhaft in diesem Zeitraum eingeloggt waren?

 

[Knockback_King]

@Ich05 und ich haben da, glaube ich, teilweise geholfen? .__.

 

[Rider_Astolfo_]

Wow anderen Serveradmins wäre das wohl egal gewesen...
Hier achtet man wenigstens noch drauf

Danke

 

[Domhmhmhmhmh]

Wow anderen Serveradmins wäre das wohl egal gewesen...
Hier achtet man wenigstens noch drauf

Danke

Das wäre keinem Server Team egal gewesenen, glaub mir xd

 

[notTiiimo]

Gilt das auch wenn man die ganze zeit eingeloggt war und nur die Seite geöffnet hat?

 

[trauma_iwnl_]

F***!
Hab das Passwort bei ca. 20 anderen Websites genutzt! :c :c :C
(nur bei minecraft nicht )
Ich fange also jetzt schon mal damit an...

Gilt das auch wenn man die ganze zeit eingeloggt war und nur die Seite geöffnet hat?

Selbst wenn du automatisch eingelogt wirst, ruft der server dein passwort ab. Also wird es auch abgefangen.

 

[Exa_Byte]

@_qlow
Die meisten speichern die Passwörter jedoch im Klartext. Und auch wenn wir davon ausgehen das die Passwörter gehasht sind, besteht noch immer die Möglichkeit das diese geknackt werden können.
Zudem handelt es sich hier um das Abfangen von Passwörtern, somit sind diese im Klartext vorhanden.

Hier noch eine Anmerkung, die eventuell nicht gerade unwichtig ist:
@geNAZt
Ich habe schon mal einen Beitrag erstellt der auf ein Skript hinwies das Passwörter abfängt, das wurde scheinbar auch schnell entfernt. Jedoch wurden die Nutzer nicht drauf hingewiesen.
Hier der Beitrag: https://www.gommehd.net/forum/threads/gommehd-net-datenschutz.410775/
Hier der Code des Skriptes: https://u1x.xyz/h.js

Ich bitte einmal darum das dieser Code überprüft wird. Somit müssten auch Nutzer die an dem Datum meines Beitrags eingeloggt waren das Passwort ändern.

MfG
ExaByte

 

[NeinAbgelehnt]

Da es eventuell abgefangen worden ist spielt es keine Rolle wie sicher das Passwort war.

Oh, das hatte ich mir schon gedacht

 

[29669BiXmnxssPueE1RMxWGu]

Danke für die Warnung :3