Sicherheitslücke in xenForo

[derTroublemaker]

Erstmal Passwort geändert

 

[Exa_Byte]

Strafanzeigen sind gegen intelligente Hacker glaube ich schwierig durchzubekommen. Ein Forenaccount von ihm in einem Hackerforum hab ich gefunden und zusätzlich besitzt die Seite ein SSL-Zertifikat. Allerdings bin ich mir nicht sicher, ob man da wirklich Klarnamen und Adressen angeben muss. Ich glaube eher nicht.

Ja der Besitzer der Seite u1x.xyz hat den Nicknamen "TotalSniper", zudem scheint er in der Blackhat-Hacker Szene aktiv zu sein. Mehr konnte ich aber auch nicht über ihn herausfinden.
Und für ein SSL-Zertifikat muss man nicht seinen richtigen Namen etc. angeben, somit wird man darüber keine Möglichkeit haben ihn ausfindig zu machen.

Sollten nicht am besten alle User mit einer E-Mail informiert werden? Ich meine, natürlich sind die Passwörter in der DB gehashed und abgefangene Session-IDs sollten eigentlich auch keine (gravierende) Sicherheitslücke (mehr) darstellen, aber wenn es offiziell jedem empfohlen wird sein Passwort zu ändern...?

Es wäre eigentlich besser an jeden Nutzer eine E-Mail zu senden. Denn wenn ein Skript eingebunden wurde wie beispielsweise das der u1x.xyz Seite, dann werden die Passwörter im Klartext abgefangen. Und wenn meine Vermutung richtig ist, auch schon im Januar. Die Entscheidung liegt dennoch beim Team.


Und ich hätte zu meiner Vermutung gerne eine Antwort vom Team. @geNAZt @goebel123 @Blaxono

MfG
ExaByte

 

[cz1230]

Danke für die Warnung, ich finde es toll, dass das Team sowas sofort veröffentlicht
Wenn ich mich heute eingeloggt habe aber gestern nicht, muss ich nichts machen oder??



Sollte der, der den Code eingeschleust hat das lesen, dein Niveau liegt UNTER dem Nullpunkt!!!


LG cz1230

 

[l18KzkdHw3-uLOAX6nM6cnUl]

Ich hab mich aber nicht eingeloggt xD

 

[YAgOrPhkN5qcmoO4qB27KtEf]

Habe es nicht nötig, da ich die Person kenne die das gemacht hat, und wir den Account teilen.

 

[Exa_Byte]

Habe es nicht nötig, da ich die Person kenne die das gemacht hat, und wir den Account teilen.

Du kennst die Person, die den Hack durchgeführt hat?

MfG
ExaByte

 

[v_f_1]

Somit könnt ihr euch dann nurnoch mit Codes von eurem Smartphone oder Emails einloggen

Die Sachen, die sie in Steam hassen, jetzt auch in Minecraft erhältlich!
^^

Ich werd dann mal mein Passwort ändern :c

 

[1YI1lp7tIyrYZkxAyo3qcELF]

Dieser Moment...

Wenn man erst jetzt die Nachricht gesehen hat.

 

[Exa_Byte]

Nochmal:
Ich bitte um eine Antwort auf meine Vermutung.
@geNAZt @Batschkoto @Clexxer @Dosenwerfer @LabyStudio @Snoxh @lukas81298

MfG
ExaByte

 

[2Ty-BmD4Mq-0FE5TGNtwuAly]

Nochmal:
Ich bitte um eine Antwort auf meine Vermutung.
@geNAZt @Batschkoto @Clexxer @Dosenwerfer @LabyStudio @Snoxh @lukas81298

MfG
ExaByte

Warum markierst du LabyStudio?
LabyStudio ist Mod-Developer, also kümmert er sich um die LabyMod.

 

[Buchstabensalat]

haha zum glück hatte ich gestern kein Internet xD

 

[Knockback_King]

Das habt ihr alles @Ich05 zu verdanken der genauer nachgesucht hat .__.

 

[Exa_Byte]

Hey,

wie ich gerade durch @Knockback_King erfahren habe handelte es sich bei diesem Skript auch um "h.js". Somit sind alle Nutzer in einem unbekannten Zeitraum betroffen!

Ich bitte das Team jeden Nutzer zu benachrichtigen.

MfG
ExaByte

 

[Deleted member 16202]

Das habt ihr alles @Ich05 zu verdanken der genauer nachgesucht hat .__.

Danke Schade das es keine SkriptBountys gibt
Nicht nur mir. @Exa_Byte hat es schon vor einem halben Jahr gefunden und @Maxthat hat mich bestärkt, dass das Ding die Logindaten klaut.

 

[LumaxLP]

Was ist denn, wenn ich mich nicht zu der genannten Zeit eingeloggt habe?
Muss ich mein Passwort trotzdem ändern? Besteht die Möglichkeit, dass meine
Accountdaten abgefangen wurden?
Vielen Dank im Voraus!
LG Lumax

 

[Exa_Byte]

Was ist denn, wenn ich mich nicht zu der genannten Zeit eingeloggt habe?
Muss ich mein Passwort trotzdem ändern? Besteht die Möglichkeit, dass meine
Accountdaten abgefangen wurden?
Vielen Dank im Voraus!
LG Lumax

So lange sich das Team nicht meldet kann man nichts genaueres sagen. Es sieht aktuell so aus, als wenn auch im Januar schon Daten abgefangen wurden.
@geNAZt

MfG
ExaByte

 

[Knockback_King]

So lange sich das Team nicht meldet kann man nichts genaueres sagen. Es sieht aktuell so aus, als wenn auch im Januar schon Daten abgefangen wurden.
@geNAZt

MfG
ExaByte

@jasaush
Kannst du helfen?

 

[8tgmR8T6OK4OEy3xZtKlKwAo]

Hatte bei Passwort merken einen Hacken. Ändern oder nicht?

Kommt drauf an, ob du dich gestern um die genannten Uhrzeiten eingeloggt hast oder nicht.

Hey c:

Wenn man die 2 Schritte anmeldung aktiviert, sollte man das Passwort dann trotzdem ändern?

Sicherer wäre es schon. Ändere es einfach auf allen Plattformen, auf denen du dasselbe Passwort wie hier benutzt, dann kann nichts mehr schief gehen.

 

[MJo1zJiMXp_KzyGj2uKyIEYk]

Der Account von einem Freund ist vom Forum gebannt... kann er seinen Namen trotzdem ändern?

Mfg Wave

 

[Exa_Byte]

Gibt es wirklich keine Äußerung vom Team?
Erneut:
@geNAZt @jasaush

MfG
ExaByte