Kommentare zu: Datenleck bei bsmparty.de

Von: abs

abs — Fri, 29 Jan 2010 09:28:30 +0000

Private Gruppenforen welche nur für Gruppenmitglieder sichtbar sein sollen sind für alle zugänglich. So indiziert google etwa auch das verstecke, vermeintlich nur für BSM-Moderatoren zugängliche Forum http://www.bsmparty.de/forum/kat/12274.

Seit Wochen bekannt, dass es Probleme gibt, für Moderatoren ist die Sache mit einer Sperre des Users erledigt.

Von: Jahresrückblick 2009 : netzpolitik.org

Jahresrückblick 2009 : netzpolitik.org — Tue, 22 Dec 2009 14:38:51 +0000

[...] Datenleck bei bsmparty.de. [...]

Von: Duff

Duff — Tue, 10 Nov 2009 11:18:26 +0000

Überleg dir mal, wen du Idiot nennst!!!

Von: gary

gary — Mon, 26 Oct 2009 15:20:25 +0000

@Duff
Danke für die Analyse.

Man hat also aufgrund von Panik nach dem Servereinbruch gleich mal noch von betreiberseite selbst eine Sicherheitslücke eingebaut, indem man die leaked passwords einfach entfernte.

@Kerstin:
“Die Passwörter konnten nur kurz nach dem Datenklau beliebig verändert werden, da bsmparty die webseite umgestellt hat, dh. es wurden die passwörter zurückgestellt und die user konnten dann die passwörter ändern”

Das ist kein Grund und keine Rechtfertigung, sondern ist eher ein Hinweis auf Inkompetenz der Betreibers.
Faszinierend welche Leute heutzutage Server betreiben dürfen…

Von: Daniel

Daniel — Sun, 25 Oct 2009 19:17:13 +0000

@Kerstin:

Lieber jemand, der das testet und meldet, als jemand der das heimlich macht und niemanden mitteilt. Die zweiteren sind nämlich diejenigen, die damit dann schlimme sachen anstellen.

Von: Kerstin

Kerstin — Sun, 25 Oct 2009 16:37:57 +0000

Die Passwörter konnten nur kurz nach dem Datenklau beliebig verändert werden, da bsmparty die webseite umgestellt hat, dh. es wurden die passwörter zurückgestellt und die user konnten dann die passwörter ändern, wenn dann so “idioten” wie du Duff das wieder ausnutzen bist du echt das letzte was rumrennt!

Von: m94.5-Netzticker #008: Leistungsschutzrecht « m94.5 Netzticker

m94.5-Netzticker #008: Leistungsschutzrecht « m94.5 Netzticker — Sun, 25 Oct 2009 16:32:30 +0000

[...] netzpolitik.org: Datenleck bei bsmparty.de [...]

Von: Wochenrückblick 18.10.2009 – 24.10.2009 « Sikks Weblog

Wochenrückblick 18.10.2009 – 24.10.2009 « Sikks Weblog — Sun, 25 Oct 2009 08:49:56 +0000

[...] sind es. Und denen kommt man mit so einem lächerlichen Pass nicht bei. 2009-10-19: Datenverlust Datenleck bei bsmparty.de : netzpolitik.org 130.537 User zeigt bsmparty.de stolz gleich in der obersten Zeile der Startseite an. Rund 130.000 [...]

Von: Bits und so #170 (Turbo Boost) | Bits und so

Bits und so #170 (Turbo Boost) | Bits und so — Sat, 24 Oct 2009 16:40:13 +0000

[...] bei SchülerVZ + bsmparty und [...]

Von: Duff

Duff — Thu, 22 Oct 2009 14:41:25 +0000

@Seppl:

Das weiß ich selber auch, aber die anderen haben es ja gesehen, dass es gegangen ist, weiter muss ich mich nicht rechtfertigen!!!

Hab ja gesagt, dass da was falsch sein muss!!!!

So long…..

Von: gpkvt

gpkvt — Wed, 21 Oct 2009 20:46:12 +0000

@keba: echo erzeugt automatisch einen Zeilenumbruch, der an md5sum weitergegeben wird, du bekommst also den md5-Hash für uuuuZEILENUMBRUCH.

Du musst echo den Zeilenumbruch abgewöhnen (ich glaube echo -n), dann dürfte der Hash passen.

Von: Keba

Keba — Wed, 21 Oct 2009 13:14:40 +0000

Vllt bin ich ja zu doof, aber ein
echo “uuuu” | md5sum ergibt bei mir _nicht_ die zweite md5sum, sondern “14f12199881dd478d7206f2a8699079d”. Entweder will tmto.org nicht, oder ich hab was falsch verstanden. Aber was?

Von: seppl

seppl — Wed, 21 Oct 2009 10:18:08 +0000

@Duff:
Wenn man sich nach dem Hack bei bsm mit dem alten Passwort angemeldet hat, dann kommt ein Fenster wo man aufgefordert wird, dass man sein Passwort ändern soll.

Also wenn das alte Passwort von einem beliebigen User Dir nicht bekannt ist, dann kann man es nicht ändern. Außer Du hast das alte Passwort, dann gehts natürlich…
Da muss wohl bei Dir was falsch gelaufen sein.

Von: Duff

Duff — Tue, 20 Oct 2009 15:57:56 +0000

@ Daniel Wildfeuer:

Wenn ich mein eigenes PW geändert hätte, würde ich mich nicht wundern! (FI/AE)
Naja haben ja mehr gesehen, dass es gegangen ist!

Von: Daniel Wildfeuer

Daniel Wildfeuer — Tue, 20 Oct 2009 13:01:27 +0000

@Duff: Bitte sende mir deinen Nicknamen per Mail (support at bsmparty.de), dann prüfe ich diesen Sachverhalt.

Wobei ich mir das ehrlich gesagt nicht vorstellen kann da man nur an einer Stelle das Passwort ohne Abgleich ändern kann und das ist der aktuelle Loginscreen, der direkt nach dem Login erscheint, dieser bezieht sich auf den aktuellen User. Wahrscheinlich hast du dein eigenes Passwort geändert.