Hallo liebe Helden,
wie wir euch im entsprechenden Informationsbeitrag erklärt haben, möchten wir euch in diesem Beitrag die Möglichkeit geben, Fragen zum Angriff auf unser Forensystem zu stellen. Wir werden die Fragen so gut es uns möglich ist beantworten und gegebenenfalls die FAQ im Informationsbeitrag erweitern.
Bitte lest euch den Informationsbeitrag zum Einbruch in die Forensysteme der Playata GmbH durch, bevor ihr eure Fragen stellt und vermeidet Diskussionen, um diesen Beitrag möglichst übersichtlich zu halten.
Toggle shoutbox
Shoutbox
|
Herzlich Willkommen im Forum von Hero Zero! Vergesst nicht, vor der Nutzung der Shoutbox und des Forums die offiziellen Forenregeln zu lesen. Bevor ihr eine Frage stellt, werft zudem einen Blick in die FAQ- vielleicht wurde eure Frage dort schon beantwortet. Danke für euer Verständnis und viel Spaß beim Chatten! |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1 votes
Einbruch in die Forensysteme der Playata GmbH - Fragenbeitrag
Started by Xashija, Jun 25 2015 13:01
12 replies to this topic
#2
(History)
-
- Shoutbox-Helfer
- 1,696 posts
Heldenhaftes Forenschnitzel
Posted 25 June 2015 - 16:02
-Was wurde unternommen damit das Forum in Zukunft sicher ist/bleibt?
-Müssen Wir seitdem Vorfall irgendwas beachten?
-Wie kam es dazu das sonen "Exploit" unbemerkt blieb?
Das wars von mir mit den Fragen
#3
PapaSchlumpf
-
- Mitglied
- 60 posts
Posted 25 June 2015 - 16:27
-Wie kam es dazu das sonen "Exploit" unbemerkt blieb?
Heutzutage geht vieles unbemerkt Hacker entwickeln sich immer weiter und weiter...kein Forum is vor sowas 100% sicher....
Und solange man diese "Lücken" schließt und so kein Hacker mehr durch kommen kann is alles jut ^^
Gegen die Mega Abzocke!
#4
Regnor
-
- Entwickler
-
- 132 posts
Administrator
Posted 25 June 2015 - 16:38
Hallo History,
dann will ich mal versuchen deine Fragen zu beantworten:
Welche Maßnahmen wurden unternommen damit das Forum in Zukunft sicher ist vor Angriffe?
Wir haben die Forensysteme nun auf einen komplett isolierten Server verschoben der extrem eingeschränkte Nutzungsrechte hat. Wir haben die Forensystemrechte auf dem Server nun weit über den Standard hinaus eingeschränkt. Das Adminpanel des Forums ist nun durch eine Zweifachauthentifizierung geschützt. Des Weiteren haben wir die Zugriffsrechte auf dem Server auf das allernötigste beschränkt. Außerdem wird der Server nun auf verdächtige Änderung überwacht (Intrusion Detection).
Müssen Wir seitdem Vorfall irgendwas beachten?
Falls Passwörter oder andere Benutzerkennungen via PN ausgetauscht sind so sind diese als kompromittiert zu betrachten und sofort zu ändern. Die Forenpasswörter wurden verschlüsselt gespeichert. Aus Sicherheitsgründen empfehlen wir jedoch das Forenpasswort zu ändern.
Wichtig in einem anderen Zusammenhang ist noch folgendes: Die Kriminalpolizei ermittelt weiter in diesem Fall. In diesem Zusammenhang möchten wir auch darauf hinweisen dass das Verlinken von möglichen Links auf die Datenbank oder das Herunterladen und Auswerten der Daten unter Umständen eine strafbare Handlung darstellen kann.
-Wie kam es dazu, dass so ein "Exploit" unbemerkt blieb?
Der Angreifer hat die Forensysteme auf mehrere Arten angegriffen. Welche das im Detail waren werden wir hier jedoch nicht öffentlich darlegen.
Viele Grüße
Regnor
#5
LuHappyx3
-
- Mitglied
- 117 posts
Posted 25 June 2015 - 18:30
Welche Maßnahmen wurden unternommen damit das Forum in Zukunft sicher ist vor Angriffe?
Wir haben die Forensysteme nun auf einen komplett isolierten Server verschoben der extrem eingeschränkte Nutzungsrechte hat. Wir haben die Forensystemrechte auf dem Server nun weit über den Standard hinaus eingeschränkt. Das Adminpanel des Forums ist nun durch eine Zweifachauthentifizierung geschützt. Des Weiteren haben wir die Zugriffsrechte auf dem Server auf das allernötigste beschränkt. Außerdem wird der Server nun auf verdächtige Änderung überwacht (Intrusion Detection).
Ist es trotzdem noch möglich, das Forum erneut zu hacken? Gibt es keine Lösung dafür, das es "ungehackt" bleiben kann? Kann man nun sich auf die ganzen Schutzprogramme verlassen?
#6
Guest_Devils Angel_*
Guest_Devils Angel_*
-
- Gast
Posted 25 June 2015 - 18:30
Ich hätte da auch ne Frage und weiss nicht ob es überhaupt möglich ist.Wäre es nicht Möglich einen anderen Forumhersteller zu nehmen?Denn genau dieser Anbieter wurde mehrmals gehackt( bereits 2013 z.b. Ubuntu-Forum) mit ähnlichen "Angriffen" wo ebenfalls Daten geklaut wurden und dieser Anbieter bekommt es anscheinend nicht hin die Forumsoftware sicher zu machen.
Wäre es da nicht sinnvoll sich nach einen anderen Forumanbieter umzusehen?
Denn ich verstehe viel spass und glaube gerne das es nicht unbedingt eure Schuld war,wenn jedoch Private Pns mit teilweise sehr privaten Inhalt geklaut werden finde ich das ganz und gar nicht mehr lustig und hoffe das so etwas Definitiv nicht mehr passieren wird.
#7
maddin1982
-
- Mitglied
- 297 posts
Posted 26 June 2015 - 05:31
Moin,
warum wurde das Forum nicht so eingestellt, dass man beim ersten Login automatisch ein neues Passwort vergeben muss?
Dies hätte zusätzliche Sicherheit der Forenaccounts gewährleistet.
Horrido
#8
Regnor
-
- Entwickler
-
- 132 posts
Administrator
Posted 26 June 2015 - 09:18
Hi LuHappyx3, zu deiner Frage:
Ist es trotzdem noch möglich, das Forum erneut zu hacken? Gibt es keine Lösung dafür, das es "ungehackt" bleiben kann? Kann man nun sich auf die ganzen Schutzprogramme verlassen?
Eine 100% ige Sicherheit gibt es leider im Internet nicht. Wir versuchen jedoch den Sicherheitsstandard so hoch wie möglich zu setzen. Ab einem bestimmten Punkt macht es auch für einen Angreifer keinen Sinn mehr so ein System anzugreifen, da der Aufwand in keinem Verhältnis zu seinem Nutzen mehr steht. Mit den aktuell getroffenen Vorkehrungen denken wir dass wir den Sicherheitsstandard schon sehr hoch gesetzt haben.
Und gleich weiter zur Frage von Devils Angel:
Wäre es da nicht sinnvoll sich nach einen anderen Forumanbieter umzusehen?
Generell ist eine Migration möglich. Wir haben uns in den letzten Tagen auch schon weitere Anbieter angeschaut. Dabei ist aber leider auch zu sagen, dass in jedem größeren Forensystem in der Vergangenheit schon Schwachstellen gefunden wurden. Durch die neuen Sicherheitsvorkehrungen denken wir, dass wir das Sicherheitsrisiko nun soweit wie möglich reduziert haben.
und zu Maddins Frage:
Warum wurde das Forum nicht so eingestellt, dass man beim ersten Login automatisch ein neues Passwort vergeben muss?
Nach unserem Stand bietet die Forensoftware so eine Funktionalität nicht direkt an. Dies ist nur durch die Einbindung von Drittanbieter Plugins möglich. Das Einbinden von weiterem zusätzlichem Code kann jedoch wieder ungewollt zu einer Schwachstelle im gesamten System führen.
Viele Grüße
Regnor
#9
Jim Root
-
- Mitglied
- 22 posts
Posted 26 June 2015 - 19:35
Kann es evtl. sein dass der Explodit auch sämtliche E-mail-Adressen gehackt und so Zugang zum Spiel geschaffen hat?
#10
Rimischonie
-
- Mitglied
- 1,038 posts
Posted 27 June 2015 - 17:48
und zu Maddins Frage:Warum wurde das Forum nicht so eingestellt, dass man beim ersten Login automatisch ein neues Passwort vergeben muss?
Nach unserem Stand bietet die Forensoftware so eine Funktionalität nicht direkt an. Dies ist nur durch die Einbindung von Drittanbieter Plugins möglich. Das Einbinden von weiterem zusätzlichem Code kann jedoch wieder ungewollt zu einer Schwachstelle im gesamten System führen.
Ihr hattet doch ein komplettes backup. Hätte einfach gereicht die hashes zulöschen aus der DB.
Somit hätte jeder User ein Request anfordern müssen an das Forensystem zum zurück/neusetzen des Passwords. Danach nur eine Rundmail an die Forenbenutzer schicken mit den Link zu der Forget Password funktion und fertig wäre die Sache gewesen.
Aber so, kann man es sich einfach machen und es auf den User abwälzen.
Trollst du, troll ich zurück. Trollst du nicht, troll ich trotzdem.
Never underestimate a troll
#12
koks one
-
- Mitglied
- 238 posts
Posted 23 July 2016 - 17:33
wieso wird das entfernt was ich geschrieben hab und jz will ich selber noch ne Frage dazu stellen okj ist zwa ein bissel her aber naja
allerdings hab ich den Text sehr oft irgendwo gesehen und der lautet: -Verwende keinen Adblocker um HeroZero zu spielen
und da meine Frage ist es net sinnvoller einen Adblocker aktiviert zu haben als keinen?Weil es ist doch um einiges Sicherer oder seh ich das falsch?
Ich hoffe ich bekomme eine Antwort
danke
mfg
☛к๏кร ๏ภє☚Bei dir sieht man keine Blasen,wie beim stillen Wasser.Bin einer der seltenen Free2Play Exemplaren die Playata noch nicht vergrault hat....
#13
tinii
-
- Mitglied
- 3,764 posts
Posted 25 July 2016 - 15:59
Sofern ein AdBlocker aktiviert ist, kann es zu Problemen kommen, dass das Spiel - bzw einige Teile davon - nicht so funktionieren wie vorgesehen.
Probleme können selbst dann auftreten, wenn man das Spiel als Ausnahme einrichtet da die Videowerbung, zum Beispiel, von Partnern bereitgestellt wird.
Aus dem Grund wird im Spiel empfohlen, keinen AdBlocker zu verwenden.
