datenleck auf overclockers.at?

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5254

28.04.2014 - 13:25

ich verwende zur registrierung auf seiten eindeutige emailadressen
allso für jede seite eine eigene

seit 22.4. bekomme ich spam auf die adresse mit der ich mich hier registriert habe

ich würde dem team raten sich den neuen code nochmal genau anzuschaun (habe den verdacht das sie sich mit v4.thewin ein leck eingefangen haben)

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19764

28.04.2014 - 14:28

Sieh dir das SMTP Protokoll an, dann wirst du erkennen das Emails einfach in Plain Text über das Internet gehen und oc.at verwendet kein SSL ... there you have it

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5254

28.04.2014 - 14:35

ich glaube du machst es dir zu einfach

die adresse wurde zuletzt 2008 verwendet (abgesehn vom spam der letzten tage und der testmail von mat gerade)

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25450

28.04.2014 - 15:05

Du kannst mich hier direkt ansprechen, keine Verwendung der 3. Person Plural notwendig.

Die Unterschied im Code zwischen v4 und v4.thewin sind diesbezüglich minimal. Der große Unterschied ist nur die Profilseite, die nun frei zugänglich ist. Deshalb vermute ich eher eine Lücke in einer der Mail-Funktionen des Forums. Nachdem diese Mails allerdings immer unter notification [ät] overclockers.at verschickt werden, sind sie prinzipiell anonym gehalten - die Mailadresse eines Users kann so nicht nach außen gelangen. Ich hab jetzt kurzfristig ein Mail-Logging eingebaut, um die ausgehenden Mails mal genauer unter die Lupe nehmen zu können.

Ansonsten gibt es natürlich immer Platz für eine SQL-Injection. Wird werden nochmals ein Auge über den Code werfen und die Request-Logs studieren, vielleicht findet sich ja wirklich etwas.

Nur um es abzusichern: Ist deine Mailadresse über deinen Usernamen zu erraten? Das wäre nämlich weit plausibler als ein "Datenleck". zB: smash1t [ät] hotmail.com

Edit: Ich hab mir deine Mailadresse im Admin Panel angeschaut. Na ja, zu erraten schon, aber nicht standardmäßig.

Hast du andere Mailadressen auf dieser Domain? Kannst du mir mal so ein Spammail zukommen lassen? mat@ehschowissen bitte.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

28.04.2014 - 22:12

smashIt hat uns eine der Spammails zukommen lassen:

Sie wurde nicht über unseren Server geschickt.
Außer der E-Mail-Adresse wurden keine Informationen aus der Datenbank des Forums verwendet.
Die IP-Adresse des Absender ist in vielen DNSBL gelistet, jedoch wird sie vermutlich häufig gewechselt.

Bis jetzt scheint es ein Einzelfall zu sein. Auf meine E-Mail-Adresse kam bis jetzt noch keine einzige Spammail. Die Logs der letzten sieben Tage wurden durchsucht.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5254

28.04.2014 - 22:35

sodann, hab jetzt auch den spam-ordner auf meinem schleppi durchforstet und hab news:
die erste spam-mail kam am 16.4. an
zusätzlich is auch eine 2. adresse betroffen (die bereits am 10.4.)

nachdem die mails auf alias-adressen kommen und nicht auf die echten postfächer, und von meinen knapp 100 aliasen nur 2 betroffen sind stinkt mir die sache irgendwie nach heartbleed (vom zeitpunkt her)

andere vorschläge?

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

28.04.2014 - 22:56

Meine oc.at Adresse ist nicht betroffen, da dürfte also zumindest nichts in größerem Stil passiert sein.

Im Gegensatz zum Adobe-Leak - da kommt mit jeder Woche mehr Spam

Kann die Adresse "erraten" worden sein? Ich hab gelegentlich Spam auf Yahoo oder Google bekommen, bei denen im Empfänger dann meine Emailadresse in 50 Variationen gestanden ist, und eben eher zufällig auch meine

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

28.04.2014 - 23:10

heartbleed kann es auf oc.at nicht sein, No SSL no heartbleed...

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25450

29.04.2014 - 00:37

Zitat von ccr
Kann die Adresse "erraten" worden sein? Ich hab gelegentlich Spam auf Yahoo oder Google bekommen, bei denen im Empfänger dann meine Emailadresse in 50 Variationen gestanden ist, und eben eher zufällig auch meine

Jetzt wo ich die Signature von smashIt lese, könnte es eigentlich schon erraten werden. Erraten kann man wohl nur bei sinnlosen Zahlen- und Buchstabenkombinationen ausschließen.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

29.04.2014 - 03:24

Zitat von smashIt
zusätzlich is auch eine 2. adresse betroffen (die bereits am 10.4.)

Hast du die zweite E-Mail-Adresse auch hier verwendet?

Zitat von ccr
Meine oc.at Adresse ist nicht betroffen, da dürfte also zumindest nichts in größerem Stil passiert sein.

Der Mailserver könnte die Spammails schon im Vorfeld aussortiert haben.

Zitat von Crash Override
heartbleed kann es auf oc.at nicht sein, No SSL no heartbleed...

oc.at verwendet eine ältere Version von OpenSSL (0.9.8), die nicht von Heartbleed betroffen ist.

Zitat von mat
Jetzt wo ich die Signature von smashIt lese, könnte es eigentlich schon erraten werden. Erraten kann man wohl nur bei sinnlosen Zahlen- und Buchstabenkombinationen ausschließen.

Das macht die Sache so schwierig. Das Namensschema der E-Mail-Adresse ist durchaus verbreitet und ein Crawler könnte sich das auch zufällig zusammengeschustert haben. Man müsste die Logdateien genauer unter die Lupe nehmen.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19764

29.04.2014 - 08:30

Ist halt die Frage ob in letzter Zeit irgendwelche Emails verschickt wurden an oder von der Adresse (dann kann die Adresse einfach irgendwo gelogged worden sein).

Wenn nicht, wurde in letzter Zeit (wegen Stichwort Heartbleed) via SSL auf den Account der Email-Adresse zugegriffen? (auch automatische Logins wie z.B. durch Outlook/Thunderbird/Handy/...; also bevor der Spam angefangen hat)

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

29.04.2014 - 12:37

@luka: nein, ist meine eigene Domain, und der Spam-Filter ist deaktiviert

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

29.04.2014 - 13:04

Zitat von ccr
@luka: nein, ist meine eigene Domain, und der Spam-Filter ist deaktiviert

Ok. Danke, dass du dich gemeldet hast.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5254

29.04.2014 - 15:16

dann verbuche ich es mal unter erratbarer email und warte was sich sonst noch tut

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25450

29.04.2014 - 15:16

Gib uns bitte Bescheid.

smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5254	28.04.2014 - 13:25 ich verwende zur registrierung auf seiten eindeutige emailadressen allso für jede seite eine eigene seit 22.4. bekomme ich spam auf die adresse mit der ich mich hier registriert habe ich würde dem team raten sich den neuen code nochmal genau anzuschaun (habe den verdacht das sie sich mit v4.thewin ein leck eingefangen haben)
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19764	28.04.2014 - 14:28 Sieh dir das SMTP Protokoll an, dann wirst du erkennen das Emails einfach in Plain Text über das Internet gehen und oc.at verwendet kein SSL ... there you have it
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5254	28.04.2014 - 14:35 ich glaube du machst es dir zu einfach die adresse wurde zuletzt 2008 verwendet (abgesehn vom spam der letzten tage und der testmail von mat gerade)
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25450	28.04.2014 - 15:05 Du kannst mich hier direkt ansprechen, keine Verwendung der 3. Person Plural notwendig. Die Unterschied im Code zwischen v4 und v4.thewin sind diesbezüglich minimal. Der große Unterschied ist nur die Profilseite, die nun frei zugänglich ist. Deshalb vermute ich eher eine Lücke in einer der Mail-Funktionen des Forums. Nachdem diese Mails allerdings immer unter notification [ät] overclockers.at verschickt werden, sind sie prinzipiell anonym gehalten - die Mailadresse eines Users kann so nicht nach außen gelangen. Ich hab jetzt kurzfristig ein Mail-Logging eingebaut, um die ausgehenden Mails mal genauer unter die Lupe nehmen zu können. Ansonsten gibt es natürlich immer Platz für eine SQL-Injection. Wird werden nochmals ein Auge über den Code werfen und die Request-Logs studieren, vielleicht findet sich ja wirklich etwas. Nur um es abzusichern: Ist deine Mailadresse über deinen Usernamen zu erraten? Das wäre nämlich weit plausibler als ein "Datenleck". zB: smash1t [ät] hotmail.com Edit: Ich hab mir deine Mailadresse im Admin Panel angeschaut. Na ja, zu erraten schon, aber nicht standardmäßig. Hast du andere Mailadressen auf dieser Domain? Kannst du mir mal so ein Spammail zukommen lassen? mat@ehschowissen bitte.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	28.04.2014 - 22:12 smashIt hat uns eine der Spammails zukommen lassen: Sie wurde nicht über unseren Server geschickt. Außer der E-Mail-Adresse wurden keine Informationen aus der Datenbank des Forums verwendet. Die IP-Adresse des Absender ist in vielen DNSBL gelistet, jedoch wird sie vermutlich häufig gewechselt. Bis jetzt scheint es ein Einzelfall zu sein. Auf meine E-Mail-Adresse kam bis jetzt noch keine einzige Spammail. Die Logs der letzten sieben Tage wurden durchsucht.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5254	28.04.2014 - 22:35 sodann, hab jetzt auch den spam-ordner auf meinem schleppi durchforstet und hab news: die erste spam-mail kam am 16.4. an zusätzlich is auch eine 2. adresse betroffen (die bereits am 10.4.) nachdem die mails auf alias-adressen kommen und nicht auf die echten postfächer, und von meinen knapp 100 aliasen nur 2 betroffen sind stinkt mir die sache irgendwie nach heartbleed (vom zeitpunkt her) andere vorschläge?
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	28.04.2014 - 22:56 Meine oc.at Adresse ist nicht betroffen, da dürfte also zumindest nichts in größerem Stil passiert sein. Im Gegensatz zum Adobe-Leak - da kommt mit jeder Woche mehr Spam Kann die Adresse "erraten" worden sein? Ich hab gelegentlich Spam auf Yahoo oder Google bekommen, bei denen im Empfänger dann meine Emailadresse in 50 Variationen gestanden ist, und eben eher zufällig auch meine
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	28.04.2014 - 23:10 heartbleed kann es auf oc.at nicht sein, No SSL no heartbleed...
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25450	29.04.2014 - 00:37 Zitat von ccr Kann die Adresse "erraten" worden sein? Ich hab gelegentlich Spam auf Yahoo oder Google bekommen, bei denen im Empfänger dann meine Emailadresse in 50 Variationen gestanden ist, und eben eher zufällig auch meine Jetzt wo ich die Signature von smashIt lese, könnte es eigentlich schon erraten werden. Erraten kann man wohl nur bei sinnlosen Zahlen- und Buchstabenkombinationen ausschließen.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	29.04.2014 - 03:24 Zitat von smashIt zusätzlich is auch eine 2. adresse betroffen (die bereits am 10.4.) Hast du die zweite E-Mail-Adresse auch hier verwendet? Zitat von ccr Meine oc.at Adresse ist nicht betroffen, da dürfte also zumindest nichts in größerem Stil passiert sein. Der Mailserver könnte die Spammails schon im Vorfeld aussortiert haben. Zitat von Crash Override heartbleed kann es auf oc.at nicht sein, No SSL no heartbleed... oc.at verwendet eine ältere Version von OpenSSL (0.9.8), die nicht von Heartbleed betroffen ist. Zitat von mat Jetzt wo ich die Signature von smashIt lese, könnte es eigentlich schon erraten werden. Erraten kann man wohl nur bei sinnlosen Zahlen- und Buchstabenkombinationen ausschließen. Das macht die Sache so schwierig. Das Namensschema der E-Mail-Adresse ist durchaus verbreitet und ein Crawler könnte sich das auch zufällig zusammengeschustert haben. Man müsste die Logdateien genauer unter die Lupe nehmen.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19764	29.04.2014 - 08:30 Ist halt die Frage ob in letzter Zeit irgendwelche Emails verschickt wurden an oder von der Adresse (dann kann die Adresse einfach irgendwo gelogged worden sein). Wenn nicht, wurde in letzter Zeit (wegen Stichwort Heartbleed) via SSL auf den Account der Email-Adresse zugegriffen? (auch automatische Logins wie z.B. durch Outlook/Thunderbird/Handy/...; also bevor der Spam angefangen hat)
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	29.04.2014 - 12:37 @luka: nein, ist meine eigene Domain, und der Spam-Filter ist deaktiviert
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	29.04.2014 - 13:04 Zitat von ccr @luka: nein, ist meine eigene Domain, und der Spam-Filter ist deaktiviert Ok. Danke, dass du dich gemeldet hast.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5254	29.04.2014 - 15:16 dann verbuche ich es mal unter erratbarer email und warte was sich sonst noch tut
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25450	29.04.2014 - 15:16 Gib uns bitte Bescheid.

datenleck auf overclockers.at?

Forum Index > Community > Community Hub

smashIt

daisho

smashIt

mat

Luka

smashIt

ccr

Crash Override

mat

Luka

daisho

ccr

Luka

smashIt

mat