gis.at von AnonAustria gehacked

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

25.07.2011 - 14:26

die vbulletin-passwörter sind salted, das ist schon mal um ein eck mehr als sony zustandegebracht hat

Brom

Addicted

Registered: Oct 2003
Location: Graz
Posts: 408

25.07.2011 - 14:34

Zitat von böhmi
Das Vertrauen auf einer so eben gehackten Seite meine Daten in ein Forumular zu füllen, ist nicht gerade groß.

Oder ist das offline auszufüllen und einzuschicken?

EDIT: ah, ok. Seite ist eh noch down und es ist offline einzuschicken.

pdf zum laden:
http://ge.tt/9xhjrC6/v

watercool

BYOB

Registered: Jan 2003
Location: -
Posts: 5939

25.07.2011 - 14:36

Zitat von Anima
ich finds ur witzig, diese machtlosigkeit der GIS
jetzt müssen DIE mal forderungen nachkommen!

wie meinst du das?

Irgendwo hab ich ein Statement von der GIS gelesen das sie ohnehin vorgehabt haben die genaue Zahl zu veröffentlichen und das gestellte Ultimatum von Anonymus natürlich nichts damit zu tun hat.

böhmi

Administrator
Spießer

Registered: May 2004
Location: Wels Land
Posts: 4584

25.07.2011 - 14:45

Zitat von Brom
pdf zum laden:
http://ge.tt/9xhjrC6/v

thx, werde ich zuhause gleich machen.
@work ist googledocs leider geblockt, siemens ist wohl etwas paranoid...

grond

---------

Registered: Aug 2004
Location: 8401
Posts: 3193

25.07.2011 - 14:47

Zitat von watercool
Irgendwo hab ich ein Statement von der GIS gelesen das sie ohnehin vorgehabt haben die genaue Zahl zu veröffentlichen und das gestellte Ultimatum von Anonymus natürlich nichts damit zu tun hat.

irgendwie fällt mir schwer denen zu glauben

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

25.07.2011 - 14:48

Zitat von Cuero
die vbulletin-passwörter sind salted, das ist schon mal um ein eck mehr als sony zustandegebracht hat

nein sind sie nicht. ist einfach md5(klartextpasswort). salting wäre z.b. md5(user:klartextpasswort).

aber selbst mit dem einfachen md5 hash ist das sicherheitslevel sehr hoch. auch höher als in vielen businessapplikationen, die ich so kenne

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5209

25.07.2011 - 17:21

Zitat von Umlüx
ich selbst weiss ehrlich gesagt noch nicht, was ich von ANON wirklich halten soll.

sei einfach froh das es sie gibt
die machen ihre erfolge wenigstens publik damit die betroffenen firmen reagieren müssen

ich möcht ja nicht wissen wieviele hacker schon vor denen bei der gis eingetrungen sind und sich nur über die daten gefreut haben :eek:

Anima

OC Addicted

Registered: Aug 2005
Location: Pannonia
Posts: 1726

25.07.2011 - 22:17

aber jetzt mal ehrlich, was kann man mit solchen daten anfangen?
konten leer räumen eher nicht.
und wieso sollts mich stören wenn irgendwer meinen namen und meine adresse hat? is sowieso öffentlich zugänglich (manual lookup in der h4cker database nr1, dem _telefonbuch_ :eek:

)

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4281

25.07.2011 - 22:28

Zitat von Smut
nein sind sie nicht. ist einfach md5(klartextpasswort). salting wäre z.b. md5(user:klartextpasswort).

aber selbst mit dem einfachen md5 hash ist das sicherheitslevel sehr hoch. auch höher als in vielen businessapplikationen, die ich so kenne

einfaches md5() ist imho nicht gerade hohes Sicherheitslevel. Nur weil viele es noch schlechter machen, hebt es die Sicherheit nicht an. Mittels Rainbowtables/Google kannst du vermutlich 80% und mehr der PW in Klartext umwandeln.

MuP

OC Addicted

Registered: Aug 2004
Location: Wien
Posts: 968

25.07.2011 - 22:29

Zitat von Anima
aber jetzt mal ehrlich, was kann man mit solchen daten anfangen?
konten leer räumen eher nicht.
und wieso sollts mich stören wenn irgendwer meinen namen und meine adresse hat? is sowieso öffentlich zugänglich (manual lookup in der h4cker database nr1, dem _telefonbuch_ )

gab mal in einer der letzten CT's eine liste, für wieviel diese Daten aufm Schwarzmarkt verkauft werden... bei 300k kommt da schon ein schönes sümmchen raus

fatmike182

Agnotologe

Registered: Oct 2005
Location: VIE
Posts: 4223

25.07.2011 - 22:32

da ist man sein geld ziemlich schnell los…
Was brauchst du, wenn du online was kaufst? Genau die Daten, die in der DB waren.
Bis auf maximal den IP Bereich unterscheidet dich nix von der echten Person.

Anima

OC Addicted

Registered: Aug 2005
Location: Pannonia
Posts: 1726

25.07.2011 - 22:35

Zitat von fatmike182
da ist man sein geld ziemlich schnell los…
Was brauchst du, wenn du online was kaufst? Genau die Daten, die in der DB waren.
Bis auf maximal den IP Bereich unterscheidet dich nix von der echten Person.

so oft scheint das nicht vorzukommen, zumindest hab ich noch nie von einem derartigen fall gehört?
außerdem glaub ich nicht, dass du auf den kosten sitzen bleibt, wenn jemand illegal in deinem namen eine überweisung von deinem konto durchführt...

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16836

25.07.2011 - 22:35

Zitat von kleinerChemiker
einfaches md5() ist imho nicht gerade hohes Sicherheitslevel. Nur weil viele es noch schlechter machen, hebt es die Sicherheit nicht an. Mittels Rainbowtables/Google kannst du vermutlich 80% und mehr der PW in Klartext umwandeln.

eh klar, aber für das einsatzgebiet wohl in ordnung. 80% halte ich aus eigener erfahrung als eher hochgegriffen - aber klar, rainbowtables beschleunigen den angriff ungemein. salten könnte man, dadurch bräuchte man gleich eine deutlich größere rainbowtable.

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3554

25.07.2011 - 22:42

zmd. auf vbulletin.com steht, dass sie salted sind

md5(md5($password).$salt);

https://www.vbulletin.com/forum/sho...?highlight=salt

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4281

25.07.2011 - 22:43

@fatmike182: Für eine Online Überweisung braucht man außerdem noch einen TAN!

@Smut: Salten ist gut, was auch hilft, ist mehrmaliges hashen und längere Hash zu nehmen (md5 -> sha1 -> sha256...).

Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	25.07.2011 - 14:26 die vbulletin-passwörter sind salted, das ist schon mal um ein eck mehr als sony zustandegebracht hat
Brom Addicted Registered: Oct 2003 Location: Graz Posts: 408	25.07.2011 - 14:34 Zitat von böhmi Das Vertrauen auf einer so eben gehackten Seite meine Daten in ein Forumular zu füllen, ist nicht gerade groß. Oder ist das offline auszufüllen und einzuschicken? EDIT: ah, ok. Seite ist eh noch down und es ist offline einzuschicken. pdf zum laden: http://ge.tt/9xhjrC6/v
watercool BYOB Registered: Jan 2003 Location: - Posts: 5939	25.07.2011 - 14:36 Zitat von Anima ich finds ur witzig, diese machtlosigkeit der GIS jetzt müssen DIE mal forderungen nachkommen! wie meinst du das? Irgendwo hab ich ein Statement von der GIS gelesen das sie ohnehin vorgehabt haben die genaue Zahl zu veröffentlichen und das gestellte Ultimatum von Anonymus natürlich nichts damit zu tun hat.
böhmi Administrator Spießer Registered: May 2004 Location: Wels Land Posts: 4584	25.07.2011 - 14:45 Zitat von Brom pdf zum laden: http://ge.tt/9xhjrC6/v thx, werde ich zuhause gleich machen. @work ist googledocs leider geblockt, siemens ist wohl etwas paranoid...
grond --------- Registered: Aug 2004 Location: 8401 Posts: 3193	25.07.2011 - 14:47 Zitat von watercool Irgendwo hab ich ein Statement von der GIS gelesen das sie ohnehin vorgehabt haben die genaue Zahl zu veröffentlichen und das gestellte Ultimatum von Anonymus natürlich nichts damit zu tun hat. irgendwie fällt mir schwer denen zu glauben
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	25.07.2011 - 14:48 Zitat von Cuero die vbulletin-passwörter sind salted, das ist schon mal um ein eck mehr als sony zustandegebracht hat nein sind sie nicht. ist einfach md5(klartextpasswort). salting wäre z.b. md5(user:klartextpasswort). aber selbst mit dem einfachen md5 hash ist das sicherheitslevel sehr hoch. auch höher als in vielen businessapplikationen, die ich so kenne
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5209	25.07.2011 - 17:21 Zitat von Umlüx ich selbst weiss ehrlich gesagt noch nicht, was ich von ANON wirklich halten soll. sei einfach froh das es sie gibt die machen ihre erfolge wenigstens publik damit die betroffenen firmen reagieren müssen ich möcht ja nicht wissen wieviele hacker schon vor denen bei der gis eingetrungen sind und sich nur über die daten gefreut haben
Anima OC Addicted Registered: Aug 2005 Location: Pannonia Posts: 1726	25.07.2011 - 22:17 aber jetzt mal ehrlich, was kann man mit solchen daten anfangen? konten leer räumen eher nicht. und wieso sollts mich stören wenn irgendwer meinen namen und meine adresse hat? is sowieso öffentlich zugänglich (manual lookup in der h4cker database nr1, dem _telefonbuch_ )
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4281	25.07.2011 - 22:28 Zitat von Smut nein sind sie nicht. ist einfach md5(klartextpasswort). salting wäre z.b. md5(user:klartextpasswort). aber selbst mit dem einfachen md5 hash ist das sicherheitslevel sehr hoch. auch höher als in vielen businessapplikationen, die ich so kenne einfaches md5() ist imho nicht gerade hohes Sicherheitslevel. Nur weil viele es noch schlechter machen, hebt es die Sicherheit nicht an. Mittels Rainbowtables/Google kannst du vermutlich 80% und mehr der PW in Klartext umwandeln.
MuP OC Addicted Registered: Aug 2004 Location: Wien Posts: 968	25.07.2011 - 22:29 Zitat von Anima aber jetzt mal ehrlich, was kann man mit solchen daten anfangen? konten leer räumen eher nicht. und wieso sollts mich stören wenn irgendwer meinen namen und meine adresse hat? is sowieso öffentlich zugänglich (manual lookup in der h4cker database nr1, dem _telefonbuch_ ) gab mal in einer der letzten CT's eine liste, für wieviel diese Daten aufm Schwarzmarkt verkauft werden... bei 300k kommt da schon ein schönes sümmchen raus
fatmike182 Agnotologe Registered: Oct 2005 Location: VIE Posts: 4223	25.07.2011 - 22:32 da ist man sein geld ziemlich schnell los… Was brauchst du, wenn du online was kaufst? Genau die Daten, die in der DB waren. Bis auf maximal den IP Bereich unterscheidet dich nix von der echten Person.
Anima OC Addicted Registered: Aug 2005 Location: Pannonia Posts: 1726	25.07.2011 - 22:35 Zitat von fatmike182 da ist man sein geld ziemlich schnell los… Was brauchst du, wenn du online was kaufst? Genau die Daten, die in der DB waren. Bis auf maximal den IP Bereich unterscheidet dich nix von der echten Person. so oft scheint das nicht vorzukommen, zumindest hab ich noch nie von einem derartigen fall gehört? außerdem glaub ich nicht, dass du auf den kosten sitzen bleibt, wenn jemand illegal in deinem namen eine überweisung von deinem konto durchführt...
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16836	25.07.2011 - 22:35 Zitat von kleinerChemiker einfaches md5() ist imho nicht gerade hohes Sicherheitslevel. Nur weil viele es noch schlechter machen, hebt es die Sicherheit nicht an. Mittels Rainbowtables/Google kannst du vermutlich 80% und mehr der PW in Klartext umwandeln. eh klar, aber für das einsatzgebiet wohl in ordnung. 80% halte ich aus eigener erfahrung als eher hochgegriffen - aber klar, rainbowtables beschleunigen den angriff ungemein. salten könnte man, dadurch bräuchte man gleich eine deutlich größere rainbowtable.
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3554	25.07.2011 - 22:42 zmd. auf vbulletin.com steht, dass sie salted sind md5(md5($password).$salt); https://www.vbulletin.com/forum/sho...?highlight=salt
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4281	25.07.2011 - 22:43 @fatmike182: Für eine Online Überweisung braucht man außerdem noch einen TAN! @Smut: Salten ist gut, was auch hilft, ist mehrmaliges hashen und längere Hash zu nehmen (md5 -> sha1 -> sha256...).

gis.at von AnonAustria gehacked

Forum Index > Digital Life > Internet & Provider

Cuero

Brom

watercool

böhmi

grond

Smut

smashIt

Anima

kleinerChemiker

MuP

fatmike182

Anima

Smut

Cuero

kleinerChemiker