datenleck auf overclockers.at?

Seite 1 von 1 - Forum: Community Hub auf overclockers.at

URL: https://www.overclockers.at/community-hub/datenleck-auf-overclockers-at_238775/page_1 - zur Vollversion wechseln!

smashIt schrieb am 28.04.2014 um 13:25

ich verwende zur registrierung auf seiten eindeutige emailadressen
allso für jede seite eine eigene

seit 22.4. bekomme ich spam auf die adresse mit der ich mich hier registriert habe

ich würde dem team raten sich den neuen code nochmal genau anzuschaun (habe den verdacht das sie sich mit v4.thewin ein leck eingefangen haben)

daisho schrieb am 28.04.2014 um 14:28

Sieh dir das SMTP Protokoll an, dann wirst du erkennen das Emails einfach in Plain Text über das Internet gehen und oc.at verwendet kein SSL ... there you have it

smashIt schrieb am 28.04.2014 um 14:35

ich glaube du machst es dir zu einfach

die adresse wurde zuletzt 2008 verwendet (abgesehn vom spam der letzten tage und der testmail von mat gerade)

mat schrieb am 28.04.2014 um 15:05

Du kannst mich hier direkt ansprechen, keine Verwendung der 3. Person Plural notwendig.

Die Unterschied im Code zwischen v4 und v4.thewin sind diesbezüglich minimal. Der große Unterschied ist nur die Profilseite, die nun frei zugänglich ist. Deshalb vermute ich eher eine Lücke in einer der Mail-Funktionen des Forums. Nachdem diese Mails allerdings immer unter notification [ät] overclockers.at verschickt werden, sind sie prinzipiell anonym gehalten - die Mailadresse eines Users kann so nicht nach außen gelangen. Ich hab jetzt kurzfristig ein Mail-Logging eingebaut, um die ausgehenden Mails mal genauer unter die Lupe nehmen zu können.

Ansonsten gibt es natürlich immer Platz für eine SQL-Injection. Wird werden nochmals ein Auge über den Code werfen und die Request-Logs studieren, vielleicht findet sich ja wirklich etwas.

Nur um es abzusichern: Ist deine Mailadresse über deinen Usernamen zu erraten? Das wäre nämlich weit plausibler als ein "Datenleck". zB: smash1t [ät] hotmail.com

Edit: Ich hab mir deine Mailadresse im Admin Panel angeschaut. Na ja, zu erraten schon, aber nicht standardmäßig.

Hast du andere Mailadressen auf dieser Domain? Kannst du mir mal so ein Spammail zukommen lassen? mat@ehschowissen bitte.

Luka schrieb am 28.04.2014 um 22:12

smashIt hat uns eine der Spammails zukommen lassen:

Sie wurde nicht über unseren Server geschickt.
Außer der E-Mail-Adresse wurden keine Informationen aus der Datenbank des Forums verwendet.
Die IP-Adresse des Absender ist in vielen DNSBL gelistet, jedoch wird sie vermutlich häufig gewechselt.

Bis jetzt scheint es ein Einzelfall zu sein. Auf meine E-Mail-Adresse kam bis jetzt noch keine einzige Spammail. Die Logs der letzten sieben Tage wurden durchsucht.

smashIt schrieb am 28.04.2014 um 22:35

sodann, hab jetzt auch den spam-ordner auf meinem schleppi durchforstet und hab news:
die erste spam-mail kam am 16.4. an
zusätzlich is auch eine 2. adresse betroffen (die bereits am 10.4.)

nachdem die mails auf alias-adressen kommen und nicht auf die echten postfächer, und von meinen knapp 100 aliasen nur 2 betroffen sind stinkt mir die sache irgendwie nach heartbleed (vom zeitpunkt her)

andere vorschläge?

ccr schrieb am 28.04.2014 um 22:56

Meine oc.at Adresse ist nicht betroffen, da dürfte also zumindest nichts in größerem Stil passiert sein.

Im Gegensatz zum Adobe-Leak - da kommt mit jeder Woche mehr Spam

Kann die Adresse "erraten" worden sein? Ich hab gelegentlich Spam auf Yahoo oder Google bekommen, bei denen im Empfänger dann meine Emailadresse in 50 Variationen gestanden ist, und eben eher zufällig auch meine

Crash Override schrieb am 28.04.2014 um 23:10

heartbleed kann es auf oc.at nicht sein, No SSL no heartbleed...

mat schrieb am 29.04.2014 um 00:37

Zitat von ccr
Kann die Adresse "erraten" worden sein? Ich hab gelegentlich Spam auf Yahoo oder Google bekommen, bei denen im Empfänger dann meine Emailadresse in 50 Variationen gestanden ist, und eben eher zufällig auch meine

Jetzt wo ich die Signature von smashIt lese, könnte es eigentlich schon erraten werden. Erraten kann man wohl nur bei sinnlosen Zahlen- und Buchstabenkombinationen ausschließen.

Luka schrieb am 29.04.2014 um 03:24

Zitat von smashIt
zusätzlich is auch eine 2. adresse betroffen (die bereits am 10.4.)

Hast du die zweite E-Mail-Adresse auch hier verwendet?

Zitat von ccr
Meine oc.at Adresse ist nicht betroffen, da dürfte also zumindest nichts in größerem Stil passiert sein.

Der Mailserver könnte die Spammails schon im Vorfeld aussortiert haben.

Zitat von Crash Override
heartbleed kann es auf oc.at nicht sein, No SSL no heartbleed...

oc.at verwendet eine ältere Version von OpenSSL (0.9.8), die nicht von Heartbleed betroffen ist.

Zitat von mat
Jetzt wo ich die Signature von smashIt lese, könnte es eigentlich schon erraten werden. Erraten kann man wohl nur bei sinnlosen Zahlen- und Buchstabenkombinationen ausschließen.

Das macht die Sache so schwierig. Das Namensschema der E-Mail-Adresse ist durchaus verbreitet und ein Crawler könnte sich das auch zufällig zusammengeschustert haben. Man müsste die Logdateien genauer unter die Lupe nehmen.

daisho schrieb am 29.04.2014 um 08:30

Ist halt die Frage ob in letzter Zeit irgendwelche Emails verschickt wurden an oder von der Adresse (dann kann die Adresse einfach irgendwo gelogged worden sein).

Wenn nicht, wurde in letzter Zeit (wegen Stichwort Heartbleed) via SSL auf den Account der Email-Adresse zugegriffen? (auch automatische Logins wie z.B. durch Outlook/Thunderbird/Handy/...; also bevor der Spam angefangen hat)

ccr schrieb am 29.04.2014 um 12:37

@luka: nein, ist meine eigene Domain, und der Spam-Filter ist deaktiviert

Luka schrieb am 29.04.2014 um 13:04

Zitat von ccr
@luka: nein, ist meine eigene Domain, und der Spam-Filter ist deaktiviert

Ok. Danke, dass du dich gemeldet hast.

smashIt schrieb am 29.04.2014 um 15:16

dann verbuche ich es mal unter erratbarer email und warte was sich sonst noch tut

mat schrieb am 29.04.2014 um 15:16

Gib uns bitte Bescheid.