Informationspolitik: Hack

[Maszie]

Der Login auf dieser Seite hier ist nicht mal verschlüsselt, also warum sollten dann die Passwörter gehashed und gesalzen gespeichert werden?

Das sind doch zwei von einander unabhängige Probleme. Der Mangel einer SSL Verschlüsslung ist aber in der Tat sehr bedauerlich und eigentlich unentschuldbar.

 

[echo.park]

Ja, schon klar. Deswegen sage ich: Bei Internet-Foren nur "Wegwerf"-Passwörter verwenden. Die fehlende Verschlüsselung ist bei Foren leider gang und gebe.

 

[double_d]

Das Forum wurde bereits Ende September "gehackt"

Wenn Du nicht grad von Ende September 2012 sprichst, verstehe ich den Einwand nicht.
Für mich liegt zwischen Ende September und Anfang Oktober (was wir nun haben) nicht wirklich ein großer Zeitraum.

Es ist allerdings auch so, dass derzeit nicht nur in Apfeltalk, sondern auch eine Vielzahl weiterer vBulletin-basierter Foren eingedrungen wurde. Ob jeder Betreiber bereits davon weiss und reagiert hat, ist uns leider nicht bekannt.

Und ebenso möchten wir darauf hinweisen, dass Mailadressen auch auf anderen Wegen "in den Umlauf gekommen" sein können, ohne dass daran Foren zwangsläufig ihren Anteil haben müssen....

Sowas hab ich ehrlich gesagt erwartet.
Mir ist das alles klar. Genauso wie es mir klar und bewusst ist, dass ich mir in meinen Reifen überall ein Loch fahren kann.
Nur wenn direkt in meiner Nachbarschaft kurz vorher eine Reißnagelfabrik explodiert ist, ist dies doch wohl die naheliegendste Vermutung, oder ?

Bevor man bei einem offensichtlichen Zugriff auf die eigenen Server alles von sich weist, zumal man sich auch überhaupt nicht sicher sein kann, was da so alles eingesehen wurde, wäre dem einen oder anderen User einfach mal mit einer Antwort geholfen, die etwas mehr beruhigender und etwas weniger "schutzbehauptend" wäre.
Nur weil ne Gigabyte große Datenbank nicht verschoben wurde, heißt das noch lange nicht, dass man nicht mal eben ein paar relevante kilobyte große Tabellen daraus kopiert.

Mittlerweile ist der Missbrauch meiner Emailadresse für mich kein Beinbruch mehr und gehört nun auch einfach in die Schublade "Erfahrungen", aber man kann mir bitte nicht den direkten Zusammenhang mit Standardfloskeln ausreden.

Und ich habe nicht mehr und nicht weniger getan, als einen Hinweis zu geben, der vielleicht nicht nur mich betrifft, sondern noch andere User. Aber ohne es zu erwähnen bliebe

stets die Ungewissheit, auf welchem Wege die Mailadresse in Umlauf kam.

Aber dennoch vielen Dank für Dein Statement. Das sollte man nicht unerwähnt lassen, denn es ist auch nicht selbstverständlich, dass ein Admin oder der Betreiber selbst, überhaupt eine Informationspolitik verfolgen. Oft genug wird von dieser Seite woanders nämlich gar nichts an die User weitergegeben.

 

[bountykiller]

So 22:40 ist die Mail auch bei mir eingetrudelt.

 

[Anorak]

Wow, die Mail ist gestern bei mir eingegangen und jetzt lese ich, dass es schon am 23.09 passiert ist?

Warum wurde die entsprechende News nicht oben deutlich präsent angepinnt? Ich schaue nicht jeden Tag hier vorbei und suche auch nicht erst die letzten Tage Magazin durch um dann erst 2 Wochen später davon per Mail benachrichtig zu werden.

Tut mir leid, aber das war wirklich keine Glanzleistung.

 

[raven]

@Anorak: Es war auf der Seite zu lesen. Und das ein paar Tage lang.

 

[betacarve]

Also bei mir kam die E-Mail auch heute erst an.
Im ersten Augenblick dachte ich nur; nicht schon wieder

Sollte der verzögerte Versand mit der hohen Anzahl an "Leichen" zusammenhängen, dann sollte man ggf. mal überlegen, ob man nicht z.B. ein Mal im Jahr eine E-Mail mit einem Aktivierungslink an alle registrierten User versendet. Accounts die nicht durch das Aufrufen des Links bestätigt werden, werden dann nach vier Wochen gelöscht.

Nur mal so als Gedankenanstoß...

 

[Anorak]

@Anorak: Es war auf der Seite zu lesen. Und das ein paar Tage lang.

Sicher, dass es ein paar Tage waren? Und nicht nur ein oder zwei?
Ich habe mich jedenfalls nicht gut informiert gefühlt, und wenn ich das hier lese, scheint es vielen anderen auch so ergangen zu sein.
Denke, dass man dieses Feedback also durchaus an den Bettreiber zurück geben darf, denn ohne Feedback fließt keine Info!

 

[Kojak19]

Es waren gewiss mehr als nur ein oder zwei Tage.
Über das anpinnen darf gestritten werden, ich kann mich allerdings an eine Meldung unter dem Banner erinnern.
Und über 60.000 Mails verschicken dauert auch einen Augenblick.

 

[Benutzer 176034]

Wieso kann man sich nicht einfach nur freuen, dass alles wieder funktioniert?
Glaubt hier irgendjemand, dass der Hackerangriff willkommen war und dass alle Forumsmitarbeiter "Hurra" geschrien haben, weil sie nun endlich etwas mit ihrer Freizeit anzufangen wissen?

Besinnt Euch doch mal auf das Wesentliche... Mein Gott...

 

[raven]

Sicher, dass es ein paar Tage waren? Und nicht nur ein oder zwei?

Ja ich bin sicher. Sehr sogar.

Tut mir leid, aber das war wirklich keine Glanzleistung.

Und Anstelle dieser Aussage könntest du mal dich bei macindy bedanken, der sich eine halbe Nacht um die Ohren schlug um das Backup aufzuspielen. Da bin ich mir nähmlich noch sicherer, dass er mit seiner Freizeit besseres anzufange weiss, als uns diese Plattform innert kürzester Zeit, wieder zur Verfügung zu stellen.

 

[doc_holleday]

Trotz meiner Dankbarkeit für und Anerkennung der geleisteten Arbeit und des hierfür erforderlichen Einsatzes, bin ich persönlich der Meinung, dass es noch Verbesserungspotential seitens der Informationspolitik gibt. Potentiale, die man wohlmöglich erst jetzt im Anschluss richtig wahrnehmen kann.

Eine wichtige Grundlage hierfür ist das Feedback der User. So lange dieses sachlich und höflich vorgebracht wird, ist es legitim und darüber hinaus äußerst wertvoll, um die eigene Vorgehensweise auf den Prüfstand zu stellen. Wiederrum meiner Meinung nach erlaubt kritisches Feedback außerdem nicht automatisch den Umkehrschluss, dass die kritisierende Person nicht die Arbeit der Seitenbetreiber wertschätzt.

Immer noch nur für mich gesprochen, fand ich auch, dass die Problematik etwas offensichtlicher hätte vorgetragen werden können. Offen gesagt, fehlt mir bei AT aber immer mal wieder die Übersichtlichkeit. Aber mir ist auch klar, dass zur Verbesserung dieser erheblich mehr Arbeit in die Seite investiert werden müsste. Arbeit, die von einem kleinen Team an Freiwilligen nicht mehr geleistet werden könnte. Aber das gehört eigentlich nicht hier her.

Auch wenn ich mich wiederhole: mit erneutem Dank ans AT-Team für das tolle Forum und die harte Arbeit, die hier drin steckt, empfinde ich es als den falschen Weg durch bewusste, unbewusste oder unkommentierte Gegenkritik die (paar wenigen) kritischen Stimmen für ihr Feedback negativ zu sanktionieren.

Am anderen Ende des Spektrums, also mit „Ja und Amen“, wird jegliche Weiterentwicklung im Keim erstickt. Und das wird AT vermutlich auf Dauer eher mehr schädigen als ein bisschen Kritik.

[/Soapbox]

 

[landplage]

Ich weiß nicht, ob das geht, News oben anzupinnen.
Wir hatten mehrere Tage ganz oben auf der Startseite den Hinweis auf den Hack und die Bitte zur Änderung der Paßwörter.

Was ich sicher weiß: Oben angepinnte Themen werden nicht gelesen. Bestes Beispiel ist der Marktplatz. Täglich müssen wir Anbieter anschreiben, weil nicht mal die Mindestanforderungen eingehalten werden, also die angepinnten Regeln schlicht nicht gelesen werden.

 

[lx88]

Ich finde die Kritik durchaus in Teilen berechtigt, zumal davon auszugehen ist, dass macindy nicht damit gerechnet hat, dass der Versand der Mail mehrere Wochen in Anspruch nimmt. Das kann man unter anderem an folgender Aussage festmachen:

Weitere Informationen zum Hacking-Angriff wird es in der morgigen Ausagbe von Apfeltalk LIVE! Latenight ab 21 Uhr geben.

Natürlich ist es mehr als verständlich, dass es für den Ruf dieser Website nicht gerade zuträglich ist, wenn mehrere Wochen eine große Hinweismeldung zu einem "Hack", der höchstwahrscheinlich nicht zu Datendiebstahl führte, auf der Startseite prangert.

Aus diesem Grund finde ich es viel sinnvoller eine Mail an alle angemeldeten User zu versenden, denn diese E-Mail erreicht die richtigen Personen - alle Besucher ohne Benuzter-Account hat dieser Eingriff eigentlich überhaupt nicht zu interessieren.

Lediglich der Umstand, dass es mehrere Wochen dauerte bis die Mail alle Nutzer erreicht hat finde ich "verbesserungswürdig".

 

[Benutzer 176034]

Hat denn Beitrag Nr.: 33 in diesem Thread von Landplage, in dem sie die Mail veröffentlicht hat, niemanden erreicht?

 

[doc_holleday]

Was ich sicher weiß: Oben angepinnte Themen werden nicht gelesen. Bestes Beispiel ist der Marktplatz. Täglich müssen wir Anbieter anschreiben, weil nicht mal die Mindestanforderungen eingehalten werden, also die angepinnten Regeln schlicht nicht gelesen werden.

Das ist genau der Punkt, den ich mit problematischer Übersichtlichkeit angesprochen habe. Die angepinnten Themen gehen zu leicht unter (so paradox das klingen mag).

 

[doc_holleday]

Hat denn Beitrag Nr.: 33 in diesem Thread von Landplage, in dem sie die Mail veröffentlicht hat, niemanden erreicht?

Sicherlich ein paar/einige/vielleicht auch viele Leute. Aber auch sicherlich nicht alle.

 

[Mitglied 25554]

Nur wenn direkt in meiner Nachbarschaft kurz vorher eine Reißnagelfabrik explodiert ist, ist dies doch wohl die naheliegendste Vermutung, oder ?

Mmmh ... der Vergleich würde dann zutreffen, wenn es die weltweit einzige Reißnagelfabrik wäre. Da jedoch sicher auch eine Vielzahl weiterer vB-Foren betroffen waren (die ggf. nicht adhoc Hinweismeldungen an die User rausgegeben haben), würde es im Umkehrschluss bedeuten, dass nicht nur die Fabrik in Deiner Nachbarschaft hochging sondern auch in vielen Nebenstraßen, Nachbarortschaften und umliegenden Landkreisen. Dadurch fällt es natürlich weniger leicht, den "Schuldigen" einwandfrei einzukreisen.

Die Ausnahme wäre, wenn Du in keinem einzigen weiteren vB-Forum mit der betroffenen Mailadresse angemeldet wärst

 

[landplage]

Das ist genau der Punkt, den ich mit problematischer Übersichtlichkeit angesprochen habe. Die angepinnten Themen gehen zu leicht unter (so paradox das klingen mag).

Hast Du eine bessere Idee?

 

[doc_holleday]

Leider keine, die nicht brutal viel Arbeit wäre.

Vielleicht würde ein andere Darstellung schon helfen? Andere Farbe (der Icons), andere Schrifttype oder Ähnliches.

In manchen Foren könnte man sicher auch mal wieder aufräumen und den ein oder anderen Thread seines Pins berauben.


Die Variante mit richtig viel Arbeit wäre: die angepinnten Threads _und_ die Sammelthreads regelmäßig und häufig redaktionell zu überarbeiten, so dass die wichtigen Infos nicht in der Flut der Einzelmeldungen untergehen. Aber mir ist schon klar, dass das nicht machbar ist.