Die Passworte wurden aber doch hoffentlich nicht nur in md5 gehashed gespeichert, oder? Und eine Verschlüsselung ist es im Übrigen auch nicht. Salzen bitte nicht vergessen... und lieber SHA verwenden
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
Informationspolitik: Hack
- Ersteller Teo
- Erstellt am
padrak
deaktivierter Benutzer
- Registriert
- 08.10.08
- Beiträge
- 1.088
@Nathea
Aber es hängt auch davon ab, ob die User hier überhaupt noch aktiv sind. Da können dann auch schon mal Mailadressen veraltet bzw. ungültig sein. Oder verschickt ihr die nur an User, die z.B. in den letzten 2 Jahren eingeloggt waren?
Bei mir ist auch noch nichts angekommen, aber ich habe mein PW sowieso sofort nach Bekanntgabe des Hack geändert.
Aber es hängt auch davon ab, ob die User hier überhaupt noch aktiv sind. Da können dann auch schon mal Mailadressen veraltet bzw. ungültig sein. Oder verschickt ihr die nur an User, die z.B. in den letzten 2 Jahren eingeloggt waren?
Bei mir ist auch noch nichts angekommen, aber ich habe mein PW sowieso sofort nach Bekanntgabe des Hack geändert.
Habe eine kleine Info an euch.
Schreibe hier mit einer Accountleiche, die ich seit 4 Jahren nicht mehr verwendet habe. Offenbar hatte ich damals aus Versehen das selbe Passwort für Mail (welche auch seit Jahren nicht mehr verwendet wird und nur von einem Google Konto abgefragt wird) und Apfeltalk verwendet.
Habe vor ein paar Tagen eine Mail von Yahoo erhalten, dass sich jemand aus Venezuela eingeloggt hat im Mailaccount. Somit wurden offenbar die Passwörter entschlüsselt und versuch darüber die Mailadressen zu übernehmen!
Schreibe hier mit einer Accountleiche, die ich seit 4 Jahren nicht mehr verwendet habe. Offenbar hatte ich damals aus Versehen das selbe Passwort für Mail (welche auch seit Jahren nicht mehr verwendet wird und nur von einem Google Konto abgefragt wird) und Apfeltalk verwendet.
Habe vor ein paar Tagen eine Mail von Yahoo erhalten, dass sich jemand aus Venezuela eingeloggt hat im Mailaccount. Somit wurden offenbar die Passwörter entschlüsselt und versuch darüber die Mailadressen zu übernehmen!
Wie gut, dass mit meinem aktuellen Apfeltalk-PW, und auch mit jedem, dass ich hier jemals verwendet habe, zumindest soweit ich mich erinnern kann, kein Zugriff auf das Mail-Konto möglich ist. Wobei das mit einem Alias, den ich aber erst seit ein paar Wochen hier hinterlegt habe, eh nicht möglich ist.
@ wechsewinke:
Kann man denn definitiv davon ausgehen, dass diese Sache mit dem Zugriff aus Venezuela und dem Yahoo-Konto auch wirklich mit dem Apfeltalk-Vorfall zusammen hängt? Wenn du damals dein PW mehrfach vergeben hattest, dann bestimmt auch noch bei weiteren Seiten bzw. Diensten, und nicht nur bei Apfeltalk und Yahoo. Dort könnte es ebenso "gestohlen" worden sein. Vielleicht ist das nur ein Zufall, dass gerade jetzt, kurz nach dem Apfeltalk-Vorfall, eine solche Mail von Yahoo kommt.
@ wechsewinke:
Kann man denn definitiv davon ausgehen, dass diese Sache mit dem Zugriff aus Venezuela und dem Yahoo-Konto auch wirklich mit dem Apfeltalk-Vorfall zusammen hängt? Wenn du damals dein PW mehrfach vergeben hattest, dann bestimmt auch noch bei weiteren Seiten bzw. Diensten, und nicht nur bei Apfeltalk und Yahoo. Dort könnte es ebenso "gestohlen" worden sein. Vielleicht ist das nur ein Zufall, dass gerade jetzt, kurz nach dem Apfeltalk-Vorfall, eine solche Mail von Yahoo kommt.
- Registriert
- 09.09.08
- Beiträge
- 1.380
Wie immer sollte man versuchen keine Passwörter mehrfach zu verwenden. Programme wie Keepass und 1Password machen einem das ja relativ einfach. Vielleicht ist so ein Hack ja mal ein Anlass dazu, alle Passwörter durch kryptische, automatisch generierte Phrasen zu ersetzen, falls man tatsächlich mehrfach das gleiche benutzt.
Wobei solche automatisch generierten Passwörter auch nur so lange sinnvoll sind, wie der Algorithmus, der sie erzeugt, "ungeknackt" bleibt.
- Registriert
- 06.04.08
- Beiträge
- 45.153
Bis jetzt hat sich sonst keiner beschwert. Wäre schon merkwürdig wenn du der Einzige wärest, bei dem irgendwas geknackt wurde - oder?
apfelfrischling
Doppelter Melonenapfel
- Registriert
- 29.10.09
- Beiträge
- 3.359
Hallo,
Info: ich habe bis dato auch keine E-Mail erhalten (das dauert wohl bei der Portionierung via V-Bulletin, meine hinterlegte Mailadresse ist aktiv und das -bereits von mir geänderte- Passwort für AT wird sonst von mir nicht verwendet)- Danke aber an Landplage für die Veröffentlichung der Mail.
Info: ich habe bis dato auch keine E-Mail erhalten (das dauert wohl bei der Portionierung via V-Bulletin, meine hinterlegte Mailadresse ist aktiv und das -bereits von mir geänderte- Passwort für AT wird sonst von mir nicht verwendet)- Danke aber an Landplage für die Veröffentlichung der Mail.
simmac
Melrose
- Registriert
- 22.03.11
- Beiträge
- 2.482
Außerdem hat Gerd in der atln gesagt, der Angriff wäre von Marokko ausgegangen. Wäre seltsam, wenn die Userdaten (die laut Gerd auch mit ziemlicher Sicherheit nicht heruntergeladen wurden) nach Venezuela kommen.
Dazu kommt, dass die Passwörter md5-verschlüsselt und gesalzen sind.
smoe
Roter Winterkalvill
- Registriert
- 13.04.09
- Beiträge
- 11.575
Woher Angriff oder Loginversuche kommen ist eigentlich egal, du kannst davon ausgehen, dass dort eh nur Bots oder infizierte Rechner sitzen und die eigentlichen Hacker an einen ganz anderen Ort sitzen.
md5 gehascht und gesalzen ist jetzt auch nicht zwangsweise sehr sicher, je nachdem wie da gesalzt wurde.
md5 gehascht und gesalzen ist jetzt auch nicht zwangsweise sehr sicher, je nachdem wie da gesalzt wurde.
simmac
Melrose
- Registriert
- 22.03.11
- Beiträge
- 2.482
Nachdem Gerd die Zugriffe mit einem Marokko-IP Block stoppen konnte, glaube ich nicht einmal, dass das so ein geplant und professioneller Angriff war, sondern dass der Hacker einfach für das versenden von Spam bezahlt wurde.
Klar, absolute Sicherheit gibts nicht, aber 100.000 solcher Sätze zu entschlüsseln ist schon aufwändig. Und gibt es sonst jemand, bei dem das gleiche passiert ist? Das war imho einfach nur ein Zufall.
Klar, absolute Sicherheit gibts nicht, aber 100.000 solcher Sätze zu entschlüsseln ist schon aufwändig. Und gibt es sonst jemand, bei dem das gleiche passiert ist? Das war imho einfach nur ein Zufall.
apple_juice
Aargauer Weinapfel
- Registriert
- 16.10.10
- Beiträge
- 746
Kann mir jemand vielleicht kurz erklären, was es mit dem "gesalzen" auf sich hat? Ich hab nicht so viel Ahnung von dem Thema 
- Registriert
- 06.04.08
- Beiträge
- 45.153
apple_juice
Aargauer Weinapfel
- Registriert
- 16.10.10
- Beiträge
- 746
Ich kann nur soviel dazu sagen, dass ich die Yahoo-Mail Adresse nur 2009 kurze Zeit verwendet habe, da das der einzige Anbieter war, der damals auf IPhone Push-Mail unterstützte. Habe sie nur damals für eine Hand voll Dinge wie ITunes etc. verwendet und dann eigentlich alles auf meine damals neue Google-Mail Adresse geändert, scheinbar nur Apfeltalk nicht.
Habe das die letzten 2 Stunden nochmal geprüft und bin alle Mails durch gegangen. Seit ich die Adresse nicht mehr verwende (2009) kamen nur Mails von Apfeltalk, Yahoo und sonst quasi nichts.
Wollte mich jetzt hier nicht beschweren oder sonst was, weil ich ja selber Schuld war mit der Passwortvergabe aber ich wollte es hier einfach mal kundtun, dass es höchstunwahrscheinlich ist, dass über einen anderen Dienst jemand an meine Adresse/Passwort gekommen ist, da diese wie gesagt sonst nirgends mehr hinterlegt ist.
Somit ist es am naheliegendsten, dass das ganze mit dem Hack von Apfeltalk im Zusammenhang steht.
Habe das die letzten 2 Stunden nochmal geprüft und bin alle Mails durch gegangen. Seit ich die Adresse nicht mehr verwende (2009) kamen nur Mails von Apfeltalk, Yahoo und sonst quasi nichts.
Wollte mich jetzt hier nicht beschweren oder sonst was, weil ich ja selber Schuld war mit der Passwortvergabe aber ich wollte es hier einfach mal kundtun, dass es höchstunwahrscheinlich ist, dass über einen anderen Dienst jemand an meine Adresse/Passwort gekommen ist, da diese wie gesagt sonst nirgends mehr hinterlegt ist.
Somit ist es am naheliegendsten, dass das ganze mit dem Hack von Apfeltalk im Zusammenhang steht.
smoe
Roter Winterkalvill
- Registriert
- 13.04.09
- Beiträge
- 11.575
Die Frage ist eher wie viele Mitglieder haben wir die aktiv sind, die das gleiche PW in AT und Mail verwenden UND die dazu noch Warnmails des Mailanbieter beachten UND hier Rückmeldung geben, UND den ganzen Vorfall überhaupt mitbekommen haben wo die entsprechende News dazu ja bereits nach kurzer Zeit schon von der Startseite verschwunden ist und die Mail anscheinend viele Leute gar nicht erreicht hat... Spannend wäre es wie viele sich melden wenn es einen direkten Aufruf dazu auf der Startseite gäbe...
MaChris
Osnabrücker Reinette
- Registriert
- 25.07.06
- Beiträge
- 990
Abonnement von Foren-Beiträgen
Hi,ich habe die Mail erhalten und begrüße dies sehr.Vielleicht etwas OT, aber ich habe festgestellt, dass ich seit dem Vorfall keine eMails mehr mit den neuesten Beiträgen in den abonnierten Foren erhalte. Und zwar trotzdem ich nach der Passwortänderung nochmals alle Abonnements überprüft und auch die hinterlegte eMail-Adresse geprüft habe.Und nein, im Spam-Ordner meines Mail-Providers stecken die Nachrichten nicht.Jemand eine Idee?
Hi,ich habe die Mail erhalten und begrüße dies sehr.Vielleicht etwas OT, aber ich habe festgestellt, dass ich seit dem Vorfall keine eMails mehr mit den neuesten Beiträgen in den abonnierten Foren erhalte. Und zwar trotzdem ich nach der Passwortänderung nochmals alle Abonnements überprüft und auch die hinterlegte eMail-Adresse geprüft habe.Und nein, im Spam-Ordner meines Mail-Providers stecken die Nachrichten nicht.Jemand eine Idee?
2003-2024 Apfeltalk | Made on a Mac