Hallo liebe RRVGTler,
wir sind weiterhin am Aufarbeiten der Ereignisse der vergangenen Tage.
Alle von euch haben wohl mitbekommen, dass die RRVGT am vergangenen Montagabend, dem 28.05.2018, Ziel eines Hacker-Angriffs wurde.
In diesem Post möchten wir von der RRVGT-Leitung euch darüber informieren was genau dort geschehen ist, jedenfalls so weit wir das bisher nachvollziehen können. Wir sind in der Sache wie bereits geschrieben noch am Analysieren und Verarbeiten, über Neuigkeiten werden wir euch selbstverständlich informieren sobald es etwas relevantes zu vermelden gibt.
Wie bereits bekannt, sind wir im Rahmen der Einführung der neuen DSGVO auf die neue Foren-Software umgestiegen, um den rechtlichen Anforderungen an den Datenschutz gerecht zu werden. Das neue Forum - und auch dessen Hoster cmd.network in Person von @zockaholicer - erfüllen sämtliche vorgeschriebenen technischen Spielereien wie z.B. SSL-Verschlüsselung, Verschlüsselung von Kennwörtern, Benutzerdaten, Datenbanken und was einem sonst noch so einfällt.
Mit ein Grund warum wir schon länger vom alten Forum weg wollten ist, dass das alte Forum diese Standards eben NICHT bietet. Kein SSL, die Kennwörter wurden nur gehasht anstatt ordentlich verschlüsselt, und so weiter.
Im Rahmen des Umzugs auf das neue Forum habe ich persönlich sämtliche Schreibrechte in der Nacht vom 21.05.2018 auf den 22.05.2018 im alten Forum für alle Benutzer deaktiviert. Ebenso habe ich allen Benutzern die Berechtigungen für private Nachrichten, Emails und andere Beiträge aller Art entzogen. Auch die Neu-Registrierung habe ich deaktiviert. Das alte Forum war ab diesem Zeitpunkt nur noch als Archiv mit Leserechten nutzbar. Die Administrationsrechte für die Mitglieder der RRVGT-Leitung habe ich allerdings nicht entfernt (ich hätte so oder so für den Notfall mindestens einen Benutzer mit vollen Zugriffsrechten erhalten müssen, damit man im Notfall noch reagieren kann).
Was ist also am Abend des 28.05.2018 passiert?
Sofort nach Bekanntwerden des Angriffs durch die versendete Email sind die Mitglieder der RRVGT-Leitung ( @giromc , @Mr.Funkyvogelfutter , @Bendebaer und ich) und @zockaholicer auf unserem Teamspeak in Kontakt miteinander getreten um die Situation zu analysieren.
In den nächsten circa 2 Stunden haben wir die Lage gesichtet und die verschiedenen Log-Dateien der verschiedenen Plattformen (altes Forum, neues Forum, Teamspeak, Firewall und Server-Infrastruktur von cmd.network) auf Angriffe untersucht. Wir konnten dabei keinerlei erfolgreiche Angriffe auf die aktuellen Systeme erkennen. Es wurde von einer Google-Bot-Adresse versucht sich Zugriff auf das neue Forum zu verschaffen, allerdings war dieser Zugriff erfolglos. Als einziger erfolgreicher Angriff wurde der Zugriff auf das alte Forum festgestellt.
Gegen 23:25 haben wir über das Foren-System die Info-Mail an alle registrierten Benutzer mit dem Betreff “Hacker-Angriff auf die RRVGT!” versendet, in der wir euch gebeten haben eure Passwörter zu ändern.
In etwa zeitgleich habe ich das alte Forum vollständig gelöscht, da die Inhalte bereits verloren waren und es keinen Grund mehr gab das Forum zu erhalten.
In der Folge gab es eine sehr angeregte Diskussion unter den Mitgliedern der RRVGT-Leitung, ob es sinnvoll, notwendig und für die Nutzer (euch) zumutbar ist, alle Kennwörter im neuen Forum nochmals zurückzusetzen. Dies wurde bereits beim Umzug auf das neue System getan, da die Kennwörter aus dem alten Forum nicht übernommen werden konnten. Betroffen von dieser Thematik waren nur die Benutzer, die sich bereits mindestens einmal seit dem Umzug im neuen Forum angemeldet hatten, alle anderen waren hiervon unbetroffen, da diese weiterhin einen unbrauchbaren Wert als Passwort haben, mit dem kein Login möglich ist. In Zahlen ausgedrückt waren das 99 betroffene Benutzer.
Es wurde argumentiert, dass wir die User (euch) mit einer weiteren Passwort-Rücksetzung noch weiter verwirren würden. Auf der anderen Seite wurde argumentiert, dass wir nicht genau sagen können wer sein Passwort aus dem alten Forum auch im neuen Forum wiederverwendet hat, und wir alles technisch mögliche tun müssen um einen unberechtigten Zugriff auf eure Benutzerkonten zu verhindern.
Schlussendlich haben wir uns gegen 0:40 Uhr nach hitzigen Diskussionen dazu entschlossen die Kennwörter dieser 99 Benutzer nochmals zurückzusetzen, um sämtliche Risiken zu minimieren. Manche von euch haben also eine dritte Email bekommen, die diesmal von @zockaholicer über die Email-Adresse von cmd.network verschickt wurde.
Dass wir die Kennwörter nicht sofort mit der Mail von 23:35 zurückgesetzt haben war wohl ein Fehler, da durch die weitere Mail eventuell noch mehr Unsicherheit bei euch hervorgerufen wurde. Hierfür möchten wir uns bei euch entschuldigen.
Uns liegt in den Log-Dateien mindestens eine IP-Adresse des vermeintlichen Angreifers vor, derzeit wird diskutiert wie hier weiter vorgegangen wird.
Auch eine “Meldung von Verletzungen des Schutzes personenbezogener Daten” an die zuständige Aufsichtsbehörde wurde heute abgesendet. Dazu sind wir laut DSGVO verpflichtet.
Ich möchte nochmal ausdrücklich darauf hinweisen, dass wir KEINEN erfolgreichen Angriff auf das neue Forum feststellen konnten.
Ich stelle das deswegen so deutlich nochmal heraus, weil mich bereits die ersten Benutzer darum gebeten haben ihre Benutzernamen im (neuen) Forum zu ändern, da sie nicht länger mit Klarnamen auftreten möchten. Ich kann diesen Wunsch zwar nachvollziehen und muss diesem auch entsprechen und eure Benutzernamen auf Wunsch ändern, aber ich sehe hierzu keine Veranlassung. Meiner Meinung nach (und nach Meinung der RRVGT-Leitung) ist das neue Forum so sicher es geht.
Wir haben in den letzten Tagen und Wochen viel für den Datenschutz getan, und tun dies auch weiterhin ( @Mr.Funkyvogelfutter baut aktuell und schon seit einiger Zeit auch eine komplett neue Homepage).
Zur Verdeutlichung: In Sachen Datenschutz sind wir bereits wesentlich weiter als so mancher gewerblicher Entwickler von Unterhaltungssoftware, deren Portal-Seiten weiterhin kein HTTPS unterstützen… aber wir wollen ja keine Namen nennen
Ich hoffe dass diese Informationen möglichst alle eure Fragen beantworten, wenn nicht, dann stehen wir und ich natürlich gerne für eure Fragen zur Verfügung.
Gerne auch hier unter diesem Post.
Bis dahin
Malte für die RRVGT-Leitung und cmd.network =)
wir sind weiterhin am Aufarbeiten der Ereignisse der vergangenen Tage.
Alle von euch haben wohl mitbekommen, dass die RRVGT am vergangenen Montagabend, dem 28.05.2018, Ziel eines Hacker-Angriffs wurde.
In diesem Post möchten wir von der RRVGT-Leitung euch darüber informieren was genau dort geschehen ist, jedenfalls so weit wir das bisher nachvollziehen können. Wir sind in der Sache wie bereits geschrieben noch am Analysieren und Verarbeiten, über Neuigkeiten werden wir euch selbstverständlich informieren sobald es etwas relevantes zu vermelden gibt.
Wie bereits bekannt, sind wir im Rahmen der Einführung der neuen DSGVO auf die neue Foren-Software umgestiegen, um den rechtlichen Anforderungen an den Datenschutz gerecht zu werden. Das neue Forum - und auch dessen Hoster cmd.network in Person von @zockaholicer - erfüllen sämtliche vorgeschriebenen technischen Spielereien wie z.B. SSL-Verschlüsselung, Verschlüsselung von Kennwörtern, Benutzerdaten, Datenbanken und was einem sonst noch so einfällt.
Mit ein Grund warum wir schon länger vom alten Forum weg wollten ist, dass das alte Forum diese Standards eben NICHT bietet. Kein SSL, die Kennwörter wurden nur gehasht anstatt ordentlich verschlüsselt, und so weiter.
Im Rahmen des Umzugs auf das neue Forum habe ich persönlich sämtliche Schreibrechte in der Nacht vom 21.05.2018 auf den 22.05.2018 im alten Forum für alle Benutzer deaktiviert. Ebenso habe ich allen Benutzern die Berechtigungen für private Nachrichten, Emails und andere Beiträge aller Art entzogen. Auch die Neu-Registrierung habe ich deaktiviert. Das alte Forum war ab diesem Zeitpunkt nur noch als Archiv mit Leserechten nutzbar. Die Administrationsrechte für die Mitglieder der RRVGT-Leitung habe ich allerdings nicht entfernt (ich hätte so oder so für den Notfall mindestens einen Benutzer mit vollen Zugriffsrechten erhalten müssen, damit man im Notfall noch reagieren kann).
Was ist also am Abend des 28.05.2018 passiert?
- Wir gehen davon aus, dass der Angreifer Zugriff auf die Benutzernamen und Passwörter im alten Forum bekommen hat, höchstwahrscheinlich durch eine Sicherheitslücke im alten Forum, nämlich die oben bereits angesprochenen gehashten Kennwörter. Das war etwa um 20:30 Uhr.
- Unter anderem wurde vom Angreifer auch das Kennwort von @Bendebaer im alten Forum ausgelesen. Bekannterweise hat @Bendebaer im alten Forum administrative Rechte. Damit war es dem Angreifer möglich sämtliche Foren-Beiträge aus dem alten Forum zu löschen und teilweise durch rechtsradikale Inhalte zu ersetzen.
- Als nächstes hat der Angreifer sich mit dem aus dem alten Forum ausgelesen Kennwort von @Bendebaer im neuen Forum eingeloggt. @Bendebaer hatte im neuen Forum das gleiche Kennwort wie im alten Forum genutzt, wodurch der Zugriff möglich wurde. Danach hat er wahrscheinlich noch die Login-Daten der anderen 3 veröffentlichten User getestet, die wahrscheinlich ebenfalls die alten Kennwörter wiederverwendet hatten.
- Das ebenfalls veröffentlichte Teamspeak Query Passwort wurde auch aus dem alten Forum ausgelesen.
- Da @Bendebaer im neuen Forum die Berechtigung zum Versenden von Massen-Emails an alle registrierten Benutzer hat, wurde die euch bekannte Email von der Adresse no-reply@rrvgt.de mit den sensiblen Daten gegen 20:55 Uhr über das System des neuen Forums verschickt. Diese Adresse ist im System als Standard-Adresse vorgegeben. Dadurch sah es auf den ersten Blick so aus, als ob das neue Forum angegriffen worden sei.
Sofort nach Bekanntwerden des Angriffs durch die versendete Email sind die Mitglieder der RRVGT-Leitung ( @giromc , @Mr.Funkyvogelfutter , @Bendebaer und ich) und @zockaholicer auf unserem Teamspeak in Kontakt miteinander getreten um die Situation zu analysieren.
In den nächsten circa 2 Stunden haben wir die Lage gesichtet und die verschiedenen Log-Dateien der verschiedenen Plattformen (altes Forum, neues Forum, Teamspeak, Firewall und Server-Infrastruktur von cmd.network) auf Angriffe untersucht. Wir konnten dabei keinerlei erfolgreiche Angriffe auf die aktuellen Systeme erkennen. Es wurde von einer Google-Bot-Adresse versucht sich Zugriff auf das neue Forum zu verschaffen, allerdings war dieser Zugriff erfolglos. Als einziger erfolgreicher Angriff wurde der Zugriff auf das alte Forum festgestellt.
Gegen 23:25 haben wir über das Foren-System die Info-Mail an alle registrierten Benutzer mit dem Betreff “Hacker-Angriff auf die RRVGT!” versendet, in der wir euch gebeten haben eure Passwörter zu ändern.
In etwa zeitgleich habe ich das alte Forum vollständig gelöscht, da die Inhalte bereits verloren waren und es keinen Grund mehr gab das Forum zu erhalten.
In der Folge gab es eine sehr angeregte Diskussion unter den Mitgliedern der RRVGT-Leitung, ob es sinnvoll, notwendig und für die Nutzer (euch) zumutbar ist, alle Kennwörter im neuen Forum nochmals zurückzusetzen. Dies wurde bereits beim Umzug auf das neue System getan, da die Kennwörter aus dem alten Forum nicht übernommen werden konnten. Betroffen von dieser Thematik waren nur die Benutzer, die sich bereits mindestens einmal seit dem Umzug im neuen Forum angemeldet hatten, alle anderen waren hiervon unbetroffen, da diese weiterhin einen unbrauchbaren Wert als Passwort haben, mit dem kein Login möglich ist. In Zahlen ausgedrückt waren das 99 betroffene Benutzer.
Es wurde argumentiert, dass wir die User (euch) mit einer weiteren Passwort-Rücksetzung noch weiter verwirren würden. Auf der anderen Seite wurde argumentiert, dass wir nicht genau sagen können wer sein Passwort aus dem alten Forum auch im neuen Forum wiederverwendet hat, und wir alles technisch mögliche tun müssen um einen unberechtigten Zugriff auf eure Benutzerkonten zu verhindern.
Schlussendlich haben wir uns gegen 0:40 Uhr nach hitzigen Diskussionen dazu entschlossen die Kennwörter dieser 99 Benutzer nochmals zurückzusetzen, um sämtliche Risiken zu minimieren. Manche von euch haben also eine dritte Email bekommen, die diesmal von @zockaholicer über die Email-Adresse von cmd.network verschickt wurde.
Dass wir die Kennwörter nicht sofort mit der Mail von 23:35 zurückgesetzt haben war wohl ein Fehler, da durch die weitere Mail eventuell noch mehr Unsicherheit bei euch hervorgerufen wurde. Hierfür möchten wir uns bei euch entschuldigen.
Uns liegt in den Log-Dateien mindestens eine IP-Adresse des vermeintlichen Angreifers vor, derzeit wird diskutiert wie hier weiter vorgegangen wird.
Auch eine “Meldung von Verletzungen des Schutzes personenbezogener Daten” an die zuständige Aufsichtsbehörde wurde heute abgesendet. Dazu sind wir laut DSGVO verpflichtet.
Ich möchte nochmal ausdrücklich darauf hinweisen, dass wir KEINEN erfolgreichen Angriff auf das neue Forum feststellen konnten.
Ich stelle das deswegen so deutlich nochmal heraus, weil mich bereits die ersten Benutzer darum gebeten haben ihre Benutzernamen im (neuen) Forum zu ändern, da sie nicht länger mit Klarnamen auftreten möchten. Ich kann diesen Wunsch zwar nachvollziehen und muss diesem auch entsprechen und eure Benutzernamen auf Wunsch ändern, aber ich sehe hierzu keine Veranlassung. Meiner Meinung nach (und nach Meinung der RRVGT-Leitung) ist das neue Forum so sicher es geht.
Wir haben in den letzten Tagen und Wochen viel für den Datenschutz getan, und tun dies auch weiterhin ( @Mr.Funkyvogelfutter baut aktuell und schon seit einiger Zeit auch eine komplett neue Homepage).
Zur Verdeutlichung: In Sachen Datenschutz sind wir bereits wesentlich weiter als so mancher gewerblicher Entwickler von Unterhaltungssoftware, deren Portal-Seiten weiterhin kein HTTPS unterstützen… aber wir wollen ja keine Namen nennen
Ich hoffe dass diese Informationen möglichst alle eure Fragen beantworten, wenn nicht, dann stehen wir und ich natürlich gerne für eure Fragen zur Verfügung.
Gerne auch hier unter diesem Post.
Bis dahin
Malte für die RRVGT-Leitung und cmd.network =)
RaceApp.eu - Your Sim Racing League Management
