Spielegrotte gehackt!!

[XBU Böhser Onkel]

Ich kenne mich mit solchen Verwaltungssachen 0 aus aber es hört sich irgendwie ziemlich unprofessionell an wenn man hört dass Marc sich von irgendeinem Pc (im Urlaub) so einfach in solch sensible Datenbanken einloggen kann.
Hat man dafür also Shopbesitzer nicht irgendwie ne gescheite Firma oder Person die sich um die Sicherheit kümmert?

[XBU Mastermind]

Ich kenne mich mit solchen Verwaltungssachen 0 aus aber es hört sich irgendwie ziemlich unprofessionell an wenn man hört dass Marc sich von irgendeinem Pc (im Urlaub) so einfach in solch sensible Datenbanken einloggen kann.
Hat man dafür also Shopbesitzer nicht irgendwie ne gescheite Firma oder Person die sich um die Sicherheit kümmert?

Nö - das ist eigentlich so relativ normal - Allerdings wenn DBs und dergleichen aus der Ferne zu erreichen sind (im Admin Modus) sollte man zusätzliche Sicherheitsmassnahmen vorkehren - lange cryptische PWs etc.

XBU ist genauso "unprofessionell" aus der Ferne wartbar - Das ist absolut nichts ungewöhnliches.

[XBU Böhser Onkel]

Ok danke für die Info wie gesagt hab von sowas 0 Ahnung.
Da muss ich ja aufpassen dass ich nicht ausversehen auf den Button "Format XBU" klicke.

[XBU MrHyde]

XBU ist genauso "unprofessionell" aus der Ferne wartbar - Das ist absolut nichts ungewöhnliches.

Da möchte ich mich aber einharken... ich habe ja extra nix zum damaligen XBU-Shop geschrieben... zum einen, weil wir davon nix mehr haben und es diesen nicht mehr gibt, zum anderen mag ich es nicht, mit dem Finger auf andere zu zeigen, zumal ich deren System gar nicht in Vollendung kenne..., deswegen hatte ich vorher nur meine Meinung als Kunde zur Informationspolitik geäussert.

Es ist zwar in der Tat so, dass logischerweise auf XBU weltweit zugegriffen werden kann, ist aber beim Forum wahrlich nicht anders üblich und die sensiblen Daten gehen auf einen Nullpunkt, wäre es "nur" eine Mailadresse, denn alle anderen Daten wie Forennick & Co. sind eh öffentlich einsehbar.

Allerdings möchte ich darauf hinweisen, dass es im XBU Shop anders war. Wir hatten zwar einen Internetshop mit gängiger Software, dieser war aber verknüpft an einem Warenwirtschaftssystem mit einem lokalen Server, der zu diesem Zwecke damals gekauft und bei Jörn in Hamburg im Büro installiert war. Auf diese Daten konnte man nicht vom Internet zugreifen, sondern die Software hat lediglich dafür gesorgt, dass die Daten aus dem Shop ausgelesen wurden. Der Server konnte dann eineseits lokal bedient werden, andererseits über Remote-Desktop-Verbindungen, Firewall-Schnickschnack und Co. dediziert zu maximal einem weiteren & festgelegten Rechner, wofür man auch eine Lizenz kaufen musste. Sprich: Man hatte da mehrere Bereiche, die man überwinden müsste, um da hinzukommen

Ich kann nun nach 2 Jahren nach der Abschaltung nicht mehr sagen, was man überhaupt noch im Internet verfügbar hatte und welche Daten mit krimineller Energie hätte auslesen können und ob bei der Grotte das System genauso/ähnlich ist, aber das letztlich auch nicht für mich der Punkt. Denn ich denke zum einen, dass es sicher immer Wege gibt, Kriminelles zu tun und es bleibt die Hoffnung, dass die Schuldigen immer gefunden werden, zum anderen ging es mir persönlich bei der Sache hauptsächlich um die Informationspolitik.

Diese ist nun nachgeholt worden und das ist soweit auch ok, bis auf die Dauer bis zur Information... vermutlich erst nach Druck von aussen.

Ob das nun jemanden ausreicht, um einem Betreiber den Rücken zu kehren, muss jeder selber entscheiden. Die Daten selbst sind aber überall gleich unsicher, es sei denn, man holt sein Geld in der Bank am Schalter ab, geht im Laden vor Ort einkaufen und bezahlt bar Dem Risiko muss man sich bewusst sein und sollte einfach generell seine Kontoauszüge immer kontrollieren

[TimmyT1981]

Ich finde aber das hier masslos übertrieben wird. Wenn man irgendwelche Daten irgendwo angibt wird damit generell immer Unsinn getrieben. Denkt ihr Microsoft hält sich an die Regeln wenn man sein Windows registriert und kein anderer ausser die kommen an die Daten? Im Leben nicht! Die geben es nur nicht zu und machen Geschäfte mit sowas.

Ok das mit den Bankdaten ist natürlich mies aber man muss die ja nicht angeben, also auch selber Schuld. Sicherheit gibt es niemals, schon gar nicht im Internet.

Das erst jetzt was kommt ist doof, aber das ist das Problem der Grotte, da werden die sich schon noch drüber Ärgern, von daher auch nonsens.

Meine Bankdaten sind da auch hinterlegt, ich lass die auch da. Jetzt ist eh zu spät und Lastschriften kann man sechs Wochen rückgängig machen, also kein Grund Angst zu haben.

Von daher einfach mal nen Gang runter schalten und gut is.

[XBU Böhser Onkel]

Naja ich sehe das nicht so locker wie du Timmy.
Marc wird an der Geschichte wohl noch lange Freude haben jedes Forum in dem es auch nur ansatzweise ums Gameing geht berichtet von dem Vorfall begeistert sind die wenigsten.

[crasc]

Ich finde aber das hier masslos übertrieben wird. Wenn man irgendwelche Daten irgendwo angibt wird damit generell immer Unsinn getrieben. Denkt ihr Microsoft hält sich an die Regeln wenn man sein Windows registriert und kein anderer ausser die kommen an die Daten? Im Leben nicht! Die geben es nur nicht zu und machen Geschäfte mit sowas.

Ok das mit den Bankdaten ist natürlich mies aber man muss die ja nicht angeben, also auch selber Schuld. Sicherheit gibt es niemals, schon gar nicht im Internet.

Das erst jetzt was kommt ist doof, aber das ist das Problem der Grotte, da werden die sich schon noch drüber Ärgern, von daher auch nonsens.

Meine Bankdaten sind da auch hinterlegt, ich lass die auch da. Jetzt ist eh zu spät und Lastschriften kann man sechs Wochen rückgängig machen, also kein Grund Angst zu haben.

Von daher einfach mal nen Gang runter schalten und gut is.

so sehe ich das auch wenn es wirklich seit 2008 diese lücke gibt , warum sollte das ausgerechnet jetzt mit den daten schit betrieben werden , dann hätten sie es schon früher machen können !
daten löschen bringt sowieso nichts mehr !!!!!!!!!!!!

[bloodhunter]

das ja mal nen allgemeiner Grotte THread war.

Ich glaube morgen früh muss ich meine nächste Problem mail rausschicken. Um 20.45 uhr 2100 Points per Sofortabruf bestellt. Auf der seite sebst steht ja Code innerhalb paar Sekunden und so war es bisher auch immer schon mindestens 5 mal bestellt. Jetz nach 3 std immer noch kein Code.. Naja wart mal noch bis morgen ab. Und wenn bis dahin der Code nicht da is pflipp ich aus. Die 25 euro haben se mir ja schon in Rechnung gestellt. Aber eiglt is das nicht normal das nach 3 std immer noch kein code ankommt.

[crasc]

das ja mal nen allgemeiner Grotte THread war.

Ich glaube morgen früh muss ich meine nächste Problem mail rausschicken. Um 20.45 uhr 2100 Points per Sofortabruf bestellt. Auf der seite sebst steht ja Code innerhalb paar Sekunden und so war es bisher auch immer schon mindestens 5 mal bestellt. Jetz nach 3 std immer noch kein Code.. Naja wart mal noch bis morgen ab. Und wenn bis dahin der Code nicht da is pflipp ich aus. Die 25 euro haben se mir ja schon in Rechnung gestellt. Aber eiglt is das nicht normal das nach 3 std immer noch kein code ankommt.

nö eigentlich nicht ! kann mir aber vorstellen warum noch nix gekommen ist !!!!!!!!!!!!!!!!! habe auch schon mal point abgerufen , das war aber nachmittags nicht abends !

[XBU Mastermind]

Wir hatten zwar einen Internetshop mit gängiger Software, dieser war aber verknüpft an einem Warenwirtschaftssystem mit einem lokalen Server, der zu diesem Zwecke damals gekauft und bei Jörn in Hamburg im Büro installiert war. Auf diese Daten konnte man nicht vom Internet zugreifen, sondern die Software hat lediglich dafür gesorgt, dass die Daten aus dem Shop ausgelesen wurden. Der Server konnte dann eineseits lokal bedient werden, andererseits über Remote-Desktop-Verbindungen, Firewall-Schnickschnack und Co. dediziert zu maximal einem weiteren & festgelegten Rechner, wofür man auch eine Lizenz kaufen musste. Sprich: Man hatte da mehrere Bereiche, die man überwinden müsste, um da hinzukommen

Solange eine Verbindung von A nach B existiert, sind diese Daten erreich-und angreifbar. Ich war viele Jahre für unsere Technologien und Security verantwortlich und habe sie mit meinem TEam vor Jahren aufgebaut - von daher kann ich mir durchaus ein Bild machen und unsere Daten sind ja durchaus als kritisch eingestuft

Auch im vorliegenden Fall hätte das den XBU Shop nicht geschützt. Der Fehler lag im eigentlich Shop System und hat somit durch einen veränderten Link legal mit dem Shopuser auf die (Remote) Datenbank zugegriffen und die Daten geholt - absolut sicher und so, wie es die Architektur vorgesehen hat. Ein Hacking Versuch heisst nicht automatisch, dass man Zugrif auf das System hat. Im SG Fall bzw. im Shop Fall handelte es isch ja auch um eine Verwundbarkeit (vulnerable) - nicht um ein direktes Hacking.
Das Layout des XBU Shops war absolut richtig und nur so kann man über mehrere Firewalls bzw. ein DMZ und idealerweise getrennte DB Server. Die Daten zumindest versuchen zu schützen - vor allem MEhrstufig. Aber wie gesagt was bringt die Security, wenn du der Software ganz vorne ohne authorisierung sagen kannst, hol doch bitte mal alle Kundendaten

Egal - Sicher ist leider keine Information zu 100% - Ist wie die Frage, wie man seinen REchner sicher ans Internet anschliesst - Kabel draussen lassen

Die Sachlage an sich ist ärgerlich - klar - Ich als Kunde und nicht gerade unbeschriebenes Blatt in dem Bereich bin mir der Risiken für gew. bewusst. Nicht gefallen hat mir die Informationspolitik.

Über das Security Layout - gerne mehr - aber dann beim Bierchen - Das dauert!