In der Nacht von Montag auf Dienstag hatte ein Unbekannter kurzzeitig Zugriff auf den Account eines Forum-Moderators. Der Unbekannte hat damit einen Thread im Forum "Grafikkarten: Kaufberatung" erstellt und oben festgepinnt, in dem er eine Grafikkarte gegen Bezahlung mit Kryptowährungen zum Kauf angeboten hat. Ein aufmerksamer Nutzer hat den Thread gemeldet, woraufhin binnen weniger Minuten der Thread gelöscht und der Account des Moderators gesperrt werden konnten.
Zwischenzeitlich hatte der Unbekannte mit den Moderator-Rechten noch den Meldenden gesperrt, einen Thread "32x GB Ram aber nur 16x GB verwendbar?" gelöscht, den Leserartikel "Vergleich alte und neue Vodafone Station (WIFI 6)" geschlossen (offenbar beides recht willkürlich), eine weitere Meldung geschlossen und einige Einstellungen im Benutzerprofil des Moderators geändert. Den gelöschten Thread können wir mit vertretbarem Aufwand nicht wiederherstellen, die anderen Aktionen haben wir rückgängig gemacht. Fünf anschließende Versuche, sich in die Accounts anderer Moderatoren einzuloggen, blieben erfolglos (nach dem fünften Versuch wurde die IP-Adresse gesperrt). Es bestand kein Zugriff auf personenbezogene Daten anderer Nutzer. Trotzdem wollen wir mit diesem Beitrag für Transparenz sorgen.
Es ist leider unklar, wie der Unbekannte an das Passwort des Moderators gelangen konnte. Es spricht aber alles dafür, dass das Passwort beim Nutzer und nicht von den ComputerBase-Servern entwendet wurde, denn es sind offenbar keine anderen Nutzer betroffen und das von XenForo genutzte Passwort-Hashing (je nach Alter des Passworts Argon2 oder bcrypt) entspricht dem Stand der Technik.
Wir ziehen aus diesem Vorfall die Konsequenz, dass ab sofort alle Moderatoren und Redakteure Zwei-Faktor-Authentifizierung (2FA) nutzen müssen. 2FA ist fester Bestandteil der Forumsoftware XenForo und jene kann dessen Nutzung für einzelne Benutzergruppen auch erzwingen. Bislang hatten wir diese Möglichkeit nur bei Administratoren und Ressortleitern genutzt. Ab sofort gilt die 2FA-Pflicht auch für alle Moderatoren und Redakteure.
Die Nutzung der Zwei-Faktor-Authentifizierung steht wie gehabt jedem ComputerBase-Nutzer offen. Bitte nehmt aber den Hinweis ernst, die Backup-Codes sicher aufzubewahren (sie also auszudrucken oder sie zumindest auf einem anderen Device zu speichern), denn es gilt nach wie vor: Wir werden die Zwei-Faktor-Authentifizierung bei Problemen nicht „auf Zuruf“ deaktivieren, weil das deren Sinn konterkarieren würde.
Zwischenzeitlich hatte der Unbekannte mit den Moderator-Rechten noch den Meldenden gesperrt, einen Thread "32x GB Ram aber nur 16x GB verwendbar?" gelöscht, den Leserartikel "Vergleich alte und neue Vodafone Station (WIFI 6)" geschlossen (offenbar beides recht willkürlich), eine weitere Meldung geschlossen und einige Einstellungen im Benutzerprofil des Moderators geändert. Den gelöschten Thread können wir mit vertretbarem Aufwand nicht wiederherstellen, die anderen Aktionen haben wir rückgängig gemacht. Fünf anschließende Versuche, sich in die Accounts anderer Moderatoren einzuloggen, blieben erfolglos (nach dem fünften Versuch wurde die IP-Adresse gesperrt). Es bestand kein Zugriff auf personenbezogene Daten anderer Nutzer. Trotzdem wollen wir mit diesem Beitrag für Transparenz sorgen.
Es ist leider unklar, wie der Unbekannte an das Passwort des Moderators gelangen konnte. Es spricht aber alles dafür, dass das Passwort beim Nutzer und nicht von den ComputerBase-Servern entwendet wurde, denn es sind offenbar keine anderen Nutzer betroffen und das von XenForo genutzte Passwort-Hashing (je nach Alter des Passworts Argon2 oder bcrypt) entspricht dem Stand der Technik.
Wir ziehen aus diesem Vorfall die Konsequenz, dass ab sofort alle Moderatoren und Redakteure Zwei-Faktor-Authentifizierung (2FA) nutzen müssen. 2FA ist fester Bestandteil der Forumsoftware XenForo und jene kann dessen Nutzung für einzelne Benutzergruppen auch erzwingen. Bislang hatten wir diese Möglichkeit nur bei Administratoren und Ressortleitern genutzt. Ab sofort gilt die 2FA-Pflicht auch für alle Moderatoren und Redakteure.
Die Nutzung der Zwei-Faktor-Authentifizierung steht wie gehabt jedem ComputerBase-Nutzer offen. Bitte nehmt aber den Hinweis ernst, die Backup-Codes sicher aufzubewahren (sie also auszudrucken oder sie zumindest auf einem anderen Device zu speichern), denn es gilt nach wie vor: Wir werden die Zwei-Faktor-Authentifizierung bei Problemen nicht „auf Zuruf“ deaktivieren, weil das deren Sinn konterkarieren würde.