SV3N schrieb:
Weder VikingVPN noch TorGuard haben sich bisher zu dem Vorfall geäußert.
Die Redaktion dankt Community-Mitglied „konkretor“ für den Hinweis zu diesem Update.
Sven, mal eine Frage, was ist denn eigentlich der Maßstab für solche Aussagen und Danksagungen?
Versteh mich nicht falsch, aber du verlinkst im Artikel deine Quelle zu techcrunch.com, die zu diesem Thema folgendes auch gestern schon (also als du die News initial geschalten hast) schrieben:
"
It’s also believed several other VPN providers may have been breached around the same time. Similar records posted online — and seen by TechCrunch — suggest that TorGuard and VikingVPN may have also been compromised.
A spokesperson for TorGuard told TechCrunch that a “single server” was compromised in 2017 but denied that any VPN traffic was accessed. TorGuard also put out an extensive statement following a May blog post, which first revealed the breach."
Und jetzt, paar Stunden später kommt auf Hinweis eines Users, dass auch andere Anbieter betroffen sind (was du ja aus deiner eigenen Quelle schon gestern hast entnehmen können -> aber scheinbar ignoriertest) auf einmal ein Update, was sachlich inhaltlich nicht 100% richtig ist, weil ein Statement dazu gab es entgegen deiner Aussage. Bisschen später gefolgt von der Richtigstellung deinerseits. Das ist zwar löblich, das zu berichtigen, aber wieso ist es überhaupt dazu gekommen? Wieso nicht gleich, wenn man eh 1:1 Bezug zu einer Quelle nimmt und deren Aussagen weiter gibt, vollumfänglich auf das gesagte eingehen?
Wie gesagt, gestern wunderte ich mich noch, dass du nix über das wie des "Hack" fallen gelassen hast, obwohl die Quelle sich dazu äußert. Und dann mit den beiden letzten Updates sogar noch das nächste Ding...
Ich persönlich finde es sehr ärgerlich, dass man bei Newsmeldungen leider immer die verlinkte Quelle gegen lesen sollte, ja sogar schon muss, weil in der Masse der Fälle idR nur 1:1 abgeschrieben wird und selbst das nicht 100% richtig ist, weil wahlweise Sachen ganz weggelassen werden, Übersetzungsfehler passieren oder Dinge einfach ignoriert werden, teils auch völlig missinterpretiert werden. Ich erinnere da noch an die Behauptung bei CB damals, dass SSLer HTTPS Verbindungen knacken würde - was bis heute nicht korrigiert wurde und immernoch völliger Unsinn ist. Sowas ist für die Leser wirklich sehr sehr ärgerlich, vor allem die, die technisch mit dem Spaß nichts zu tun haben, verlassen sich (mehr oder weniger) drauf, dass die Aussagen stimmen. Leider tun sie das in so manchem Fall aber einfach nicht. MMn ein arges Problem... Die Analogie, warum ich hier diese Meldung erwähne ist, dass auch damals in der verlinkten Quelle stand, was Phase ist, der Artikel aber schlicht falsch war.
PS828 schrieb:
Ich denke auch, viel wichtiger ist hier dass es die VPN Betreiber garnicht zu jucken scheint wenn ihre Schlüssel in öffentlichen Foren auftauchen
Was erwartest du denn für eine Reaktion? Das Zeug ist teils Jahre her... Die Schlüssel (nach Angabe) lange getauscht. Damit ist effektiv kein Schaden mehr anzurichten. Die einzige Möglichkeit wäre, dass jemand Daten aus der Zeit, als die Schlüssel noch genutzt wurden, aktiv mitgesniffert hat und im Nachgang auf den Schlüssel stößt, mit dem er die Daten entschlüsseln kann. Wie wahrscheinlich ist das aber wirklich?
Es gibt jetzt nicht unbedingt so sonderlich viele Institutionen wo es theoretisch möglich wäre, sich mal so eben ins INet einzuklinken und gezielt Traffic mitzusniffern. Wer das vor hat muss das schon im sehr großen Stiel machen (NSA like) um entsprechend Daten zusammen zu bekommen, die dann vllt Monate bis Jahre später auswertbar sind, weil Keys auftauchen zum entschlüsseln... Aber selbst da ist das auch nur bedingt ein Thema, wenn du lange genug wartest, ist eh alles entschlüsselbar, weil die notwendige Zeit um per Bruteforce alle Kombination zu testen mit den Monaten/Jahren immer kleiner wird, bis wer die Schlüssel knackt.
Vor Jahren mal als sicher geltende Verfahren und Schlüssellängen sind heute nicht mehr sicher. Das Auftauchen eines Schlüssels wäre hier nur ein Tropfen auf den heißen Stein und bringt das eh unausweichliche Ergebnis bestenfalls ein wenig näher.
Ob wer abseits Geheimdiensten mit entsprechenden Sniffer-Datenbestand überhaupt in der Lage ist, Daten mit den Schlüsseln zu entschlüsseln ist mMn extremst fraglich.
Taron schrieb:
Sonst würde solch ein Unternehmen schon im Sinne des Eigenschutzes natürlich nicht zugeben, dass Daten gestohlen wurden oder das Netzwerk unsicher war...
So einfach ist das nicht - Wenn sie bewusst lügen, ist ihnen auch bewusst, dass da Dritte Belege für haben können, die Lüge auffliegen zu lassen. Wer weis, dass er gehackt wurde, weis idR auch, dass es nix bringt, den Hack zu verschleiern - vor allem wo Teile des Hacks eh schon publiziert wurden.
MMn ist davon auszugehen, dass die Aussage stimmt. Oder sagen wir es anders, es ist davon auszugehen, dass sie nichts gefunden haben, was darauf schließen lässt, dass die Aussage nicht stimmt
