ComputerBase Menü
Aktuelles

Ankündigung Verdächtige Logins in rund 900 ComputerBase-Accounts, die nun sicherheitsgesperrt sind

Steffen

Steffen

Technische Leitung
Administrator
Registriert
März 2001
Beiträge
17.212
An Pfingsten (28.05.2023) und Pfingstmontag (29.05.2023) gab es verdächtige Logins in knapp 900 ComputerBase-Accounts durch ein Bot-Netzwerk. Nach einem erfolgreichen Login hat der Bot die Seite "Dein Konto" aufgerufen (eventuell um von dort die im Account hinterlegte E-Mail-Adresse abzugreifen). Weiter wurde nichts mit den Accounts unternommen (eventuell sollten die Accounts zunächst gesammelt und in einem zweiten Schritt zum Verfassen von Spam-Beiträgen missbraucht werden).

Wir haben die betroffenen Accounts am Dienstagmorgen um circa 11:40 Uhr "sicherheitsgesperrt", sodass sie erst nach einer Änderung des Passworts wieder genutzt werden können. Bei sicherheitsgesperrten Accounts genügt es dazu nicht, das alte Passwort zu kennen, sondern es muss ein Link in einer Passwort-Reset-Mail angeklickt werden, d.h. es muss Zugriff auf die im Account hinterlegte E-Mail-Adresse nachgewiesen werden.

Wir möchten betonen, dass die ComputerBase-Website oder die ComputerBase-Server nicht gehackt wurden. Die Logins erfolgten automatisiert durch ein Bot-Netzwerk, das für seine Loginversuche eine vierstellige Anzahl an IP-Adressen genutzt hat, um das beim Login vorhandene IP-Rate-Limit aufzuweichen. Zusätzlich dazu gibt es auch noch ein Account-Rate-Limit, das die Anzahl der Loginversuche je Account begrenzt und somit dafür sorgt, dass das Botnetz trotz seiner vielen IP-Adressen zumindest je Account nur wenige Versuche hatte. Da auch das bei den betroffenen Accounts nicht geholfen hat, gehen wir davon aus, dass dem Botnetz Kombinationen von Benutzernamen und Passwörtern bekannt waren, die bei einem Hack anderer Websites in der Vergangenheit entwendet worden sein dürften. Es dürften also diejenigen Nutzer betroffen sein, die dieselbe Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendet haben.

Weil die Bot-Logins schwer zu fassen sind (vierstellige Anzahl IP-Adressen, wechselnde User-Agents, ...), werden sich unter den von uns sicherheitsgesperrten Accounts auch False-Positives befinden. Wessen Account sicherheitsgesperrt wurde, der ist also vermutlich betroffen, aber nicht definitiv. Wir bitten um Verständnis dafür, dass wir hier auf Nummer sicher gehen müssen und lieber einen Nutzer zu viel sein Passwort ändern lassen als einen zu wenig.

Auch wenn Website- bzw. Foren-Accounts nicht so sicherheitsrelevant sind wie E-Mail- oder Bank-Accounts (und selbst jeder Online-Shop verfügt mit Liefer- und Rechnungsadressen über mehr Daten als wir), so nutzt bitte auch bei eurem ComputerBase-Account ein einzigartiges Passwort, am besten generiert mit und gespeichert in einem Passwortmanager: https://www.computerbase.de/forum/account/security

Zukünftig werden Passkeys das Problem des Passwort-Re-Use sauber lösen. Bis dahin nutzt bitte unbedingt einzigartige Passwörter. Wer seinen ComputerBase-Account darüber hinaus besonders gut schützen möchte, der kann auf der verlinkten Seite auch die Zwei-Faktor-Authentifizierung aktivieren. (Es ist dann zwingend geboten, die generierten Backup-Codes sicher aufzubewahren.)

In Abstimmung mit unserem Datenschutzbeauftragten haben wir den Vorfall der Berliner Datenschutzbehörde gemeldet und die betroffenen Nutzer per E-Mail informiert.
 
  • Gefällt mir
Reaktionen: karlos3, Hahnfruh, Ralle321 und 410 andere
Vorbildliches Verhalten in Punkten Information und Sicherheit!
Top ComputerBase!
 
  • Gefällt mir
Reaktionen: upser, sightseeer, NoRoLo und 158 andere
Sonst wer noch die Mail bekommen?

Kann mir den Inhalt der Mail nicht nachvollziehen, meine E-Mailadresse ist einmalig und nur für CB angelegt, soweit kann das kein User einsehen und sehr unwahrscheinlich zu erraten in der Form von

i0I42IZ32aqe4ycKp4dymXX@gmx.de

Passwort ist sicher!

Login Versuch praktisch unmöglich!


über das Pfingstwochende kam es zu einem verdächtigen Login in deinen ComputerBase-Account. Als Reaktion darauf haben wir deinen Account am Dienstagmorgen sicherheitsgesperrt. Um deinen Account wieder nutzen zu können, ist ein Passwort-Reset erforderlich. Es kann sein, dass Dritte an die in deinem Account hinterlegte E-Mail-Adresse gelangt sind. Soweit das Wichtigste in Kürze, nun der Reihe nach.

An Pfingsten (28.05.2023) und Pfingstmontag (29.05.2023) gab es verdächtige Logins in knapp 900 ComputerBase-Accounts durch ein Bot-Netzwerk. Nach einem erfolgreichen Login hat der Bot die Seite "Dein Konto" aufgerufen (eventuell um von dort die im Account hinterlegte E-Mail-Adresse abzugreifen). Weiter wurde nichts mit den Accounts unternommen (eventuell sollten die Accounts zunächst gesammelt und in einem zweiten Schritt zum Verfassen von Spam-Beiträgen missbraucht werden).

Wir haben die betroffenen Accounts am Dienstagmorgen um circa 11:40 Uhr "sicherheitsgesperrt", sodass sie erst nach einer Änderung des Passworts wieder genutzt werden können. Bei sicherheitsgesperrten Accounts genügt es dazu nicht, das alte Passwort zu kennen, sondern es muss ein Link in einer Passwort-Reset-Mail angeklickt werden, d.h. es muss Zugriff auf die im Account hinterlegte E-Mail-Adresse nachgewiesen werden.

Wir möchten betonen, dass die ComputerBase-Website oder die ComputerBase-Server nicht gehackt wurden. Die Logins erfolgten automatisiert durch ein Bot-Netzwerk, das für seine Loginversuche eine vierstellige Anzahl an IP-Adressen genutzt hat, um das beim Login vorhandene IP-Rate-Limit aufzuweichen. Zusätzlich dazu gibt es auch noch ein Account-Rate-Limit, das die Anzahl der Loginversuche je Account begrenzt und somit dafür sorgt, dass das Botnetz trotz seiner vielen IP-Adressen zumindest je Account nur wenige Versuche hatte. Da auch das bei den betroffenen Accounts nicht geholfen hat, gehen wir davon aus, dass dem Botnetz Kombinationen von Benutzernamen und Passwörtern bekannt waren, die bei einem Hack anderer Websites in der Vergangenheit entwendet worden sein dürften. Es dürften also diejenigen Nutzer betroffen sein, die dieselbe Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendet haben.

Weil die Bot-Logins schwer zu fassen sind (vierstellige Anzahl IP-Adressen, wechselnde User-Agents, ...), werden sich unter den von uns sicherheitsgesperrten Accounts auch False-Positives befinden. Wessen Account sicherheitsgesperrt wurde, der ist also vermutlich betroffen, aber nicht definitiv. Wir bitten um Verständnis dafür, dass wir hier auf Nummer sicher gehen müssen und lieber einen Nutzer zu viel sein Passwort ändern lassen als einen zu wenig.

Auch wenn Website- bzw. Foren-Accounts nicht so sicherheitsrelevant sind wie E-Mail- oder Bank-Accounts (und selbst jeder Online-Shop verfügt mit Liefer- und Rechnungsadressen über mehr Daten als wir), so nutzt bitte auch bei eurem ComputerBase-Account ein einzigartiges Passwort, am besten generiert mit und gespeichert in einem Passwortmanager: https://www.computerbase.de/forum/account/security

Zukünftig werden Passkeys das Problem des Passwort-Re-Use sauber lösen. Bis dahin nutzt bitte unbedingt einzigartige Passwörter. Wer seinen ComputerBase-Account darüber hinaus besonders gut schützen möchte, der kann auf der verlinkten Seite auch die Zwei-Faktor-Authentifizierung aktivieren. (Es ist dann zwingend geboten, die generierten Backup-Codes sicher aufzubewahren.)

In Abstimmung mit unserem Datenschutzbeauftragten haben wir den Vorfall der Berliner Datenschutzbehörde gemeldet und die betroffenen Nutzer per E-Mail informiert.

Bei Fragen kannst du gerne auf diese E-Mail antworten.

Das ComputerBase-Team
 
  • Gefällt mir
Reaktionen: klesshilde, TI59_User, Mydgard und 5 andere
@ssh In deinem Fall sieht es so aus, dass du zu den False-Positives gehörst und dich nur zu genau dem Zeitpunkt in deinen Account eingeloggt hast (Montagmorgen um 6:29 Uhr), zu dem auch das Botnetz aktiv war. Der genannte Login geschah mit einer IP-Adresse desjenigen ISP, zu dem auch deine sonstigen IP-Adressen der letzten Tage gehören. Insofern bist du vermutlich safe. Bitte entschuldige die Umstände, aber in dem Detailgrad wie ich das jetzt gerade bei dir getan habe können wir keine 900 Accounts betrachten, wenn wir zeitnah reagieren wollen. :)
 
  • Gefällt mir
Reaktionen: gustlegga, NoRoLo, Saint81 und 71 andere
stand so leider nicht in der Mail. Mit der IP Begrenzung ist ohnehin Bullshit und zu einer richtigen Seuche geworden, kann so z.B. Google, Meta & Co. nicht mehr richtig nutzen weil diese Seiten gleich am Rad drehen weil sich ein vermeintlicher "Bot" anmelden möchte.
 
  • Gefällt mir
Reaktionen: smashcb und o0Julia0o
Das stand zugegebenermaßen nicht ganz am Anfang (werden wir als Verbesserungspotenzial notieren), aber schon drin.

Auszug aus der E-Mail schrieb:
Weil die Bot-Logins schwer zu fassen sind (vierstellige Anzahl IP-Adressen, wechselnde User-Agents, ...), werden sich unter den von uns sicherheitsgesperrten Accounts auch False-Positives befinden. Wessen Account sicherheitsgesperrt wurde, der ist also vermutlich betroffen, aber nicht definitiv. Wir bitten um Verständnis dafür, dass wir hier auf Nummer sicher gehen müssen und lieber einen Nutzer zu viel sein Passwort ändern lassen als einen zu wenig.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Nagilum99, Nscale, TI59_User und 15 andere
Computerbase sollte ohnehin alle Profil Informationen im Profil per default auf private setzen und weniger restriktiv sein was z.B. GMX Fun Domänen betrifft weil genau solche Adressen den Schaden massiv minimieren können weil das Problem i.d.R. nicht beim Nutzer zu finden ist.
 
  • Gefällt mir
Reaktionen: Benji18
cartridge_case schrieb:
Ach ja, und wurden, wie hier oft geschrieben, alte Windows 7 oder "nicht mehr sichere" Android-Versionen eingesetzt?
Zum Vergrößern anklicken....
Da wird wohl einer einfach mal eine Passwortliste angeschmissen haben und ausprobiert haben.

"Ich habe so viele Accounts da werde ich nicht überall passwort und email ändern"
"Ist nur CB da hab ich nix wichtiges"

Das sind so die Aussagen von Leuten denen das immer passiert.
 
  • Gefällt mir
Reaktionen: Gnarfoz, aragorn92, Xero261286 und 11 andere
cartridge_case schrieb:
Gibt es eine Logik, welche Accounts ausprobiert wurden? Wenige Beiträge? Zuletzt online o.Ä.?
Zum Vergrößern anklicken....
Rund 50% der Accounts haben 0 Beiträge verfasst, weitere 30% weniger als 10 Beiträge. Rund 50 Accounts haben mehr als 100 Beiträge verfasst. Also im Rahmen des erwartbaren bei einer mehr oder weniger zufälligen "Stichprobe". Beim Datum des letzten Login (vor dem Bot-Login) gibt es keine Auffälligkeiten, das ist mehr oder weniger gleichverteilt über die letzten Jahre und vor grob 2018 dann stark abnehmend.

Was vielleicht eher interessant ist, ist dass nur ein einziger Account erst in 2023 erstellt wurde, alle anderen vorher. Daraus könnte man nun vielleicht die Vermutung ableiten, dass das Leak aus 2022 oder älter stammt. Ist aber alles nur Spekulation.

cartridge_case schrieb:
Ach ja, und wurden, wie hier oft geschrieben, alte Windows 7 oder "nicht mehr sichere" Android-Versionen eingesetzt?
Zum Vergrößern anklicken....
Wir speichern nicht dauerhaft, wer mit welchem User-Agent online war. Das steht für ein paar Tage im Access-Log und wird dann verworfen. Darüber hinaus speichern wir nur aggregierte Daten (z.B. x% Firefox-Anteil im Monat y), siehe unsere Datenschutzerklärung.
 
  • Gefällt mir
Reaktionen: gustlegga, Benj, henpara und 26 andere
@Steffen Konnte man dem Access Log etwas interessantes entnehmen bezüglich dem Botnet? Sind das z.B. alle dasselbe Betriebssystem gewesen oder Ähnlich?
 
  • Gefällt mir
Reaktionen: amorosa
Danke für die Aufklârung. Bezüglich der User Agents. Vlt gibt es Möglichkeiten unstimmigen User Agents bestimmte Anfragen auf der Web Site verbieten?
Sind ja zu 90% script kids die dann weiter ziehen.
 
Zuletzt bearbeitet:
maikwars schrieb:
Oh, kannst du uns zeitlich genaueres verraten? :)
Zum Vergrößern anklicken....
Es ist nicht so, dass ich das Feature gerade jetzt im Moment einbaue, aber das ist halt der neue Standard und wird daher garantiert auch in unsere Forumsoftware XenForo eingebaut.
 
  • Gefällt mir
Reaktionen: Benj, dominic.e, gartenriese und 7 andere
Steffen schrieb:
das für seine Loginversuche eine vierstellige Anzahl an IP-Adressen genutzt hat, um das beim Login vorhandene IP-Rate-Limit aufzuweichen
Zum Vergrößern anklicken....

LOL - Das ist schon Next-Level, da ist CB in den Fokus von Profis geraten ... ansonsten wie man das von Steffen kennt: Vorbidlich.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aragorn92, fox40phil, Nitschi66 und 3 andere
Steffen schrieb:
dass dem Botnetz Kombinationen von Benutzernamen und Passwörtern bekannt waren, die bei einem Hack anderer Websites in der Vergangenheit entwendet worden sein dürften
Zum Vergrößern anklicken....
Ehhhjaaaa.

Ich hab bis vor rund einem Jahr für Computerbase das Standard Password verwendet das ich sonst für 1x Gebrauch Webseiten habe.

Weil:
DBJ schrieb:
"Ist nur CB da hab ich nix wichtiges"
Zum Vergrößern anklicken....

Aber hab dann doch dank KeePassXC auf ein 32 Stelliges random generiertes gewechselt.

Hat mich zwar inzwischen 2x genervt das ich auf Gäste PC's nicht anmelden konnte.
Das hab ich aber nun mit KeeWeb umgangen :)

Wäre also beinahe auch davon betroffen gewesen. Ist mein PW doch schon in mehreren Dataleaks veröffentlicht worden ^^

P.S
Wer KEIN Bock hat sich jedes mal eine neue gmx Adressen zu registrieren für jede Seite sollte sich mal SimpleLogin anschauen.
https://simplelogin.io/
 
  • Gefällt mir
Reaktionen: aragorn92, el_zoido, Gamienator und eine weitere Person
könnt ihr bitte die blockierung von temporären "trash"-mailanbietern (minuteinbox etc) entfernen?
und gleichzeitig auch die automatische sperre, wenn eine email nicht zugestellt werden kann.
die kommt nämlich auch, wenn man zb eine web.de-adresse verwendet, aber man sich dort nie einloggt.

mir kann nämlich meine email-adresse nicht geklaut werden, wenn diese nach 10min nicht mehr existiert.

natürlich ist mir klar, dass die passwort-vergessen-funktion dann nicht klappt.
ich lege mir dann einfach ein neues konto an, weil mir meine alten beiträge egal sind.
so mach ich das in anderen foren auch.
wer darauf wert legt, kann sich ja mit einer permanenten emailadresse anmeldem.
 
  • Gefällt mir
Reaktionen: bossbeelze
Habt ihr Passkeys schon auf der Roadmap? Würde ich gerne nutzen.
Edit: #16 gesehen. Hat sich erledigt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz