Gehackte LarpeR

„Guten morgen, ich hätte gerne 500g LARPer, aber schön fein bitte!“ So ähnlich kam ich mir heute morgen etwa vor, als ich eine freundliche Rundmail von meinen Larper.ning Admins bekam. Ich bin mir bis jetzt nicht sicher, ob es sich dabei um einen echten Hack handelte oder einfach nur einen sehr schrägen Versuch Aufmerksamkeit zu erlangen. Und wer bis hierhin noch nicht verstanden hat worum es geht hat entweder keinen Ning Account oder dort seine echte Mailadresse nicht hinterlegt. Sonst hätte er heute morgen diese E-Mail in seinem Postfach gefunden: Viva la Ningvolution! (Rundmail inklusive Header als PDF).

Anscheinend haben sich nämlich gestern Nacht um 2:48 Unbefugte Zutritt zu den User-Datenbanken des LarpeR.nings verschafft, tausende von Mailadressen und Passwörtern ausgelesen und eine kritische Rundmail verschickt. Und plötzlich werden Probleme wie Datendiebstahl, von denen man so oft auf spiegel.de liest, doch gleich viel persönlicher, oder? Denn die verschickte Rundmail ist in einem freundlich aufklärenden Ton gehalten und weist auf Missstände in der Ning-Verwaltung hin. Die Hacker geben sich dabei so charmant, dass man nicht umhin kommt darüber nachzudenken, ob man dem einen oder andere nicht vielleicht schon einmal auf einem Con begegnet ist…

Zu ihrer Botschaft bleibt nicht viel zu sagen ausser: Wer Informationen von sich im Internet platziert und dann später verwundert ist, dass sie gefunden werden, der hat sich noch nie selbst gegoogelt, yasni oder 123people verwendet. Die erst kürzlich entdeckte Facebook-Gesichtserkennung ist da nur die Spitze des Eisberges… Google macht das seit Jahren.

Und vielleicht darf man ganz zum Schluß noch leise hinzu fügen: Bashing auf dem Ning? Wer hätte denn davon jemals gehört. In diesem Sinne ein kleines Stilles „Ha-ha!“. Ich zieh mir dann mal meine Platte an und warte auf die Kommentare 😉

Anmerkung: Der Nelson oben ist NICHT als Spott gegenüber den gehackten Seiten-Admins gemeint sondern gegenüber allen, die sich erst jetzt Sorgen um ihre persönlichen Daten und ihre bekannt gewordenen Ning-Passwörter machen (Passwörter, die sie hoffentlich 30 Sekunden nach lesen dieses Satzes ändern). Das Netz vergisst nichts und ist kein sicherer Ort, seht es ein. 

Advertisements

18 Gedanken zu “Gehackte LarpeR

  1. Wenn ich eine Frage habe, kann ich sie im Ning stellen und habe bisher immer tolle Antworten bekommen. Meine Bilder wurden nie in den Dreck gezogen und ich wurde eigentlich immer freundlich behandelt. Liegt vielleicht da dran, dass ich auch versuche nicht andere unnötig nieder zu machen und wenn ich dann mal kritisiert werde, deshalb nicht heulend in die Ecke gehe. Sicher gibts im Ning viel Quatsch und alles, aber das ist überall im Internet so, also keine besondere Auffälligkeit für das Ning.
    Nach meiner Meinung alles halb so wild, wenn man sich in sowas nicht reinsteigert und sein ganzes Leben auf Geltungsbedürfnis aufbaut, das man per Internetfreunde sucht.

    Gefällt mir

  2. Wie es sich mir darstellt haben zwei Benutzer, die mit den Zuständen sowohl in den Diskussionen als auch mit den unterschiedlichen Maßen, mit denen laut ihrer Aussage von den Admins gemessen wird, unzufrieden sind, durch ein ungenügendes Passwort-Sicherheits-Management eines der Admins/technischen Verantwortlichen Zugang zur Verwaltungsoberfläche erlangt und haben dort den Button „Mail an alle Benutzer“ verwendet. Jedenfalls ist das Layout der beiden Mails das selbe.

    Gefällt mir

  3. Tja, mir ist herzlich egal was dort „Intern“ vorgeht und wer wen nicht mag, oder bashed. Aber, ich muss dieser Rundmail in dem Sinne zustehen, das es im LARPer-Ning verdammt schwer ist eine sachliche Diskussion zu halten. Oder auch nur eine ernst gemeinte, kritische Bemerkung an einem Foto, oder Beitrag zu hinterlassen.
    Da aufgrund der vielen, echt üblen, dummen Brabbeleien und Verunglimpfungen viele User extrem empfindlich sind und sofort einschnappen. Oder andere fühlen sich berufen den vermeintlich zu unrecht kritisierten sofort aufs schärfste zu verteidigen und man selbst steht als „Bösewicht“ da.
    Das nette daran ist, das einem dann nicht einmal ein Beitrag wie dieser geglaubt wird, da man eben halt als verlogen und „Arschloch“ gebrandmarkt ist, egal wie sehr man seine Unschuld beteuert.
    Die echten Arschlöcher lachen sich kaputt und Leute, die ernsthaft diskutieren wollen und dazu gehört nunmal auch Kritik, trauen sich nicht mehr zu posten.
    Im Grunde gewinnen also immer die Arschlöcher.
    Yay, ich bin jetzt für manchen ein Arschloch, da bin ich sicher.
    verdrehte „Logik“ macht das schon. ich streite ab eines zu sein, also MUSS ich eins sein!
    Hachja, Ning ist klasse!
    Ich lese und poste dennoch weiter. Sollen sie denken was sie wollen :p
    Oh, Moment, bin ich nicht auch ein Arschloch wenn ich so denke?
    Nö, ich bin einfach nur erwachsen.
    Ihr dürft auch gern denken ich sei arrogant.
    Is mir egal 😉

    Gefällt mir

    • Wie schon erwähnt wurde, sind die Passwörter nicht als Klartext, sondern als MD5-Hash’n’Salt gespeichert; für den Salt bräuchte man wohl FTP-Zugang, und um mit vertretbarem Aufwand aus den Hashs mit bekanntem Salt den zum Passwort passenden zu finden, müsste man das Ausgangspasswort in ganzer Form kennen. Die fehlende Schwierigkeit eines Passwortes „12345“ o.ä. ist nicht mathematisch begründet, sondern lediglich dadurch, dass man durch sogenannte Rainbow Tables (automatisches und Durchprobieren häufiger oder zufälliger Zeichenkombinationen) oder auch einfach durch manuelles Raten leicht draufkommt. Kommt dann noch eine beschränkte Versuchsmöglichkeit etwa auf drei Versuche dazu, (die natürlich wegfällt, wenn man den Hash lokal vorliegen hat,) rückt es schon in den Bereich des äußerst Unwahrscheinlichen, innerhalb dieser drei Versuche eine dreistellige Kombination zu erraten – genauer gesagt liegt sie bei drei Promille. So, mehr überflüssigen Senf muss ich grad nicht loswerden. 😀

      Gefällt mir

      • Äh, ja. worauf ich damit eigentlich hinauswollte: ^^
        Die haben den „Schuldigen“ ziemlich sicher nicht durch irgendeine detektivische Spürarbeit herausgefunden, sondern führen entweder Zugriffsstatistiken oder aber der ‚Behackte‘ hat gestanden, dass er sein Passwort wiedererkannt hat. 😉

        Gefällt mir

      • Wie ich es verstehe, haben sie dadurch herausgefunden, welcher Account „gehackt“ wurde, nicht, wer es war. Dafür muss man seinen – hoffentlich bekannten – Adminkreis ja nur fragen: „Wer von euch hat ein PAsswort, in dem 12345 vorkommt?“

        Insgesamt sind die Mails und der sich mittlerweile entspinnende Forumthread von viel gefährlichem Halbwissen und undeutlicher Ausdrucksweise geprägt, man darf den Richter, vor dem das landen könnte, nicht beneiden.

        Gefällt mir

  4. Woher hast du denn die Informationen das User-Passwörter ausgelesen worden sind? Das wurde a) niemals publiziert und b) ist das technisch relativ schwierig, da Passwörter i.d.R. nicht im Klartext sondern als Hashwert + Salt gespeichert werden und das lässt sich nicht ohne immensen Aufwand in Klartext umwandeln.
    Also mich interessiert wirklich die Quelle deiner Informationen, im Ning finde ich soetwas jedenfalls nicht! Userdaten eventuell ja, aber Passwörter? Nein, davon kann ich nichts finden.

    Gefällt mir

    • Danke fürs Nachfragen – hat mich dazu gebracht die Quelle noch einmal gründlich zu recherchieren und sie hat sich als nicht 100%ig glaubwürdig heraus gesetellt. Ich hab den Blogeintrag entsprechend angepasst.

      Gefällt mir

  5. Der Gipfel ist nicht diese Nachricht sondern die offizielle Reaktion von LarpeR:

    „Hallo zusammen,

    bitte ignoriert die letzte Nachricht.

    Es hat sich jemand einen doofen Scherz erlaubt. Wir haben bereits eine Spur, wer der Verursacher der Nachricht ist und haben dem entsprechenden Account die Adminrechte entzogen.“

    Unglaublich.

    Gefällt mir

  6. Statler: Erst Wochen lange Stille und dann das. Ist der Herr Autor wirklich so einfach gestrickt?

    Waldorf: Nur zum Spotten kommt er hinter seinem Ofen hervor, wie ein schlechter Pala-Tank.

    Statler: Wie bitte?

    Waldorf: Ach… nicht wichtig.

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s