Weitere Einbrüche in deutsche Support-Foren

Der Einbruch in das deutsche Support-Forum phpBB.de zieht weitere Kreise. Offenbar hat der vermutlich deutsche Täter mit dem Pseudonym Trada auch das Support-Forum SMFPortal.de der Software Simple Machine Forum (SMF) gehackt und die Datensätze von Anwendern ausgelesen. Hinweisen zufolge nutzte er dafür keine Sicherheitslücke, sondern einen gestohlenen FTP-Account.

Laut Meldung auf SMFPortal soll er dabei ein komplettes Backup gezogen haben. Nach Angaben des SMFPortal-Teams sind darin Nutzernamen, E-Mail-Adressen und die Hashes der Zugangspasswörter enthalten gewesen. Die Nutzer werden dazu aufgefordert, ihre Passwörter auf Seiten zu ändern, auf denen sie dasselbe zum Log-in benutzen.

Ob der Täter die Passwörter überhaupt aus den Hashes ermitteln kann, ist fraglich, denn anders als bei phpBB.de nutzt SMF eigentlich Hashes mit Salts, sodass etwa der Angriff mittels vorberechneter Rainbow Tables nicht funktioniert. Allerdings enthielt das Backup auch Private Messages, in denen Nutzer möglicherweise Zugangsdaten im Klartext ausgetauscht haben.

Auch die Daten vom SMFPortal hat der Täter wie schon bei phpBB.de und Woltlab zunächst auf h4ck-y0u.org zum Verkauf angeboten, seine Offerte jedoch aufgrund "des derzeitigen Rummels" wieder zurückgezogen. Bei SMFPortal soll es sich nur um 1400 Datensätze gehandelt haben, während es bei phpBB.de über 80.000 und bei Woltlab über 30.000 gewesen sein sollen. Auch bei Woltlab soll anders als bei phpBB.de keine Sicherheitslücke im Spiel gewesen sein. Zudem nutzt Woltlab zur Speicherung der Passwörter Hashes mit Salt. Bei phpBB.de war dies erst mit der anstehenden Migration auf phpBB 3 geplant.

Alle drei Board-Betreiber haben Strafanzeige erstattet.

Siehe dazu auch:

• Benutzerdaten ausspioniert!, Bericht auf SMFPortal
• Einbruch in die Foren-Datenbank, Bericht auf Woltlab.de
• Deutsches Support-Forum von phpBB gehackt, Meldung auf heise Security

(dab)