Fanshop und Newsletter Datenbank gehackt!

[kbob]

Es sind Ticketbestellungen und die normalen Accounts ersichtlich.
Um die Daten anzusehen, benötigt man wohl gewisse server- und datenbanktechnische Grundkenntnisse.

[Trappatonee]

Nur zur Richtigstellung, Paninfo ist für die schlampige Programmierung verantwortlich, aber gehosted wird. die Site und der Shop bei Vertical Vision, Kloten. Die haben's versaut, die Server vor externen Zugriffen zu schützen.

[VidaLoca]

Kann jem. denk Link der Seite, wo die Daten sind hier posten oder ihn per PN schicken??
Wäre sehr dankbar um wirklich zu wissen, was die alles von mir wissen!

[tnt]

Nur zur Richtigstellung, Paninfo ist für die schlampige Programmierung verantwortlich, aber gehosted wird. die Site und der Shop bei Vertical Vision, Kloten. Die haben's versaut, die Server vor externen Zugriffen zu schützen.

Ähm, nein. Der Angriff erfolgte über ne SQL-Injection, d.h. es wurde einzig eine veränderte URL verwendet. Das Script verwendet den Parameter da um in der Datenbank z.B. nach nem Bild zu suchen und gibt dieses dann zurück. Weil das Script nicht überprüft hat, ob ihm wirklich eine gültige ID für ein Bild übergeben wurde, konnte der Angreifer einfach noch beliebige Abfragen an die Datenbank anhängen und so Zugriff erlangen...
Angriffe dieser Art sind bereits seit über 5 Jahren bekannt - jeder Wert der von Benutzerseite geändert werden kann muss entsprechend überprüft oder escaped werden...

Die Frage ist nun insbesondere, ob sie das verwundbare Modul selbst geschrieben haben oder ggfs. sogar ein veraltetes Modul mit bekannten Lücke eingesetz wurde....

[kbob]

Ist SQL Injection nicht auch über Inputfelder (Formulare) möglich?

[stygi]

Nur zur Richtigstellung, Paninfo ist für die schlampige Programmierung verantwortlich, aber gehosted wird. die Site und der Shop bei Vertical Vision, Kloten. Die haben's versaut, die Server vor externen Zugriffen zu schützen.

Ähm, nein. Der Angriff erfolgte über ne SQL-Injection, d.h. es wurde einzig eine veränderte URL verwendet. Das Script verwendet den Parameter da um in der Datenbank z.B. nach nem Bild zu suchen und gibt dieses dann zurück. Weil das Script nicht überprüft hat, ob ihm wirklich eine gültige ID für ein Bild übergeben wurde, konnte der Angreifer einfach noch beliebige Abfragen an die Datenbank anhängen und so Zugriff erlangen...
Angriffe dieser Art sind bereits seit über 5 Jahren bekannt - jeder Wert der von Benutzerseite geändert werden kann muss entsprechend überprüft oder escaped werden...

Die Frage ist nun insbesondere, ob sie das verwundbare Modul selbst geschrieben haben oder ggfs. sogar ein veraltetes Modul mit bekannten Lücke eingesetz wurde....

unglaublich, dass sql-injections nicht abgefangen wurden. Ausserdem: Passwörter unverschlüsselt in die DB schreiben? Schwach...

[tnt]

Ist SQL Injection nicht auch über Inputfelder (Formulare) möglich?

Generell über jeden User-Input, wenn er danach in einer Datenbank-Abfrage weiterverwendet wird.
Deshalb sollte er ja auch eine Funktion übergeben werden, welche dann kritische Zeichen(folgen) entsprechend maskiert - damit dann eben nicht mehr der Befehl selbst ausgeführt werden kann, sondern nur der Text derselben... Es gibt für alle Programmiersprachen entsprechende Funktionen...

[Luke]

Kann jem. denk Link der Seite, wo die Daten sind hier posten oder ihn per PN schicken??
Wäre sehr dankbar um wirklich zu wissen, was die alles von mir wissen!

Denke wohl etwa das da:

Benutzername
Passwort (im Klartext)
Name + Adresse
Telefon, Mobile & Fax Nummer
E-Mail
Geburtsdatum

Viel mehr wirst du ja wohl nicht angegeben haben, zumindest mich hats da nie nach AHV-Nummer oder so gefragt... (Kreditkartendaten laufen wie auch schon erwähnt nicht über die Homepage selber und sollten save sein.)

Geh mal davon aus das alles was du direkt auf der Homepage angeben hast jetzt im Netz rum geistert. Shit happens. Sooo tragisch ists jetzt aber auch nicht... Wenn du so blöd warst (wie ich übrigens auch) und ein Passwort gewählt hast das du auch an anderen Orten verwendest musst du halt bisschen Passwörter ändern, musste ich auch.

Aber ja, es sollen noch möglichst viele Leute den Link hier posten, je mehr verlinkungen desto besser!

[TO BE]

Viel mehr wirst du ja wohl nicht angegeben haben, zumindest mich hats da nie nach AHV-Nummer oder so gefragt... (Kreditkartendaten laufen wie auch schon erwähnt nicht über die Homepage selber und sollten save sein.)

Geh mal davon aus das alles was du direkt auf der Homepage angeben hast jetzt im Netz rum geistert. Shit happens. Sooo tragisch ists jetzt aber auch nicht... Wenn du so blöd warst (wie ich übrigens auch) und ein Passwort gewählt hast das du auch an anderen Orten verwendest musst du halt bisschen Passwörter ändern, musste ich auch.

Aber ja, es sollen noch möglichst viele Leute den Link hier posten, je mehr verlinkungen desto besser!

Sehts positiv, ist gar nicht so schlecht mal die Passwörter zu wechseln. So als Tipp, nehmt eins mit grossen und kleinen Buchstaben sowie Sonderzeichen (+"*@) macht euer Internetleben etwas sicherer

[Drogba]

nur so zur Info: es wurden scheinbar alle GC-Seiten gehackt.... also die von allen Sektionen... die hatten wohl nichts besseres zu tun...