Forum geht's?

Die Alte Garde

Erweiterte Suche  
  Seiten: 1 [2] 3 4   Nach unten

Autor Thema: Angriff auf Gamigo?!  (Gelesen 97624 mal)

Bulletproof

  • [DAG] - Leader
  • Aktienmehrheit
  • ******
  • Bewertung: +4/-0
  • Offline Offline
  • Beiträge: 193
    • Meine Firma
Zur Zeit sind alle Gabimbo-Webseiten tot
« Antwort #37 am: Samstag - 03. März 2012 - 21:35 Uhr »

Mit einem Browser, der noch nie auf Gabimbo-Seiten war,
wird mir immerhin ein Baustellenschild gezeigt, - Idioten !!!
(Da hat wohl einer mit Super-Cookies rumgespielt???)

Aber wer Passwörter MD5 verschlüsselt und sie in einer
öffentlich zugänglichen DB ablegt ist eh scheißdämlich
und sollte lebenslanges IT Berufs-Verbot bekommen.

Der Trick vom Lufbär hat bei mir nur bei einem Account
Erfolg gezeigt, ich vermute die haben den Sessionhandler
ihres beknackten Apache (auch son Murks) zersägt, diese
Pissköpfe werden auch da ihren MD5 Dreck drin haben.

Gabimbo hat in sensitiven Bereichen CentOS und Apache
installiert, 'ne Arme-Leute Lösung, dümmer geht's nimmer.
Nun fliegt ihnen ihr Dreck um die Ohren, ich kann mir eine
gewisse Genugtuung nicht verkneifen; diese Arschlöcher.
Gespeichert
Eine Signatur haben oder nicht?
Das ist hier die Frage.

DraGonRik

  • Offizier (a.D.)
  • Meister
  • ****
  • Bewertung: +0/-0
  • Offline Offline
  • Beiträge: 36
Re: Angriff auf Gamigo?!
« Antwort #36 am: Samstag - 03. März 2012 - 20:27 Uhr »

Hi,
hatte das mit dem MD5 dingens eben erst gelesen.
Aber auch, wenn ich das verschlüsselte Passwort eingebe, schlägt der login fehl.
Ich versuche es einfach noch einmal, dann bin ich raus und schaue regelmässig ins Forum und wenn hier einer schreibt, dass alles funzt versuche ich es noch mal.

Gruss ausm Kochtopf
Erbse
Gespeichert

Max Drake

  • Offizier (a.D.)
  • Aktienmehrheit
  • ****
  • Bewertung: +4/-0
  • Offline Offline
  • Beiträge: 213
Re: Angriff auf Gamigo?!
« Antwort #35 am: Samstag - 03. März 2012 - 20:19 Uhr »

Hallo :) Leute

Da ich keine Ahnung von MD5 und diesen ganzen Codierungs Kram bin habe ich mal google befragt. Dieser nachfolgend Text (Wikipedia) hat mich gradezu erschüttert, was die Sicherheit der gAS Paswörter angeht.

Zitat
Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins ct unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden.

Man wie kann ein Unternehmen wie gamigo nur so doof sein und mit MD5 Verschlüssen....

Arg RL Cheffe wieder...
Gespeichert
Wenn Gott den Menschen nach seinem Vorbild erschaffen hat, wie kann es dann sein, dass der Mensch nicht in Gottes Werk eingreifen darf? Ist er denn nicht nach dem Vorbild Gottes erschaffen worden und somit selber Gott?

DraGonRik

  • Offizier (a.D.)
  • Meister
  • ****
  • Bewertung: +0/-0
  • Offline Offline
  • Beiträge: 36
Re: Angriff auf Gamigo?!
« Antwort #34 am: Samstag - 03. März 2012 - 20:13 Uhr »

Nabend,
jetzt bin ich aber langsam echt verärgert.
Mittags das neue Passwort generiert und angeblich alles ok (wobei ich mich nicht ins Spiel eingeloggt habe, keine Zeit).
Nun, mit neuem Passwort einloggen ... 'login fehlgeschlagen' >:(
also nochmal die Prozedur und angeblich wieder alles roger.
Dann mal bei Gamingo einloggen um zu schauen obs geht ...
... blablabla: bitte setzte Dein Passwort zurück ... blablabla ...

Wenn Frank nicht sagen würde, er könne spielen, würde ich meinen Flieger ins Feuer legen, das sie BP platt gemacht hätten
(naja, dann hätte ich zumindest bei Gamingo reinkommen müssen ....)

Sehr, sehr angefressen von der Gesamtsituation als solche ...
Erik
Gespeichert

LasseBlutströmen

  • Mannschaft
  • Aktienmehrheit
  • ***
  • Bewertung: +0/-0
  • Offline Offline
  • Beiträge: 105
Re: Angriff auf Gamigo?!
« Antwort #33 am: Samstag - 03. März 2012 - 18:58 Uhr »

Was? Die arbeiten mit MD5? Na sowas aber auch :P
Gespeichert

lufbaer

  • Gast
Re: Angriff auf Gamigo?!
« Antwort #32 am: Samstag - 03. März 2012 - 17:51 Uhr »

Hey Leute,

habe gerade im Forum diesen Post gefunden:

"Wer in seinen Gamigo Account will, macht bitte folgende Schritte: (leider nur extern möglich)

Nachdem das PW geändert wurde auf folgede Seite gehen

http://www.php-space.info/php/space/md5-generatoren.php

dort in die Zeile Code das PW schreiben und Code verschlüsseln
Dieser verschlüsselte Code ist das aktuelle PW eures Gamigo Accounts

Logt euch ein und ändert euer(e) Spielpasswort(er)

Wenn ihr nun Angst um euer Gamigo Account habt, danach PW wieder zurücksetzen in Gamigo.


@Gamigo
Ich konnte diesen Fehler extern innerhalb von 10min entdecken!
Wenn Gamigo nun unverschlüsselte und verschlüsselte PWs in der DB hat kann man dies auch mit 2..3 Codezeilen in PHP schnell ändern und die unverschlüsselten PWs verschlüsseln und in der Einlogseite das übermittelte pw die md5 codieren um es mit pw in db zu vergleichen."

Damit war ich ruckzuck auf meinem gAS Account! PW fürs Spiel geändert und drin bin ich!!!

c u on
Ulf
Gespeichert

Leetness

  • Ex-Claner
  • Angestellter
  • *
  • Bewertung: +1/-0
  • Offline Offline
  • Beiträge: 17
Re: Angriff auf Gamigo?!
« Antwort #31 am: Samstag - 03. März 2012 - 17:02 Uhr »

Hmm..

Wir sehen uns dann wohl iwann nächste Woche inGame. Hab keinen Bock noch weitere sinnlose Versuche zu starten resp. auf weitere sinnlose Info-Posts von den lustigen Brüdern von Gamigo zu warten. Schönes WE euch,

Gruß,

Leet
Gespeichert

Max Drake

  • Offizier (a.D.)
  • Aktienmehrheit
  • ****
  • Bewertung: +4/-0
  • Offline Offline
  • Beiträge: 213
Re: Angriff auf Gamigo?!
« Antwort #30 am: Samstag - 03. März 2012 - 16:24 Uhr »

Hallo :) Leute

@Bullet Nö ich Kriege immer noch modcraft Mails. Die letzte Mail ging um 14:12 auf das für dieses  Account angelegte Email Postafach ein. Ich werde mal heute gegen späten Abend (sitze hier immer noch auf der Maloche Spätschicht) gucken was ich tun kann.

@Lasse Nö mit Cultures habe ich sich nicht in Zusammenhang bringen wollen. Du hast aber in der Vergangenheit Kentnisse offenbart, welche mir sagen das es für sich warscheinlich kein Problem gewesen wäre die veröffentlichte dB zu finden und die behaupten des Culture Spieler zu bestätigen bzw. zu wiederlegen.

Oh RL-Cheffe guckt böse....
Gespeichert
Wenn Gott den Menschen nach seinem Vorbild erschaffen hat, wie kann es dann sein, dass der Mensch nicht in Gottes Werk eingreifen darf? Ist er denn nicht nach dem Vorbild Gottes erschaffen worden und somit selber Gott?

Bulletproof

  • [DAG] - Leader
  • Aktienmehrheit
  • ******
  • Bewertung: +4/-0
  • Offline Offline
  • Beiträge: 193
    • Meine Firma
Trotz PW Rücksetzung kein Login möglich
« Antwort #29 am: Samstag - 03. März 2012 - 15:18 Uhr »

VT-Modus: Es gibt gar keinen Angriff. Das ist Cpt. Kirk der mit
seinen alten Zugangsdaten Gabimbo auf der Nase rumtanzt?
Ich dreh dann mal die Musik noch ein bissel lauter, grins.

Nun ja, seien wir ehrlich, eleganter kann Gabimbo die
aktuellen Spielerzahlen nicht beschönigen, der Hack
ist meiner festen Überzeugung nach ein Inside-Job.

MD5 (mit oder ohne Salt) ohne weitere Absicherungen
ist im sicherheitsbewußten IT Bereich total verbrannt.

Ich würde jetzt gerne eine Runde BP zocken, ich habe
meine Passwörter auch schon geändert, incl. dem Acc
Modcraft, dem ich 100%ig eine neue eMail-Adresse
gegeben habe, - aber es kommt auch bei mir diese
BESCHISSENE Meldung, das mein PW bla blubber...
Gespeichert
Eine Signatur haben oder nicht?
Das ist hier die Frage.

LasseBlutströmen

  • Mannschaft
  • Aktienmehrheit
  • ***
  • Bewertung: +0/-0
  • Offline Offline
  • Beiträge: 105
Re: Angriff auf Gamigo?!
« Antwort #28 am: Samstag - 03. März 2012 - 14:29 Uhr »

Es gibt aber auch bedenkliches zu berichten. Es ist wohl so, dass viele Passwörter im Gegensatz zu der Behauptung von gamigo in Klartext zu ersehen sein sollen. Es wurde wohl erst ab einem mir unbekannten Zeitpunkt verschlüsselt. Für jemanden der sich ein wenig mit der Materie auskennt scheint es wohl leicht zu sein an die gAS dB zu kommen. Jemand im Cultures Forum hat dieses getan und wohl auch die Daten seiner Stammesmtglieder (Clan bei Cutures?) zu checken. (*richtung Lasse schiel und hoffe mir keinen einzufangen ;)*)

Ich hab noch niemandem den Kopf abgerissen. Ich fress die Leute immer ganz :P

Nee, Quatsch.

Wie Gamigo die Daten verschlüsselt weiß ich nicht. Wenn aber vernünftigerweise nichts im Klartext gespeichert wird, bleibt nur noch ein Speichern der Hashwerte übrig. Ein Hash ist so eine Art Fingerabdruck. Der nach dem MD5 Algorithmus generierte Hash des Paßwortes "testpasswort" wäre "2fae046dbb7ddc1d49b96f393a7a8269" (jeweils ohne die "). Nun haben solche Fingerabdrücke aber die für Hacker unangenehme Eigenschaft, daß man über Jahre (je nach Paßwort und Verfahren eher Jahrzenhte bis Jahrtausende) damit beschäftigt ist, auf das eigentliche Paßwort zurückzurechnen. Das kriegen auch entgegen aller Gerüchte die US Geheimdienste nicht hin. Viel wahrscheinlicher ist es, daß man sich sog. Rainbow Tables bedient oder das Paßwort durch Folter herausbekommt. Gegen Letzteres kann man als Paßwortinhaber nicht viel machen. Gegen ersteres hilft jedoch, möglichst komplexe Paßwörter zu verwenden, denn damit laufen dann auch Abgleiche mit Rainbow Tables ins Leere. Ein Paßwort wie "OmG, ide$kP, ihk@wimdmks." (= "Oh mein Gott, ist das ein saumäßig kompliziertes Paßwort, ich hab keine Ahnung wie ich mir das merken können soll."; MD5 Hash = "9cd45d70fe5bbb2d945487456b55d9e9") dürfte die nächsten Jahre ziemlich sicher sein.

Weil man sich solche Paßwörter trotz Eselsbrücken nicht merken kann, zumal man üblicherweise bei mehreren Diensten und Anbietern registriert ist, hilft es, sich eine Open Source (!) Paßwortverwaltungssoftware (z.B. KeePass) zuzulegen und darin für jeden Dienst und Anbieter ein eigenes, komplexes Paßwort zu hinterlegen. Diese Paßwortdatenbank kann man dann mit einem "Generalpaßwort" versehen, was dann auch das einzige Paßwort ist, was man sich merken muß. Damit diese Datenbank nicht verloren geht kaufe man sich zwei USB Sticks (ich verwende zwei alte Corsair Survivors) und kopiere die Datenbank darauf. Einen Stick hat man am Schlüsselbund immer dabei, den anderen irgendwo sicher verwart. Und dann heißt es hart bleiben, sich selbst und Anderen gegenüber. Diese USB Sticks niemals an fremde Rechner anschließen und immer synchron halten. Ideal wäre ein vor Witterung und Schaden geschützter USB Stick wie der oben verlinkte Survivor, der gleichzeitig noch einen Schreibschutz-Schalter hat. Aber sowas hab ich leider noch nicht gefunden.

Warum Du mich im Zusammenhang mit Cultures nennst weiß ich nicht. Weder spiele ich das Spiel, noch bin ich dort eingestiegen. Wenn ich Hacker wär, würde ich eher den Quellcode von Black Prophecy veröffentlichen als ein paar lumpige Nutzerdaten ;)




PS:
Das "neue" Gamigo Forum ist jetzt offenbar auch platt.
« Letzte Änderung: Samstag - 03. März 2012 - 14:46 Uhr von LasseBlutstroemen »
Gespeichert

lufbaer

  • Gast
Re: Angriff auf Gamigo?!
« Antwort #27 am: Samstag - 03. März 2012 - 13:10 Uhr »

So nu habe ich mich genug gekrümmt vor lachen und kann dann mal was zu der Mail von gamigo sagen, die ich nun auch erhalten habe.

Blablabla .... Hackerangriff .... blablabla .... Foren,Sites offline .... blablabla ... nix genaues weiss man nich ... blablabla... Sorry!

Die hätten sie sich auch ganz locker schenken und die Zeit für die "gekonnte" Formulierung der Mail auf die Behebung der Probleme
verwenden können. Was da drin steht war nun hinlänglich und detailierter überall zu lesen.

Hab schon Nackenschmerzen vom vielen Kopfschütteln!

Gruß
Ulf
Gespeichert

Max Drake

  • Offizier (a.D.)
  • Aktienmehrheit
  • ****
  • Bewertung: +4/-0
  • Offline Offline
  • Beiträge: 213
Re: Angriff auf Gamigo?!
« Antwort #26 am: Samstag - 03. März 2012 - 12:19 Uhr »

Hallo :) Leute, hallo :) Lufbär

Jo, habe ich auch schon gelesen, trotzdem danke für die Info.

Ein paar "Kleinigkeiten" habe ich beim lesen des temporären Forum erlesen können. Die Infos stammen natürlich von Usern und nicht von gamigo wie kann es anders sein.

Erstmal war es wohl ein nicht unbekannter Hacker namens 8in4ry_Munch3r. Da ich mich aber in der Scene nicht auskenne, kann ich zu dem nix berichten.

Es gibt aber auch bedenkliches zu berichten. Es ist wohl so, dass viele Passwörter im Gegensatz zu der Behauptung von gamigo in Klartext zu ersehen sein sollen. Es wurde wohl erst ab einem mir unbekannten Zeitpunkt verschlüsselt. Für jemanden der sich ein wenig mit der Materie auskennt scheint es wohl leicht zu sein an die gAS dB zu kommen. Jemand im Cultures Forum hat dieses getan und wohl auch die Daten seiner Stammesmtglieder (Clan bei Cutures?) zu checken. (*richtung Lasse schiel und hoffe mir keinen einzufangen ;)*)

Aktuell scheinen jetzt auch Emails von gamigo an alle im gAS geschickt zu werden. Also kann man wohl von einem neuen Ansturm auf das gAS ausgehen um das PW zu ändern. Ob das jetzt so clever war die ehe schon überlasteten Systeme jetzt noch mehr zu belasten bezweifel ich. Hier muss ich mich echt fragen warum gamigo nicht versucht, den Strom zu kontrollieren. Man hätte die Änderung z.B. Nach und nach für ein gamigo Game nach dem anderen aktivieren können und uns auch dem entsprechend informieren sollen. Ich denke mal wir Spielet hätte lieber etwas gewartet um dann ohne Schwierigkeiten den Prozess abschließen zu können. Sicherlich gibt es noch andere bessere Möglichkeiten. Ich frage mich wie Ubi das damals geschaft hat.

So jetzt muss ich aber erstmal zu Spätschicht.

der immer mehr besorgte,

Max Drake


Edit: Was war da denn passiert? Wollte meinen Post schreiben und sehe das eine Hälfte schon gepostet wurde.
« Letzte Änderung: Samstag - 03. März 2012 - 12:30 Uhr von Max Drake »
Gespeichert
Wenn Gott den Menschen nach seinem Vorbild erschaffen hat, wie kann es dann sein, dass der Mensch nicht in Gottes Werk eingreifen darf? Ist er denn nicht nach dem Vorbild Gottes erschaffen worden und somit selber Gott?

lufbaer

  • Gast
Re: Angriff auf Gamigo?!
« Antwort #25 am: Samstag - 03. März 2012 - 11:30 Uhr »

Moinsen!

Für alle, die es im Übergangs-Forum nicht gelesen haben, hier der aktuelle Stand zum PW-Reset:

"Liebe Community,

leider funktioniert aktuell die PW-ändern-Funktion im gamigo Account System nicht 100% korrekt. <- so kann man das auch sagen!!!
Dies bedeutet leider auch, dass ihr die game-spezifischen Passwörter aktuell nicht ändern und euch ins Spiel einloggen könnt.

Wir arbeiten an einer Lösung, vermutlich wird diese jedoch mehrere Stunden dauern.

Für die Unannehmlichkeiten entschuldigen wir uns und halten euch an dieser Stelle auf dem Laufenden.

Euer gamigo-Team"

Der Post is von heute, 02:10 Uhr.

Gruß
Ulf
Gespeichert

Leetness

  • Ex-Claner
  • Angestellter
  • *
  • Bewertung: +1/-0
  • Offline Offline
  • Beiträge: 17
Re: Angriff auf Gamigo?!
« Antwort #24 am: Samstag - 03. März 2012 - 11:11 Uhr »

Jaja, ich weiss seltener Gast..

es geht immer noch nix - war auf Dienstreise, komme wieder, und nix is mit zocken. So ein Shit.
Gebt doch hier bitte Bescheid wenn sich was tut, gamigo hält sich ja ma wieder bedeckt.

Gruß

Leet
Gespeichert

LasseBlutströmen

  • Mannschaft
  • Aktienmehrheit
  • ***
  • Bewertung: +0/-0
  • Offline Offline
  • Beiträge: 105
Re: Angriff auf Gamigo?!
« Antwort #23 am: Samstag - 03. März 2012 - 10:12 Uhr »

So wie die bisher mit Black Prophecy umgegangen sind würde es mich nicht wundern, wenn sie nach dem gleichen Denkschema gerade versuchen ihren eigenen Verkaufswert zu erhöhen :P

Gamigo soll verkauft werden, falls das jemand noch nicht mitbekommen hat:
http://www.deutsche-startups.de/2012/02/29/gamigo-springer-verkauf/
Gespeichert
  Seiten: 1 [2] 3 4   Nach oben
 

+ Schnellantwort