Passwort Request -unaufgefordert

[Reverend]

Hi

Muss ich mir Sorgen machen? ich habe gerade in meinem Postfach 2 Mails von DCS erhalten das

ich eine Anfrage zum Passwort ändern gestellt habe

eine um 2.53 und um 2.59 Uhr.

Das habe ich nicht.

Was würdet ihr mir Vorschlagen zu Unternehmen ?:huh:

[Cargon]

Du scheinst zumindest nicht der Einzige zu sein.

An der Stelle würde ich erst mal auf keinen Link klicken, auch wenn die Mails anscheinend wirklich von ED kommen. Ansonsten abwarten und schauen wie sich ED dazu äußert. Ich denke mal das Problem werden sie recht schnell mitbekommen.

[Isegrim]

Hab ich auch, insgesamt sogar 4 mal. > Ignorieren!!!!

 

GROOVE :) wär lieb wenn du das mal weiterleitest, um zu erfahren woran das liegt. Man hat schon so ein flaues Gefühl im Bauch.

Ich finds zumindest nich lustig.

 

ISE

Edited October 31, 2014 by Isegrim

[Isegrim]

Ach is schon gut :) sie habens bereits im Griff.

 

http://forums.eagle.ru/showthread.php?p=2218074

[Reverend]

Ok ich halte mal die Füße still

ich klick eh kein keinen Link den ich nicht kenne :smilewink:

[pagra90]

Schande ich habe geklickt. Ist aber nix passiert nur das öffnen der DCS Page mit dem Hinweis auf Passwortänderung. Natürlich müsste ich mich dazu einloggen, hab ich aber nicht.

[sobek]

Selbst wenn ihr ein PW geändert habt, kann nix passieren.

[schmiefel]

Hab auch heute (31.10.) um 2:53 und 2:59 (MEZ) die 2 Mails bekommen; was mich etwas irritiert, ist die Tatsache, da so viele User betroffen sind, dass zumindest die User-Datenbank oder das Password-Reset-Online-System gehackt worden sein müssen, um die entsprechenden Anforderungen nach Passwort-Reset auszulösen - und sei es nur, um dabei die mit den Konten verknüpften Mail-Adressen zu bekommen.

 

Deshalb fände ich es gut, wenn ED es nicht bei dem lapidaren Hinweis belassen würde, dass da eine Attacke gelaufen sei, die man nun im Griff hätte, sondern umfassend aufklären würde, was hier vorgeht/vorging. Immerhin dürften nicht wenige ihre Einkäufe hier auch mit Kreditkarte tätigen.

[Yurgon]

Fangen wir doch mal vorne an.

 

Ich habe gestern zwei Mails mit Betreff "Digital Combat Simulator: Password change request" vom Absender "noreply@eagle.ru" bekommen, also offenbar das gleiche wie bei den anderen hier.

 

Kam die Mail vom Forum oder kam die Mail von der ED-Hauptseite unter http://www.digitalcombatsimulator.com?

 

Wenn ich im Forum beim Login meinen Usernamen und ein falsches Passwort eingebe und dann auf den Link bei "Forgotten your password" klicke, muss ich meine E-Mail-Adresse eintragen, mit der ich im Forum registriert bin. Ich vermute, dass das hier nicht passiert ist.

 

Wenn ich unter http://www.digitalcombatsimulator.com auf den Link "Forgotten your password?" klicke, kann ich entweder meinen Login oder meine E-Mail-Adresse eingeben.

 

Es spricht nach allem was ich hier gelesen habe sehr viel dafür, dass jemand dort (automatisiert) die Logins von Usern eingetragen und dann das Formular abgeschickt hat. Damit wurde die ED Hauptseite, an der unter anderem der E-Shop und die User files hängen, dazu genutzt, an zahlreiche User eine E-Mail zu versenden, in der wir aufgefordert werden, einen Link anzuklicken, wenn wir unser Passwort ändern wollen.

 

Eine Frage ist: Hat jemand diese E-Mails gefaked? Antwort: Nein, mit an Sicherheit grenzender Wahrscheinlichkeit nicht. Ich habe in meinem Archiv noch E-Mails von der ED-Seite, wo ich selbst eine Passwort-Änderung beantragt habe, und die sehen intern quasi identisch aus.

Außerdem: Um diese E-Mails zu faken, müsste ja jemand unsere E-Mail-Adressen kennen. Wenn er da rankommt, braucht er unsere Mithilfe eigentlich nicht mehr, um jede Menge Blödsinn anzustellen.

 

Also, wenn jemand stattdessen unsere Usernamen auf der ED-Seite eingetragen hat, wo hat er diese Usernamen her? Ich habe im englischsprachigen Teil des Forums mindestens einen glaubwürdigen Post gesehen von jemandem, der im Forum einen anderen Usernamen verwendet als auf der ED-Seite. Die Aktion hat also mit dem Forum vermutlich rein gar nichts zu tun. Wo kommt der Username also her?

 

Ich habe da jetzt nur eine Theorie, und ihr müsstet da mal mithelfen um zu schauen, ob die einer Überprüfung standhält.

 

Falls ihr so eine E-Mail bekommen habt: Habt ihr irgendwas in den User files veröffentlicht?

 

Soweit ich das sagen kann, steht bei jeder dort veröffentlichten Datei der Login-Name des Uploaders. Dieser Login-Name ist der Login-Name für die ED-Hauptseite, nicht der Login-Name des Forums.

 

Per Default ist in den User files kein Filter eingerichtet und man kann, ohne selbst eingeloggt zu sein, durch alle 2184 aktuell veröffentlichten Dateien browsen. Es sollte für einen Spammer/Phisher eine Fingerübung sein, ein kleines Skript zu basteln, das dort die Usernamen einsammelt und anschließend für jeden Usernamen einmal das "Forgotten your password?" Formular absendet.

Falls so ein Skript die Usernamen nicht sammelt und gruppiert sondern bei jeder Datei in den User files sofort das "Forgotten your password?" Formular absendet, würde das vielleicht sogar erklären, warum manche User 2 oder 4 E-Mails bekommen haben, andere aber ins Ausnahmefällen um die 30 laut dem englischsprachigen Thread.

Da eigentlich immer von 2 oder 4 Mails die Rede ist, aber nie von 1 oder 3 oder 5, würde ich jetzt noch die Mutmaßung oben drauf werfen, dass das verursachende Skript aus irgendeinem Grund jede Adresse doppelt bearbeitet hat (ich z.B. habe eine Datei in den User files und habe zwei solche Password change E-Mails bekommen).

 

Jetzt kommt der Teil, wo ich auf dem Schlauch stehe: Ich habe gerade echt keine Ahnung, warum jemand das tun sollte. Das beste was mir dazu einfällt ist, dass wir alle, die wir dort Dateien veröffentlicht haben, eine oder mehrere E-Mails bekommen. Das würde uns darauf aufmerksam machen, dass unsere Login-Namen öffentlich einsehbar sind. Aber solange wir auch nur ansatzweise vertretbare Passwörter haben, sind die Accounts selbst gar nicht kompromittiert.

 

Die Aktion ergibt eigentlich erst Sinn, wenn jemand z.B. das Log des ED E-Mail-Servers anschauen kann, um auf diesem Weg unsere E-Mail-Adressen abzugreifen, oder wenn ein Angreifer z.B. als Man in the Middle den Traffic auf dem Weg zum ED Webserver abgreifen kann, um die ganzen jetzt neu eingegebenen Passwörter live mitzusniffen und dann gegen uns zu verwenden.

 

Ich hoffe, dass ED transparent damit umgeht, wenn sie etwas zu den Hintergründen dieser Aktion rausfinden und dass wir informiert werden, falls unsere Accounts in irgendeiner Art und Weise betroffen sind.

 

Die Aussage von Const lautete:

We had password change request attack. You don't need to change your password. Attacker was blocked. User accounts were not affected.

 

Okay. Das klingt so, als wäre vermutlich die IP von dem Witzbold, der diese ganzen Requests ausgelöst hat, blockiert worden, damit der Schabernack nicht beliebig weitergeht. Das beantwortet aber noch nicht die Frage, ob es wirklich nur Schabernack war oder ob sich vielleicht doch jemand was dabei gedacht hat.

 

Na, schauen wir mal, was an weiteren Infos herauskommt.

[Schmied]

Ich habe z.B. noch nie was in den User files veröffentlicht und die Mail achtmal !!!! bekommen.

[Reverend]

Hi

Ich habe gedownloaded ;)

aber keine Files hochgeladen

[Flagrum]

Ich habe zwei Mails bekommen, aber nie etwas in den User Files veröffentlicht.

 

Zum möglichen Ziel der ganzen Übung: könnte auch eine art von DoS Attacke gewesen sein?

 

edit:

bezüglich immer eine gerade Anzahl von PW Change requests: vielleicht doch die Forenuser-Liste durchgeackert und mit Forenuser und mit Foren-Email probiert?

Edited November 1, 2014 by Flagrum

[schmiefel]

Ich nutze auch zwei verschiedene Login-/User-Namen fürs Forum und die ED-Site - allerdings ist die Kontakt-E-Mail (die im Forum aber nur Admins einsehbar sein sollte) bei beiden gleich. Und ich habe bislang auch nix in den User-Files veröffentlicht sondern allenfalls etwas daraus geladen (allerdings garantiert öfter als nur 2x) und habe eben auch 2 solche Mails bekommen. D.h. irgendwas von der Art E-Mail-Kontakt oder Login-Name muss der "Angreifer" in die Finger bekommen haben und 2x genutzt haben - vielleicht war's auch nur ein Cross-Check um herauszufinden, ob User-Name und Mail zusammenpassen - das erklärt allerdings nicht, warum manche zig-fach so einen Änderungs-Request per Mail bekommen haben ... irgendwas dubioses ist da jedenfalls abgegangen oder der NSA ist eines ihrer Spoofing-Programme aus dem Ruder gelaufen ;)

[Yurgon]

Ich habe zwei Mails bekommen, aber nie etwas in den User Files veröffentlicht.

 

Schade, war eine schöne Theorie. :)

 

Zum möglichen Ziel der ganzen Übung: könnte auch eine art von DoS Attacke gewesen sein?

 

Möglich, klar. Aber eigentlich etwas untypisch. Das "Passwort vergessen?" Skript hat ja nicht viel zu tun. Input entgegennehmen, mit der Datenbank abgleichen, E-Mail erzeugen und Mail an Mailserver weiterreichen.

 

Wenn der Mailserver mit dem Ausliefern nicht hinterherkommt, arbeitet er halt ein paar Stunden lang die Queue ab. Das eigentliche DoS dabei wäre vermutlich gar nicht, den Web-Server komplett in die Knie zu zwingen, sondern die Lantenz für die E-Mails so hochzusetzen, dass welche verloren gehen und Kunden dann z.B. keine Mail bekommen, wenn sie gerade im E-Shop eingekauft haben.

 

Bei eBay oder Amazon würde so ein DoS auch Sinn machen, aber wie viele Verkäufe hat ED pro Stunde? Das wäre wohl eher ein Ärgernis als ein echtes Problem.

 

Ich nutze auch zwei verschiedene Login-/User-Namen fürs Forum und die ED-Site - allerdings ist die Kontakt-E-Mail (die im Forum aber nur Admins einsehbar sein sollte) bei beiden gleich. [...] irgendwas dubioses ist da jedenfalls abgegangen oder der NSA ist eines ihrer Spoofing-Programme aus dem Ruder gelaufen ;)

 

Hehe. Ich hoffe ja, die NSA hat mehr Kompetenz. Obwohl, seit Snowden weg ist geht da vermutlich alles drunter und drüber. :lol:

 

Na, in jedem Fall scheint ein Angreifer über einen Haufen Usernamen oder E-Mail-Adressen von Usern der DCS-Seite zu verfügen, und die Frage ist natürlich, wie ist er da rangekommen und was sollte diese Aktion?

 

Das kann uns nur ED beantworten. Sobek, hast du Infos, ob die Admins da dran sind und ob ggf. die Polizei oder die Datenschutzbehörden eingeschaltet wurden? (Gibt es Datenschutzbehörden in Russland? ;))

[sobek]

Na, in jedem Fall scheint ein Angreifer über einen Haufen Usernamen oder E-Mail-Adressen von Usern der DCS-Seite zu verfügen, und die Frage ist natürlich, wie ist er da rangekommen und was sollte diese Aktion?

 

Usernamen kann man allein schon aus dem Backlog des Forums auslesen. Wenn man sich nicht ganz dämlich anstellt, filtert man die häufigsten Wörter raus und reitet mit dem was überbleibt einen brute force Angriff auf die PW-Reset-Maske. Alles was ein Username ist, resultiert in einer PW-Reset-Mail. Fertig. Was das soll? Manchen Leuten ist, wie man in Österreich sagt, einfach fad im Schädel.

[Yurgon]

Usernamen kann man allein schon aus dem Backlog des Forums auslesen. Wenn man sich nicht ganz dämlich anstellt, filtert man die häufigsten Wörter raus und reitet mit dem was überbleibt einen brute force Angriff auf die PW-Reset-Maske. Alles was ein Username ist, resultiert in einer PW-Reset-Mail. Fertig.

 

Das ist soweit schon klar. Es gab aber mehrere Meldungen, dass nicht die Usernamen des Forums betroffen waren, z.B.:

 

http://forums.eagle.ru/showpost.php?p=2219349&postcount=13

http://forums.eagle.ru/showpost.php?p=2217978&postcount=42

http://forums.eagle.ru/showpost.php?p=2217940&postcount=15

http://forums.eagle.ru/showpost.php?p=2217962&postcount=29

 

Wenn die Usernamen in diesen Fällen nicht aus dem Forum stammen und nicht aus dem File Exchange, wo kamen sie dann her?

 

Für die Funktion "Forgotten your password?" auf der DCS-Seite können auch E-Mail-Adressen eingetragen werden. Unsere E-Mail-Adressen werden weder im Forum noch auf der DCS-Seite bzw. dem File Exchange veröffentlicht.

 

Will sagen, es sieht im Moment so aus, dass irgendwer Zugriff auf diese nicht-öffentlichen Daten hat, und deshalb wäre es mir schon ganz recht, diesen Vorfall nicht als "Naja, das kommt halt vor" abzutun, sondern gründlich nachzuschauen, welche Daten verwendet wurden und ob das beispielsweise ein Indiz für einen Einbruch in die ED-Webseite ist.

 

Was das soll? Manchen Leuten ist, wie man in Österreich sagt, einfach fad im Schädel.

 

Hehe, ja, gut möglich, dass das einfach eine Art Scherz war.

 

Aber wenn die Warnzeichen da sind, dass mehr dahinterstecken könnte, sollte man es IMO nicht einfach als Scherz abtun, bis man nachgeschaut hat. Deshalb meine Frage ob du weißt, ob die Admins an dem Thema noch dran sind.

[intuser]

eigentlich passiert nichts , solange du noch in besitz deiner email adresse bist...dann auch sein das es ein bug war...bots schließe ich aus - sowas machen die eigentlich nicht.

 

 

Das passwort wird ja erst zu geschickt wenn man auf den link klickt.

 

mfg

 

http://www.hanra.de/b2b/

[Duke49th]

Hi

Muss ich mir Sorgen machen? ich habe gerade in meinem Postfach 2 Mails von DCS erhalten das

ich eine Anfrage zum Passwort ändern gestellt habe

eine um 2.53 und um 2.59 Uhr.

Das habe ich nicht.

Was würdet ihr mir Vorschlagen zu Unternehmen ?:huh:

 

Dito. Habs ignoriert. Selbst wenn jemand versucht hat das Passwort zu knacken.

 

War wohl auch der richtige Link. Hab nicht weiter darauf geachtet...bin über mein Lesezeichen rein und alles normal.

[pagra90]

Habe heute 15:06 Uhr wieder eine Aufforderung zum Passwortwechsel bekommen. Absender "noreply@eagle.ru"

[Airway]

Ich ebenfalls. Langsam wird es unangenehm und eine Stellungnahme von den Digitalcombatsimulator Admins wäre notwendig.

 

Ist mein Account sicher?

 

Sind meine Zahlungsdaten und Seriennummern sicher?

[Reverend]

Bei mir auch schon wieder

langsam macht mich das schon unsicher :cry:

[BavarianPilot]

Hm. Ich auch, hab aber dann eine zweite E-Mail von ED bekommen, das es ein versehen war:

 

"

Dear user! If you received a letter with password change request, please ignore it. It was sent to you by a mistake. The Eagle Dynamics Team. "

[schmiefel]

Ich habe gerade heute (20.11.) auch schon wieder diese Aufforderung bekommen - allerdings bislang ohne nachfolgende Info-Mail des DCS-Support, dass dies ein fehler gewesen sei... also entweder dreht bei denen ein Server-Script hohl, ein Admin hat keinen Plan, was er tut oder da ist doch etwas nicht wirklich sauber abgeschottet bzgl. der User-Daten ... da sollte wirklich lanfgsam mal was Substantielles seitens der Devs kommen, denn sicherlich haben ne Menge Leute sowohl sensible Kreditkartendaten hinterlassen also auch so einiges an Serien-Nummer auf dem Konto, die man nicht gerne demnächst auf ner WareZ-Seite o.ä. missbraucht sehen möchte