Private Nachrichten auch lesbar für Fremde! ????

[esmiraldar]

so. ich hörte heute aus sehr vertrauenswürdiger quelle, dass es programme gibt und auch pincodes oder so, mit denen man die hier im board (!!!) verschickten PRIVATnachrichten lesen kann.

es wurden/werden wohl in zeitschriften codes veröffentlicht, die es "drittpersonen" ermöglichen, die privaten usernachrichten von verschiedenen boards - auch diesem hier -  zu lesen..      

selbst bereits gelöschte nachrichten können wohl noch gelesen werden hörte ich. keine ahnung, wie das technisch möglich ist, aber erschreckend!

das beängstigt mich nun sehr und ich frage mich, kann man das owl - board gegen diese unverschämten zugriffe schützen?

ich verschicke ne menge private messages und ich möchte nicht, dass 3. personen diese lesen. 

gut, jetzt werden einige sagen, dann lass doch das schreiben von messages, aber es schockte mich doch eben sehr, als ich davon erfuhr!

wie kann man sich davor schützen, ausser es zu unterlassen, private nachrichten hier zu schreiben?
was wisst ihr davon? habt ihr auch schon davon gehört? wie geht ihr damit um?


edit:
ich möchte hier nun keinem angst machen.

ich komme nur ins grübeln, weil mir vor genau einer woche von einer anderen person so etwas ähnliches berichtet wurde und ich das letzte woche noch nicht glaubte, dass dieses generell möglich ist...

[Radar]

Wie man gegen Boardhacks vorgeht? Ganz einfach: Kein Board benutzen. Jedes mal wenn eine sicherere Version rauskommt, wird es Leute geben die sich daran machen die noch vorhandenen oder neuen Sicherheitslücken auszunutzen. Ich denke momentan gibt es einfach keine sichere Software und privates oder sicherheitsrelevantes Zeug stell ich einfach nicht in irgendeiner Form ins Netz. Mal abgesehen davon das der persönliche Kontakt mir immer noch lieber ist, weis ich das das Risiko sehr hoch ist, das unbekabnnte Dritte mitlesen.
Ich weis durch den Job wie einfach es ist im Internet oder übers Handy etc. genug über Leute rauszufinden. Das gilt nicht nur für Microsoft user.

[esmiraldar]

mit solch einer antwort habe ich schon gerechnet! ....

aber es kann doch nicht angehen, dass selbst "otto-normal-verbraucher" zugriff auf meine nachrichten bekommen...

wie gesagt, ich sprech nicht von hackern oder anderen "profis".

[GeeKay]

Soweit ich weiß, müssen "Kommunikationsdienstanbieter" (also auch Webhoster) seit einiger Zeit Mittel zur Verfügung stellen, mit denen entsprechend (amtlich) autorisierte Stellen (BND, CIA, ETC.) die Inhalte einsehen können.
Im Klartext:
Ein Webhoster muß (per Gesetz dazu verdonnert) eine Spionageluke für diese dubiosen Dienste bereitstellen: Jedes Bit auf den Festplatten eines Hosters kann damit ausgelesen und analysiert werden.
Dies gilt ebenso für "öffentliche" Inhalte (Websites, Foren, Blogs), wie für solche Inhalte, die eigentlich als "nicht öffentlich" gedacht waren: Wenn z.B. jemand seine Datensicherung auf einer Festplatte macht, die von einem professionellen Anbieter solcher Dienste vermietet wird ...
ABER EBEN AUCH JEGLICHER EMAIL-VERKEHR !!!

Die einzige Chance, sich gegen die Auswertung des eigenen eMAil-Verkehrs zu schützen ist, nur noch verschlüsselte eMails zu versenden.
Wenn aber jemand unverschlüsselte eMails schickt, können die gelesen werden.
Und davon sind auch alle Freemailer und Groß-Hoster betroffen.

Auch, wenn ich nicht glaube, daß schon regelmäßig Alles, was so durch die Netze flitzt, von bots ausgewertet wird, denke ich, daß das nur noch eine Frage der Zeit ist.
Dazu kommt, daß unsere Ausweise jetzt "noch sicherer" sind, und weil Geiz ja geil ist, auch jeder Rabatt ausgenutzt wird. Tja, und das Payback-System ist sicherlich ebenfalls bereits als anzapfbarer Dienst definiert. D.h. auch die Standorte und Wege der Nutzer solcher Karten sind immer einsehbar.
Bei der großen niederländischen Supermarktkette ALBERT HEIJN werden übrigens schon die Euro-Scheine bei der Annahme eingescannt.
Gut, Echtheitsprüfung. Und perfekte Erfassung des Kassenbestandes.
Aber auch Tracking von Bargeld !
Und daß das Finanzamt (und sicher auch alle möglichen anderen Ämter) deine Kontobewegungen direkt und live verfolgen können, ohne deine Bank darüber explizit informieren zu müssen, weißt du ja sicherlich.

So weit ich weiß, gibt es keine "Passepartout"-Codes für Boards wie dieses.
ICH als Betreiber und Domaininhaber könnte mich natürlich in meine eigene Domain einklinken um dann die PNs in der SQL-Datenbank zu lesen ...
... das kann ich aber auch sehr gut sein lassen.
Mal ganz abgesehen davon, daß ich noch andere Hobbies habe, als Usern dieses Boards hinterher zu spionieren ...

Gelöschte PNs kann aber selbst ich nicht lesen.
Da müsste ich dann alle paar Minuten ein Backup der gesamten Datenbank machen, und das dann auch noch auswerten.
Mach' ich aber nicht.

Und so weit ich das weiß und beurteilen kann, kennt außer mir und meinem Webspace-Provider niemand das Passwort, um sich in meine Domain einzuloggen.

Viele und i.d.R. hochaktuelle Informationen zum Thema IT-Sicherheit findest du bei Heise/Security.
Dort sollte es auch Links zu de Themen Datenschutz, Verschlüsselung, usw. geben.

Falls deine Quelle irgendwann von reiner Zuversicht auf zuverlässige Information umschlagen sollte, daß noch weitere Personen einen Zugriff auf mein Webspace haben, teile mir dies bitte mit, in diesem Falle würde ich die Board unverzüglich sperren, bzw. vom Netz nehmen.
Lass' es dir aber bitte von deiner "zuversichtlichen Quelle" direkt zeigen.

Ich werde auch noch einmal nachlesen und auch bei meinem Hoster nachfragen, was aus dem Teledienst-Spionagegesetz, bzw. dessen Umsetzung inzwischen geworden ist. Ich meine aber, daß das vor ziemlich genau einem Jahr verbindlich wurde, da haben wir schon mal so einige Worte drüber verloren.

[bluevelvetone]

ich möcht nich wissen wieviele user hier jetzt ihre pns löschen...

 

[ulf]

ich möcht nich wissen wieviele user hier jetzt ihre pns löschen...

*lösch*

[GeeKay]

Ich habe leider nicht vorher geschaut, wieviel Platz die Datenbank benötigt hat. Also werd' ich auch kein Vorher-Nachher in MB ermitteln können.
Mal abgesehen davon, daß ich das auch gar nicht will.


Und fein dran denken:
Nicht nur den PN-Eingang sondern auch den PN-Ausgang löschen !! 

P.S.:
Jetzt löschen wäre doch Blödsinn, oder ? Denn: Wofür gibt's schließlich Backups ? 

Anyway.
Mich würde schon Genaueres interessieren.
Also z.B. so ein Programm und PIN, von der Esmis Quelle da berichtet.

Denn bevor ich das nicht bewiesen bekomme (Zugriffsmöglichkeit durch "Otto Normalverbraucher"), glaub' ich kein Wort davon.
Sondern lediglich, daß da mal wieder spektakulär Information mit Phantasie gemischt und publiziert wurde!

[Radar]

http://germany.indymedia.org/2006/01/135919.shtml

Nur mal so ein Beispiel wer so alles wo reingucken kann und was dabei so rumkommen kann.
Nun mag man sich ausdenken, was Leute anrichten die so was professioneller betreiben. 

[GeeKay]

http://germany.indymedia.org/2006/01/135919.shtml

Nur mal so ein Beispiel wer so alles wo reingucken kann und was dabei so rumkommen kann.
Nun mag man sich ausdenken, was Leute anrichten die so was professioneller betreiben. 

Schöner Link.
Gutes Ziel.
Aber:

...wie gesagt, ich sprech nicht von hackern oder anderen "profis".

ICH weiß, das es NICHTS gibt, was 100% sicher ist.
Und ich weiß auch, daß es Ziele gibt, die einen "Angriff" lohnen.
Je größer, je besser.
Telekom, Microsoft, US Government sind da sicher lohnende Ziele.

Hier geht es aber ganz eindeutig (siehe erster Satz des ersten Posts dieses Threads) um PNs in diesem Board.
Ob das einen Hacker-Angriff wert ist ?
Hat da jemand wirklich so viel Langeweile ?
Viel Ruhm und Ehre wird man damit nicht ernten können, weder inter- noch national.
Aber vielleicht gibt es wirklich eine Lücke bei www.geekay.de und nicht lokal bei einem User ...

Ich werd' mich auf jeden Fall eingehend mit dem aktuellen Fall und der Thematik an sich befassen.

Und außerdem verschiebe ich diesen Thread jetzt nach "Intern", denn es betrifft ja die Board.

edit:
Eigentlich ist Thyraz' Antwort auf den Threadstart nichts hinzuzufügen.

edit 2:
außer vielleicht noch, aus dem SMF-Support-Board:

Re: how hack proof is SMF?  
« Reply #2 on: September 03, 2005, 02:58:10 AM »
--------------------------------------------------------------------------------
There are no known security holes, but there's always the theoretical possibility a mistake exists that could compromise security ...

[101]

Bin erst davon ausgegangen das es nicht so leicht ist, aber laut dem Link machen das ja mehrere mal auf anderen Seiten. Aber mal ganz ehrlich, wen sollte das hier interessieren ?

Was die rechtliche lage angeht das Provider Daten rausgeben müssen sollte jedem klarsein, ist aber auch richig so.

Dann gibt es zum Beispiel Programme wie w_ _ _ _ _ _ er mit denen man ganze Kopien von Webseiten machen kann, funktioniert hier aber nicht ohne Passwort des jeweiligen Users.

Was das Lesen von gelöschten Mails angeht, da müßte man dann schon uf die backups zugreifen, und die sind normalerweise auch nicht alt.D.h. die werden auch regelmäßig beim Provider gelöscht, meist einmal am Tag, also so alt können die Daten dann auch nicht sein.

[premutos]

Hier geht es aber ganz eindeutig (siehe erster Satz des ersten Posts dieses Threads) um PNs in diesem Board.
Ob das einen Hacker-Angriff wert ist ?
Hat da jemand wirklich so viel Langeweile ?

Genau so sehe ich das auch... Was verschicken wir denn hier? Bankverbindungen, Pin-Codes von Kreditkarten? Also ich glaube nicht dass da einer größeres Interesse oder sogar Nutzen dran hat... Meine PN´s kann ein "Hacker" ruhig lesen, da steht nix geheimnisvolles drin .

BTW: Wie oft haben wir alle schon bei ebay gekauft und verkauft und dabei mit wildfremden Leuten unsere Bankverbindung ausgetauscht... Und selbst das halte ich inzwischen für völlig normal.

Aber wie ja schon geschrieben wurde: Im Internet ist nichts sicher!

[vierZEHN]

Also um das hier noch mal zu sagen.

Auch wir Moderatoren können keine Nachrichten von euch lesen.

Ich bin schon öfter drauf angesprochen worden ob wir das auch könnten.

Wir können zwar sehen was jeder im Board macht wenn er online ist aber wir sehen nur das PM´s geschickt werde.
Nicht aber an wen.

Wollte ich bei der gelegenheit auch mal klarstellen.

[GeeKay]

Um das noch zu vervollständigen:
Als Forums-Administrator / -Moderator sieht man daß von einem User gerade eine PN geschrieben wird, während sie geschrieben wird.
Nicht aber, an wen, oder gar was drinsteht.
Ebenso können wir sehen, wer gerade welchen Thread liest.
Diese "Who's Online"-Funktionalität habe ich aber bewußt für die Öffentlichkeit deaktiviert, um die Privarsphäre der einzelnen User weitestmöglich zu schützen.

[premutos]

Davon abgesehen interessiert es mich persönlich nicht die Bohne was hier wer wem schreibt...

[Imp]

Wenn Ihr nur seht, dass gerade eine PN geschrieben wird, heißt das ja noch lange nicht, dass sie auch abgeschickt wird. Oder wird das noch extra angezeigt? Wie oft hab ich mir schon gedacht "Ach, das schreibste dem/der jetzt mal eben." und es dann gar nicht abgeschickt, weil es sich irgendwie anders ergeben hat, oder so.

Und selbst wenn: "Angst" davor, dass jemand eine PN gelesen haben könnte, kann doch nur haben, wer hier intimste Dinge bespricht bzw. lästert, ohne genug Arsch in der Hose zu haben, es der Person auch direkt zu sagen. (Ob mans dann auch tut, ist eine andere Frage. ) Also quasi, wer Schiss davor hat, dass das Lästerobjekt es irgendwie rausbekommt.

Ansonsten hat meiner Meinung nach jeder spätestens beim Betreten des Internets gewusst, dass alles, was von Menschen programmiert wird, auch von Menschen geknackt werden kann, oder?