Mod-Datenbank nexusmods.com wurde vermutlich gehackt

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Mod-Datenbank nexusmods.com wurde vermutlich gehackt

Die Betreiber von nexusmods.com haben in einer ausführlichen Mitteilung bekanntgegeben, dass man wahrscheinlich Opfer einer Hacker-Attacke geworden ist. Die Details werden gerade noch untersucht, allerdings wird den Nutzern schon jetzt empfohlen, das Passwort vorsorglich zu ändern.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Mod-Datenbank nexusmods.com wurde vermutlich gehackt
 
In allen drei Fällen handelt es sich um die "dsound.dll", eigentlich eine DirectX-Erweiterung. Der eigene Sicherheitscheck bestehend aus 56 verschiedenen Virenscannern konnte zwar nichts Auffälliges entdecken, verdächtig ist das aber nichtsdestotrotz.
Zum Vergrößern anklicken....
Virenscanner erkennen auch nur bekannte Trojaner bzw. bekannte Muster. Nur weil diese nichts finden heißt das nicht, dass diese Clean wären.
 
Ärgerlich ist, das man das Passwort nicht ändern kann. Es kommt immer : "Your current password is incorrect", obwohl ich mich damit immer bisher eingeloogt habe.
 
Tja es bringt ja nichts die Passwörter verschlüsselt zu speichern, da kann gleich im Klartext gespeichert werden.
Warum werden eigentlich nicht nur gesaltete Hashes gespeichert?!
 
Grestorn schrieb:
Wird doch.
Zum Vergrößern anklicken....

Was wird doch?

Artikel schrieb:
Laut eigenen Angaben werden die Passwörter verschlüsselt in der Datenbank hinterlegt [...]
Zum Vergrößern anklicken....
Wenn die Daten verschlüsselt abgespeichert werden, wo ist dann der Schlüssel? Richtig, auf dem Server. Und was kann man mit Verschlüsselten Daten und einem Schlüssel machen? Entschlüsseln. Somit liegen die Passwörter faktisch unverschlüsselt auf dem Server.

Gleiche Problematik aber DE-Mail:
https://www.youtube.com/watch?v=2XYBxk4iyAA&feature=youtu.be&t=9m22s
 
Valdiralita schrieb:
Was wird doch?
Zum Vergrößern anklicken....

Die Passwörter wurden lt. dem Kommentar gehashed und gesalted gespeichert.

Gehashte Passwörter müssen nicht entschlüsselt werden, entsprechend liegt auch kein Key auf dem Sever. Vielmehr werden die beim Anmelden eingegebenen Passwörter selbst wiederum gehasht und mit dem Hashwert verglichen.

Wenn man alles hat - Algorithmus und Hash - kann man aber natürlich recht leicht einen Wörterbuchangriff auf die Passwörter starten. Dami lassen sich aber nur Trivial-PW ermitteln oder eben gezielt einzelne, ausgewählte Konten knacken.
 
Valdiralita schrieb:
Es werden aktuell keine Hashes erzeugt, das soll erst in Zukunft gemacht werden.
Zum Vergrößern anklicken....

Aus dem Posting des Betreibers:

"To clarify, we store all passwords in our database in a hashed and salted system (i.e. not plain text). This does not mean your passwords are completely safe, however. Because all encryption is a mathematical formula based around how complex it is to crack, given enough time and processing power almost all forms of encryption can be cracked eventually. The problem gets worse if your password is easily recognisable or very simple. If you've ever wondered why some sites ask you to have at least 1 number and one "special" character, this is why. It makes passwords a lot harder to crack (and yes, we'll implement these forced requirements soon, too). Because of this, it's possible this is a result of the database breach from a few years ago coming back to haunt users that haven't changed their passwords. The problem is, we're just not sure yet."
 
Grestorn schrieb:
Aus dem Posting des Betreibers:

[...]
Zum Vergrößern anklicken....

Ah okay, ich hab die Quelle nicht gelesen sondern nur den PCGH Artikel =/
Anscheinend ist der PCGH Artikel falsch.

Siehe:

Artikel schrieb:
Laut eigenen Angaben werden die Passwörter verschlüsselt in der Datenbank hinterlegt, [...] Künftig sollen diese weiter ausgebaut werden. Dazu gehören auch Trivialitäten, wie Vorgaben beim Passwort (Zahlen, Sonderzeichen, etc.), schlichtweg um das Knacken der Hashes zu erschweren.
Zum Vergrößern anklicken....

EDIT: Nach einer EMail an PCGH wurde der Fehler (wenn auch mit einem Tippfehler ;)) korrigiert.
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Sky: Kundenkonten wurden gehackt - Nutzer sind verunsichert
Antworten
1
Aufrufe
781
wr2champ
wr2champ
PCGH-Redaktion
News Windows 11: Microsoft behebt Problem mit "gehacktem" Explorer nach über einem Jahr
Antworten
8
Aufrufe
753
Schnitzelnator
S
Richu006
Tagebuch Wurde gehackt. meine "Leidensgeschichte"
Antworten
4
Aufrufe
638
Richu006
Richu006
PCGH-Redaktion
News Cyberattacke: Ferrari wurde gehackt, Kunden wurden gewarnt
Antworten
13
Aufrufe
988
Kindercola
Kindercola
PCGH-Redaktion
News Razer: Unternehmen prüft möglichen Hack von Razer Gold
Antworten
7
Aufrufe
894
Just_osi
J
Oben Unten
Zurück