phpBB.nl

Nederlandstalige phpBB Support
https://www.phpbb.nl/forums/

phpbb.com offline

https://www.phpbb.nl/forums/viewtopic.php?f=52&t=49237

Pagina 1 van 2

phpbb.com offline

Geplaatst: 01 feb 2009, 16:22
door pcexpert
ligt het aan mijn internet of is phpbb.com offline ?

Re: phpbb.com offline

Geplaatst: 01 feb 2009, 16:30
door Paul
phpBB.com is offline ja.

Verplaats naar phpBB discussie.

Re: phpbb.com offline

Geplaatst: 01 feb 2009, 17:22
door Rove
Heeft er misschien niets mee te maken, maar vanochtend zat er een mail in mijn box afkomstig van phpbb@phpbb.com die als volgt begon:
Email verwijderd
Ben wel benieuwd of dit waar is of een nieuwe vorm van spam...

Re: phpbb.com offline

Geplaatst: 01 feb 2009, 17:26
door Erik Frèrejean
Rove:
Die e-mail is helaas waar. Via een exploit in PHPList is de phpbb.com server gehacked. Alle *.phpbb.com sites zijn uit voorzorg uit de lucht gehaald.
Zie ook de topic titel in het #phpbb IRC kanaal:
*** Topic for #phpbb: We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation. phpBB.com and related sites will remain unavailable while we work to recover. No new vulnerabilities have been found in the phpBB software itself. | phpBB 3.0.4 available from http://www.ohloh.net/p/phpbb/download | Support available from this IRC channel | We apologise for the inconvenience

Re: phpbb.com offline

Geplaatst: 01 feb 2009, 23:17
door Erik Frèrejean
FYI: Een korte samenvatting van de gebeurtenissen van vandaag zijn nu te vinden op phpbb.com. Let er op dat je mogelijk je DNS cache moet vernieuwen om de pagina te zien. Tevens is er een tijdelijk support forum op area51.phpbb.com op gezet.

~ Erik Frèrejean
phpBB Support Team

Re: phpbb.com offline

Geplaatst: 02 feb 2009, 13:48
door Insomnia
Handig he dat phplist software :D

Re: phpbb.com offline

Geplaatst: 02 feb 2009, 16:22
door Erik Frèrejean
Ik meen dat de officiële mededeling met betrekking tot de hack hier nog niet gepost was daarom dus hierbij:
Marshalrusty schreef:As you may already be aware from the message on phpBB.com or the topic in the #phpBB channel on Freenode, we have recently been attacked via a vulnerability in an outdated PHPList installation. It is important to stress that no vulnerabilities have been found in the phpBB software itself.

We took area51.phpBB.com down along with phpBB.com to ensure integrity and prevent further damage. While we actively work to bring phpBB.com back online, we would also like to inform you of the damage that has been done.

The attacker gained entry through the PHPList application and was able to dump a complete backup of the emails on file. He then used the same exploit to access the phpBB.com database. Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.

phpBB3 uses a complex hashing algorithm in order to prevent someone from determining the plaintext value of a password. phpBB2, however, used a much simpler and less secure md5 algorithm to store passwords. This is one of the many reasons why we have decided to no longer support the phpBB2 software. Because hashes cannot be reversed, phpBB3 is set to convert phpBB2 hashes to the new phpBB3 standard during the first user login. Those users who registered while phpBB.com used phpBB2 and did not login on the new phpBB3 board continue to have their password hashes stored in the old format. Passwords stored in the old format are much less secure than those stored in the new format. The attackers have been focusing purely on the passwords stored in the old format.

If the password to your phpBB.com account is used anywhere else (especially with the same username), we strongly recommend that you change it. Using the same password across multiple sites is not security wise and should not be done under any circumstance. Additionally, you should change your password on phpBB.com, when it becomes available.

We apologise that we allowed this to happen by not patching vulnerable software in time. This demonstrates how critically important it is to always make sure that you keep up to date with any software that is running on your machine. At this time, the team is working around the clock to restore phpBB.com and other resources.

Thank you,

- The phpBB Teams
Ik wil hier graag ook nog eens benadrukken dat als je op internet websites tegen komt die linken naar de gelekte data of wat dan ook met betrekking tot deze hack. Post deze dan niet in het openbaar, maar verstuur ze privé naar een phpbb.com team member. Er zijn er een aantal actief op dit forum dus dat moet goed komen (ik zelf, paul, Raimon en BartVB).

~ Erik Frèrejean
phpBB Support Team

Re: phpbb.com offline

Geplaatst: 02 feb 2009, 16:39
door Johan
Nederlandse versie:
Zoals je waarschijnlijk al wel weet van het bericht op phpBB.com of de titel van het #phpBB kanaal in Freenode (IRC), zijn we onlangs gehacked door een lek in een verouderde versie van PHPList. Er zijn géén fouten gevonden in de phpBB software zelf.

We hebben area51.phpBB.com samen met phpBB.com offline gehaald om nog meer schade te voorkomen. Terwijl we hard werken om phpBB.com online te brengen, zouden we je ook willen informeren over de gedane schade.

De hacker heeft toegang geforceerd via de verouderde PHPList installatie, en daarmee was hij in staat een complete back-up van alle e-mailadressen op te slaan. Vervolgens gebruikte hij dezeflde manier om toegang te forceren tot de phpBB.com database. De e-maillijst van PHPList én de gebruikerstabel van de phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld

phpBB3 gebruikt een eigen, ingewikkelde methode om wachtwoorden gecodeerd op te slaan, om te voorkomen dat deze kunnen worden uitgelezen. phpBB2, daarentegen, gebruikt een MD5 codering, welke makkelijker, maar ook onveiliger is. Dit is ook één van de vele redenen dat we hebben besloten phpBB2 niet langer te ondersteunen. Omdat gecodeerde wachtwoorden niet teruggedraaid kunnen worden, slaat phpBB3 ze opnieuw op bij een eerste log-in in de nieuwe versie. Van de gebruikers die zich hebben geregistreerd op phpBB.com toen phpBB2 gebruikt werd, en niet meer zijn ingelogd sinds phpBB.com draait op phpBB3, is het wachtwoord nog in de oude codering opgeslagen. Deze wachtwoorden, opgeslagen in de oude codering, zijn minder goed beveiligd dat wachtwoorden in de nieuwe codering. De hackers hebben het voornamelijk gemunt op deze, slecht beveiligde, wachtwoorden.

Als je het wachtwoord, welke je op phpBB.com gebruikt, ook ergens anders gebruikt (en al helemaal met dezelfde gebruikersnaam), raden wij je aan deze te wijzigen. Dezelfde wachtwoorden gebruiken op verschillende websites is sowieso niet slim onder welke omstandigheden dan ook. Als laatste, we raden iedereen aan zijn/haar wachtwoord te veranderen op phpBB.com, wanneer deze weer online is.

Onze excuses dat dit heeft kunnen gebeuren, als gevolg van niet updaten. Dit is een goed voorbeeld dat je altijd de software die je gebruikt, moet updaten wanneer het kan. Momenteel werkt ons team dag en nacht om phpBB.com zo snel mogelijk weer online te kunnen zetten.

Bedankt voor jullie begrip,

- De phpBB Teams

Re: phpbb.com offline

Geplaatst: 02 feb 2009, 17:33
door Raimon
phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld
is echter incorrect.
En het staat er ook niet echt ;
Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
Dus in dit geval kan je beter niet van een mug een olifant maken, aangezien alleen de user tabel publieke is geplaatst en niet heel de database.

Re: phpbb.com offline

Geplaatst: 02 feb 2009, 17:39
door Johan
Gewijzigd.

Re: phpbb.com offline

Geplaatst: 03 feb 2009, 10:16
door svenn
Raimon schreef:
phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld
is echter incorrect.
En het staat er ook niet echt ;
Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
Dus in dit geval kan je beter niet van een mug een olifant maken, aangezien alleen de user tabel publieke is geplaatst en niet heel de database.
Een community met zoveel mensen, zoveel paswoorden, zoveel e-mail adressen. Je weet best welke mogelijkheden er zijn, voor een slechte geest. Ik denk dat het belangrijkste publiekelijk is gesteld. Het is met andere woorden een olifant.

Re: phpbb.com offline

Geplaatst: 03 feb 2009, 12:34
door demonhunter
svenn schreef:
Raimon schreef:
phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld
is echter incorrect.
En het staat er ook niet echt ;
Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
Dus in dit geval kan je beter niet van een mug een olifant maken, aangezien alleen de user tabel publieke is geplaatst en niet heel de database.
Een community met zoveel mensen, zoveel paswoorden, zoveel e-mail adressen. Je weet best welke mogelijkheden er zijn, voor een slechte geest. Ik denk dat het belangrijkste publiekelijk is gesteld. Het is met andere woorden een olifant.
Voor de mensen die hebben ingelogd na de convert zitten dus veilig, dit dan zij de "salt" has die wordt toegevoegd, voor ieder board zouden ze een andere vergelijkings tabel moeten hebben :| . Enkel mensen die na de convert niet hebben ingelogd zijn kwetsbaar :|

Re: phpbb.com offline

Geplaatst: 03 feb 2009, 13:32
door Erik Frèrejean
De gekraakte wachtwoorden zijn inderdaad alleen de oude md5 wachtwoorden en dan alleen van gebruikers met korte/makkelijke wachtwoorden. (De reden waarom je hoofd letters/kleine letters/cijfers/speciale tekens door elkaar moet gebruiken voor een wachtwoord).
Maar iedereen wordt ten zeerste aan geraden om de wachtwoorden van al zijn accounts te wijzigen.

~ Erik Frèrejean
phpBB Support Team

Re: phpbb.com offline

Geplaatst: 03 feb 2009, 16:36
door BetaDevil
Nouw, als de mensen na 1,5 jaar ongeveer nog steeds hetzelfde wachtwoord gebruiken voor belangrijke en kwetsbare websites etc. dan ben je wel heel erg onveilig bezig :twisted:

Re: phpbb.com offline

Geplaatst: 03 feb 2009, 17:13
door svenn
Als je 1000 keer diezelfde salt hebt kun je hem vast ook wel achterhalen lijkt me. Tenzij je 1000 keer een verschillende salt hebt maar als je die dan in de database op slaat ben je natuurlijk even ver :D. Wel spijtig dat een opensource project zo moet worden aangevallen.

Re: phpbb.com offline

Geplaatst: 05 feb 2009, 11:23
door Ger
Een idee richting de .com ingewijden (Paul/Raimon/Eric): is het een idee om bij de melding dat .com offline is door te verwijzen naar een pagina met een overzicht naar lokale supportsites zoals phpbb.nl?

Re: phpbb.com offline

Geplaatst: 05 feb 2009, 13:13
door Paul
support vragen kunnen op area51 gesteld worden :).

Re: phpbb.com offline

Geplaatst: 05 feb 2009, 14:29
door Erik Frèrejean
En daarnaast denk ik ook niet dat het de moeite loont om zo'n pagina op te zetten. De tijd van het team kan op het moment beter besteed worden ;)

Re: phpbb.com offline

Geplaatst: 05 feb 2009, 15:10
door BetaDevil
Nou, je kunt niet zeggen dat dat zoveel werk is, en er zijn vast wel teammembers die wat tijd over hebben als er geen website is :P

Re: phpbb.com offline

Geplaatst: 05 feb 2009, 15:28
door Paul
Ik kan je verzekeren dat de teammembers momenteel het drukker hebben als normaal als de site online is ;)
Alle tijden zijn UTC+01:00
Pagina 1 van 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/