Tausende Zugangsdaten zu vBulletin entwendet

Hallo,

das ist bekannt, betraf uns aber nicht. Wir haben führen stets die aktuellste vB Version, es waren ältere Versionen betroffen. Es gab seitens vB auch rechtzeitig eine Warnung auf eine evtl. Sicherheitslücke, da hatten wir aber schon reagiert.
Wir sind safe und haben zuletzt gestern von einem absoluten vB Profi größere Revisionsarbeiten an Software und Datenbanken durchführen lassen.

Danke dir aber für den Hinweis

Grüße

Totti

(habe mir nach den Anpassungen der letzten Tage mal einen eigenen Account angelegt, um nicht immer den allgemeinen "Admin" nutzen zu müssen)

Hallo,

ich kann Totti nur zustimmen. Man muss da auch etwas unterscheiden, da zwei Meldungen/Tatbestände im obigen Artikel vermischt wurden:

1. Zum einen existierte die Sicherheitslücke in 4er und 5er vB Foren nur unter ganz bestimmten Bedingungen, die gegeben sein mussten und die der jeweilige Betreiber durch "Schusseligkeit/Unkenntnis" (es wird während der Installation schon immer darauf hingewiesen) selber verursacht haben muss.
Ich verrate jetzt hier nicht, WELCHE Lücke das ist, aber es wurden leider schon weltweit reichlich Foren aufgrund dessen gehackt. Es sind 2 verschiedene Angreifer, der Vorgang ist jeweils derselbe (SQL-Injection und teils Einschleusung eigener Scripte).
Hält man sich an die Sicherheitsregeln, ist man aber davon nicht betroffen.

2. Das Ausspähen von Userdaten betraf NUR die Kunden des US-amerikanischen Internet Brand (der neue vBulletin-Anbieter seit Übernahme) in deren Support-Forum sowie dem angeschlossenen Add-on Forum unter eigener Domain!
User von vB-Foren sind davon ausdrücklich nicht betroffen.

Es wurde kürzlich deren Entwicklungs-Server angegriffen, auf dem leichtsinnigerweise auch ältere Dumps aus dem Supportforum lagen. Nur diese Daten wurden abgegriffen.
Betroffene Betreiber wurden vo IB neulich angeschrieben und gewarnt.

Das nur zur Klarstellung der Meldung.

Gruß
Jörg
(u.a. vBulletin User-Support)

Danke dir Jörg...

vB5 finde ich ja schon sexy, aber das wird am deutschen Markt wohl gänzlich vorbei gehen, oder...?...
Adduco ist gänzlich Geschichte, was vB angeht?

Zitat von Totti-Amun

vB5 finde ich ja schon sexy, aber das wird am deutschen Markt wohl gänzlich vorbei gehen, oder...?...

Vergiss es lieber ganz schnell. vB5 ist der größte (Kern-)Schrott, den es unter Foren-Software jemals gegeben hat! Nicht nur saulahm, sondern fehlerbehaftet bis zum Gehtnichtmehr und um reichlich nützliche Funktionen beschnitten, die man bisher gewohnt war. Auch Add-ons wird es dafür kaum noch geben...

Zitat von Totti-Amun

Adduco ist gänzlich Geschichte, was vB angeht?

Ja, leider. Oder aus Scott's Sicht auch glücklicherweise, so wurde ihm (und uns) reichlich Mist in der Zukunft erspart.
Seit Internet Brands den deutschsprachigen Vertrieb Adduco Digital kommentarlos und ohne Vorankündigung abgenabelt und auch Scotts Account dort kommentarlos gelöscht hat, ist vBulletin für den deutschsprachigen Raum Geschichte. Auch der deutsche Support wird genau Ende des Jahres eingestellt (bis auf das Forum, das bleibt nach gestrigem Server-Wechsel für die Kunden erhalten).

Deutsche Kunden müssen nun zu IB in die Staaten wechseln, wenn sie denn weiterhin vB5 (enthält alle 3 und 4 Versionen) kaufen und Support haben möchten. Den wirds auf Deutsch aber nur seeeehr eingeschränkt (ausschließlich von Dominic/Captainslater) dort geben. Und ob er überhaupt weiterhin dort bleibt, stelle ich auch mal infrage...
Sein Kollege ist neulich schon geflüchtet.

Letztendlich wird uns das dauerhaft vor ein Problem stellen.
Ich hatte neulich schon darüber nachgedacht, dass wir nach Woltlab importieren.
Es muss ja irgendwie weitergehen...

Ich werde meine betreuten Foren erstmal alle auf vB 3 und 4 lassen. Läuft ja soweit stabil und die User sind's gewohnt (und die Teams auch).
Längerfristig muss man dann sicher umdenken, wobei ich ausgerechnet Woltlab nicht gerade als Alternative sehe...

Was denn?
phpBB auf gar keinen Fall, da kommen wir ja her...

Die Trends der weitaus meisten Betreiber/Kunden gehen inzwischen zu entweder IPB (wenn man ein CMS, aber keinen deutschen Support braucht und auch selber ausreichend programmieren kann) oder XenForo (wenn man ein reines Forum benötigt und so nah wie möglich am "alten" vBulletin sein möchte, die beiden Entwickler/Anbieter sind die Ex-Entwickler von vBulletin/Jelsoft LTD). Beide Systeme sind (anders als phpBB) Payware.

Hier könnte ich auf CMS getrost verzichten, aber nicht beim anderen Forum. Da wollte ich das jetzt richtig nutzen, angefangen hatte ich ja bereits.
Wobei man das hier auch gut nutzen könnte. Aber das müsste jemand anders machen, ich kann mich nicht verteilen. Das ist ja das Schöne am CMS, man kann einzelnen Usern den Zugang gewähren ohne dass man FTP Zugang öffnen müsste oder ohne dass man Programmierkenntnisse hat...

Ja, das stimmt, damit kann man schon einiges machen. Selbst ohne Usern den Zugriff zu gewähren, könnte man deren Beiträge aus bestimmten Foren schon automatisiert im CMS veröffentlichen lassen. Oder auch nachträglich manuell... usw usw....

Mein Dilemma ist halt:
Belasse ich es dabei und mache eine einfache verzweigte html Startseite oder nutze ich das CMS.
Und was dann? Die Arbeit soll ja nicht umsonst sein...
Ich suche halt noch eine gescheite, endgültige Lösung für das andere Forum, um dauerhaft eine History aufzubauen. Ich habe keine Lust in 2 Jahren alles dann wieder manuell woanders rein kopieren zu müssen.
Dann strebe ich lieber direkt eine andere Lösung an...

Das kommt halt darauf an, was Du von einer "Startseite" erwartest. Wenn sie überwiegend statischen Content enthält und nicht laufend geändert wird, reicht auch eine HTML-Seite aus. Ansonsten eher ein CMS wie Joomla, Drupal etc.
Ein Großteil selbst gewerblicher, namhafter Webseiten & Portale besteht inzwischen heute daraus.