Nvidia-Foren gehackt

Bild von Stefan1904
Stefan1904 128500 EXP - 30 Pro-Gamer,R10,S3,C8,A10,J10
Pro-Gamer: Hat den ultimativen GamersGlobal-Rang 30 erreichtPlatin-Gamer: Hat den sehr hohen GamersGlobal-Rang 25 erreichtDieser User unterstützt GG seit fünf Jahren mit einem Abonnement.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertGold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreichtSpürnase: Deckt häufig exklusive News aufAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertScreenshot-Meister: Hat 5000 Screenshots hochgeladenMeister der Steckbriefe: Hat 1000 Spiele-Steckbriefe erstelltRedigier-Guru: Hat 5000 EXP fürs Verbessern von Beiträgen gesammeltIdol der Massen: Hat mindestens 10.000 Kudos bekommen

14. Juli 2012 - 16:32 — vor 4 Jahren zuletzt aktualisiert

Erst letzte Woche hatte Nvidia den Betrieb der offiziellen Foren (forums.nvidia.com) eingestellt. Jetzt hat der Grafikchipspezialist eine Stellungnahme veröffentlicht, die einen großangelegten Hackangriff bestätigt, bei dem diverse Nutzerinformationen entwendet werden konnten, darunter Nutzernamen, E-Mail-Adressen, gehashte Passwörter mit einem zufälligen Saltwert sowie für die Öffentlichkeit gedachte "Über mich"-Profilinformationen.

Nvidia betont, keine Passwörter im Klartext gespeichert zu haben. Als Vorsichtsmaßnahme rät man aber allen Forennutzern, identische Passwörter, die diese an anderer Stelle einsetzen, zu ändern. Die Untersuchungen dauern derzeit noch an, die Wiederherstellung der Foren soll so schnell wie möglich erfolgen. Der Hersteller treffe zusätzliche Sicherheitsvorkehrungen, um die Auswirkungen von möglichen zukünftigen Angriffen zu minimieren. Alle Nutzerpasswörter für die Foren sollen zurückgesetzt werden, sobald das System wieder online geht. Zu diesem Zeitpunkt erhalten dann alle Nutzer eine E-Mail mit einem temporären Passwort zusammen mit einer Anleitung zur Änderung.

Michl Popichl 24 Trolljäger - 50611 - 14. Juli 2012 - 17:14 #

gibt es eigentlich etwas das noch nicht gehackt wurde ?

Tr1nity 26 Spiele-Kenner - P - 73393 - 14. Juli 2012 - 17:28 #

Mein Holz hinten im Garten. Möchte jemand sich dem annehmen? ^^

Stefan1904 30 Pro-Gamer - P - 128500 - 14. Juli 2012 - 17:30 #

Wo ist Geohot, wenn man ihn braucht? ;)

Michl Popichl 24 Trolljäger - 50611 - 14. Juli 2012 - 17:34 #

was zahlst ?

Sgt. Nukem 15 Kenner - 3471 - 14. Juli 2012 - 19:02 #

ROTFLSHMSFOAIDMT! :D

Scheint mir doch genau die richtige "Operation" für den Fritzen von Gears of War zu sein, mit seinem Kettensägengewehr... ;)

Drapondur 25 Platin-Gamer - - 55817 - 14. Juli 2012 - 20:52 #

Kommentar-Kudo! :)

Barkeeper 16 Übertalent - 4226 - 14. Juli 2012 - 21:14 #

Aber sowas von ;-)

Piratesteve 11 Forenversteher - 604 - 14. Juli 2012 - 22:42 #

das RL-Holz bei dir im Garten verstaubt, während du mehr virtuelles in DayZ hackst :-))

Tr1nity 26 Spiele-Kenner - P - 73393 - 15. Juli 2012 - 1:44 #

Verstauben weniger, ist grad durch den Regen bisserl feucht ;). Aber stimmt, in DayZ hacke ich derzeit mehr Holz für's Lagerfeuer ^^.

Anonymous (unregistriert) 14. Juli 2012 - 17:32 #

ohh neeein, wie schlimm... news, sofort!!!
Das es immer noch Leute gibt, bei denen noch nicht angekommen ist, das es, solange es das Internet und PCs gibt, immer Hackerangriffe, Passwortdiebstähle u.ä. geben wird... und das das nichts "schlimmes", oder weltbewegendes ist... unglaublich.

organspender 10 Kommunikator - 479 - 14. Juli 2012 - 17:36 #

alternative?

inner blockhütte im wald leben..ohne internetanschluss?

Anonymous (unregistriert) 14. Juli 2012 - 17:58 #

Nicht nötig. Wer anonym auf GamersGlobal postet, kann auch nicht gehackt werden. :p

Anonymous (unregistriert) 14. Juli 2012 - 18:37 #

Es gibt Jobs, die erfordern es, sich zuweilen in bestimmten Foren zu registrieren... lass mich überlegen... Spieleentwickler zum Beispiel könnten mal die eine oder andere Frage an Middlewareanbieter, Treiberhersteller usw. haben.
Dumm nur, dass man dort nie anonym posten darf. Behalt deine klugen Ratschläge also lieber für dich. Den Hackern soll der Daumen abfaulen.

Tassadar 17 Shapeshifter - 7747 - 14. Juli 2012 - 22:11 #

Genau diese dürften hier von diesem Hack auch besonders begeistert sein und so richtig gut zu sprechen sein jetzt auf NVIDIA. Klar, alles ist hackbar, aber das klingt nun auch wieder nicht so als wäre NVIDIA hier wenigstens vernünftig abgesichert gewesen.

Dennis Ziesecke Freier Redakteur - 29503 - 15. Juli 2012 - 7:28 #

Auch die Entwickler wissen (besser als viele andere), dass es keinen 100%-Schutz geben kann. Wichtiger ist es, die Daten auf den Servern anständig zu verschlüsseln - und das hat Nvidia offenbar gemacht. Passwörter nur als Hash mit salt, viel mehr lässt sich in dem Punkt mit vertretbarem Aufwand nicht anstellen.

Benjamin Urban 18 Doppel-Voter - P - 9415 - 15. Juli 2012 - 11:11 #

Da kann ich dir nur bedingt recht geben. Auf der einen Seite hätte nVidia sicherlich nicht viel mehr tun können. Auf der anderen Seite steht hier aber vBulletin in der Pflicht. Seit Jahren ist diese Zeile im vBulletin Quellcode unverändert:
md5(md5($password).$salt)
Zugegeben: Gegen einen Rainbow-Table-Angriff mag das ganze recht nützlich sein. Gegen Brute-Force oder Wörterbuchattacken hilft das aber ganz und gar nicht, weil der Salt ja auch in der Datenbank gespeichert wird und somit dem Hacker bekannt ist. Da aber die wenigsten Hacker Zugriff auf das Dateisystem haben, könnte man die Sicherheit immens erhöhen indem man den Hashing-Algorithmus konfigurierbar macht (und z.B. PBKDF2 als Algorithmus verwendet). Es scheinen aber noch nicht genug Foren gehackt worden zu sein, denn vBulletin scheint sich dafür nicht wirklich zu interessieren.

Passatuner 14 Komm-Experte - P - 2084 - 14. Juli 2012 - 21:50 #

Du musste selber hacken, siehe Trinity

Exocius 17 Shapeshifter - P - 7199 - 14. Juli 2012 - 20:00 #

Schön langsam gehn mir diese Hackidioten auf die Nerven, kaum ein Tag vergeht ohne eine Meldung.

Darth Spengler 18 Doppel-Voter - 9209 - 15. Juli 2012 - 22:40 #

In ner interessanten Doku hab ich gesehen das Weltweit jeden Tag Millionen von Hackangriffen eingehen ^^ Hin und wieder rutscht mal einer durch.

Labrador Nelson 27 Spiele-Experte - - 86475 - 15. Juli 2012 - 21:29 #

Vielleicht sollte man in der News noch den "Saltwert" für Laien kurz erklären, vor allem wofürs steht, und dass es den Verschlüsselungsgrad verstärkt, etc...

Benjamin Urban 18 Doppel-Voter - P - 9415 - 16. Juli 2012 - 8:34 #

Das wäre doch mal was für einen User-Artikel :D
Nee, ich glaube das sprengt den Umfang der News, weil man sich allein über dieses Thema schon einiges aus den Fingern saugen kann.
Allgemein geht es hier aber weder um Verschlüsselung, noch verstärkt ein Saltwert die Sicherheit des generierten Hashes. Das mag jetzt vielleicht Wortklauberei sein, aber von Verschlüsselung spricht man wenn sich die verschlüsselten Daten wieder in Klartext überführen lassen. Das ist beim Hashing ja nicht der Fall. Ein Saltwert ist einfach eine Zeichenkette, die beispielsweise wie in diesem Fall an das Passwort angehängt wird. Das ändert erstmal gar nichts an der Sicherheit, denn man bekommt immer noch 32- bzw. 40-Zeichen lange Hashes im Falle von MD5 bzw. SHA1. Es hilft aber gegen Rainbow-Table-Angriffe. Rainbow-Tables sind Tabellen in denen alle möglichen Hashwerte für Zeichenkombinationen einer gewissen Länge (z.B. Alphanumerisch bis zu 8 Zeichen) gespeichert sind. Das Problem ist nämlich, dass eine Zeichenkette immer denselben Hashwert ergibt und sich dadurch Tabellen mit vorausberechneten Hashwerten erstellen lassen. Das Ganze ist allerdings nur für relativ kurze Passwörter rentabel (< 12 Zeichen), da ansonsten die größe der Rainbow-Table in den Terabyte-Bereich und darüber hinaus geht. Durch das Anhängen eines zufälligen Saltwertes an das Passwort, ergibt eine Zeichenkette nicht immer denselben Hash und ist somit nicht anfällig gegen Rainbow-Table-Angriffe. Gegen super Passwörter wie "test123" hilft aber auch der Saltwert nichts. Dieses Passwörter lassen sich trotzdem innerhalb von Sekunden errechnen. Das war die Erklärung in Kurzform :D

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit
floppi