Wir hatten leider heute Vormittag einige Probleme mit dem Forum, die zum zeitweiligen Ausfall führten. Nun sollte aber alles wieder wie gewohnt laufen. Entschuldigt bitte den Ausfall.
Wir müssen heute leider nochmal am Forum arbeiten, wir können deshalb leider nicht vermeiden, dass es heute nochmal zu zeitweiligen Ausfällen kommt. Da es sich um sicherheitsrelevante Arbeiten am Forum bzw. der Forensoftware handelt, sollten diese Arbeiten umgehend und ohne lange Vorwarnzeit durchgeführt werden.
Hier einige ausführlichere Infos zu den Gründen für den Ausfall des Forums: Gestern haben wir einige ungewöhnliche Aktivitäten im Forum entdeckt. Wir haben uns deshalb entschlossen, das Forum für einige Zeit offline zu setzen, bis genauere Infos vorlagen. In den vergangenen Tagen sind viele, zum Teil auch sehr große Foren, Opfer von Hackerattacken geworden. Dies hat leider nun auch uns getroffen. Ursache sind offenbar Sicherheitslücken der Forensoftware. Wir haben das Forum nun bereinigt und in Absprache mit dem Hersteller der Forensoftware weitere Maßnahmen ergriffen. Offenbar ist das Ziel der Angriffe der Versand von Spam-Mails. Da wir ein mehrstufiges Sicherheitskonzept haben, sind Eure E-Mail Adressen oder sonstige persönliche Daten jedoch von dem Angriff nicht betroffen. Im Forum selbst ist nur Euer Benutzername gespeichert, sowie eine vom System automatisch generierte E-Mail Adresse. Alle persönlichen Daten liegen im Kundenportal, welches selbst nach einem Erfolgreichen Angriff auf das Forum nicht betroffen ist. Dies ist übrigens auch ein Grund dafür, dass wir externe Systeme wie das Forum nicht komplett in das Portal integrieren möchten, sondern getrennt laufen lassen. Das ist zwar machmal etwas umständlich, aber in einem solchen Fall Gold wert ist. Soviel fürs Erste dazu. Ich hoffe, wir können nun ohne weitere Ausfälle weitermachen.
Und selbst wenn was passiert wäre: Ich schätze, jeder noch so untalentierte Hacker und Spammer auf der ganzen Welt hat ohnehin schon alle unsere Emailadressen - Impressumspflicht sei dank! Bei vielen Systemen ist die Adresse ja sogar in Klartext direkt auslesbar, z. B. im Rakuten Impressum oder in jedem einzelnen Ebay Angebot :-(
Wir haben gegen Brute Force Angriffe auf den Shop Admin sogar schon eine Emailadresse als Login ausgedacht, die es gar nicht gibt. Da sind wir auch auf Nummer sicher, wenn es mal irgendwann jemand schaffen sollte, sich Zugriff auf unsere Emailkonten verschaffen und probiert, sich das Admin Passwort zuschicken zu lassen Wollen mal nicht hoffen dass es so weit kommt, aber jeder kleine Baustein hilft, das Worst Case Szenario zu verhindern. Ich plädiere daher auch immer noch dafür, in Gambio eine Lösung zu schaffen, den Admin umbenennen zu können - gegen bisher unbekannte SQL Injection Sicherheitslücken. Siehe: (Link nur für registrierte Nutzer sichtbar.) VG