cardrunners gehackt fail

    • inflamespoker
      inflamespoker
      Diamant
      Dabei seit: 11.03.2008 Beiträge: 9.105
      gerade mail bekommen:

      Dear hero,

      Last night we identified and stopped an illegal intrusion of the CardRunners servers.

      While no customer credit card or financial information was compromised, we have confirmed that the following customer information related to your account may have been compromised:

      Email Address
      Encrypted Password
      IP Address

      Out of an abundance of caution, we have forced your password to be reset. If you use your CardRunners username or password for other unrelated services or accounts, we recommend that you change them as well.

      Your new password is: xxxxxx

      CardRunners will never contact you in any way asking for any personally identifiable information so please be vigilant in not providing such information to anyone that represents themselves as working for CardRunners.

      We regret any inconvenience this causes and want to ensure you that we will continue to work to ensure that additional measures are taken to protect your private information.

      Regards,
      CardRunners Support


      wie kann man so hart failen? seh ich das richtig, dass die hacker irgendwie die real pws auslesen konnten? sonst würde der support wohl kaum anmerken, dass man bei anderen seiten wo man seine cr mail nutzt auch das pw ändern sollte.

      wie kann sowas passieren? dachte so pws werden gut verschlüsselt gespeichert.
  • 80 Antworten
    • ElHive
      ElHive
      Bronze
      Dabei seit: 24.07.2007 Beiträge: 7.691
      Hab die Mail auch bekommen.

      IMO heißt das, dass die Hacker die E-Mail-Adresse, das Passwort in verschlüsselter (encrypted, entschlüsselt wäre decrypted) Form sowie IP-Adresse auslesen konnten.

      Sie empfehlen, Benutzername und Passwort von anderen Diensten dann zu ändern, wenn man die gleiche E-Mail-Adresse und/oder Benutzernamen wie bei Cardrunners verwendet.
    • inflamespoker
      inflamespoker
      Diamant
      Dabei seit: 11.03.2008 Beiträge: 9.105
      Original von ElHive
      Hab die Mail auch bekommen.

      IMO heißt das, dass die Hacker die E-Mail-Adresse, das Passwort in verschlüsselter (encrypted, entschlüsselt wäre decrypted) Form sowie IP-Adresse auslesen konnten.

      Sie empfehlen, Benutzername und Passwort von anderen Diensten dann zu ändern, wenn man die gleiche E-Mail-Adresse und/oder Benutzernamen wie bei Cardrunners verwendet.
      ja das trifft bei mir leider zu :rage:

      nur wenn die hacker nur verschlüsselte pw files hätten, dann wäre es doch fast wayne oder nicht? oder kann man so files einfach entschlüsseln?


      oh man: jetzt hab ich die mail auch noch an ne andere email addi bekommen. entwder heisst das, dass ich 2 cr accs habe, wovon ich aber nix weiss, oder das in deren DB einfach auch die alten mailaddis, also wenn man die mal gechanged hat, gespeichert und jetzt entwendet wurden :rage:
    • raise85
      raise85
      Bronze
      Dabei seit: 18.09.2008 Beiträge: 317
      verschlüsselte Passwörter kann man per Brutforce versuchen zu entschlüsseln. Gelingt in der Regel aber nur bei schwachen Passwörtern, bei komplexen Passwörtern dauert es zu lange.

      Würde aus Sicherheitsgründen trotzdem PW ändern!
    • TheCelt
      TheCelt
      Bronze
      Dabei seit: 24.03.2007 Beiträge: 3.932
      Wieso änderst du nicht einfach betreffenden Passwörter, statt dich damit zu beschäftigen, wie wahrscheinlich das ist, dass die mit den verschlüsselten was anfangen können? So viele können es ja nicht sein, sollte eh ab und zu gemacht werden und sicher ist halt sicher.

      In der Zeit, in dem du jetzt den Thread erstellt und dich darüber aufgeregt hast, wärst du vermutlich schon fertig gewesen.

      Klar ist das unschön, aber nicht mehr zu ändern.
    • inflamespoker
      inflamespoker
      Diamant
      Dabei seit: 11.03.2008 Beiträge: 9.105
      Original von TheCelt
      Wieso änderst du nicht einfach betreffenden Passwörter, statt dich damit zu beschäftigen, wie wahrscheinlich das ist, dass die mit den verschlüsselten was anfangen können? So viele können es ja nicht sein, sollte eh ab und zu gemacht werden und sicher ist halt sicher.

      In der Zeit, in dem du jetzt den Thread erstellt und dich darüber aufgeregt hast, wärst du vermutlich schon fertig gewesen.

      Klar ist das unschön, aber nicht mehr zu ändern.
      tja wenns doch nur so wäre :) wies scheint sind ja beide email addressen betroffen, die ich hauptsächlich für fast alles im inet nutze. ich bin grad schon dabei alle wichtigen sachen zu ändern, aber ich wette ich vergesse irwas.

      voralledem denke ich es das es viele pokerspieler gibt die nen cr acc haben und dort ähnliche email addresen o.ä wie bei den pokersites etc
    • raise85
      raise85
      Bronze
      Dabei seit: 18.09.2008 Beiträge: 317
      Vielleicht noch für den einen oder anderen interessant, hier mal eine Auflistung, wie lange es nach aktuellem Stand dauert, ein verschlüsseltes Passwort zu knacken.

      BruteForce-Dauer

      Hier sieht man auch wie wichtig es ist, ein Passwort mit Klein-, Großbuchstaben und Zahlen zu wählen. Passwortlänge sollte mind. 10-12 Zeichen sein.
    • inflamespoker
      inflamespoker
      Diamant
      Dabei seit: 11.03.2008 Beiträge: 9.105
      Original von raise85
      Vielleicht noch für den einen oder anderen interessant, hier mal eine Auflistung, wie lange es nach aktuellem Stand dauert, ein verschlüsseltes Passwort zu knacken.

      http://www.1pw.de/brute-force.html

      Hier sieht man auch wie wichtig es ist, ein Passwort mit Klein-, Großbuchstaben und Zahlen zu wählen. Passwortlänge sollte mind. 10-12 Zeichen sein.
      der link geht nicht :) einer bei cr im forum sagt

      " Originally Posted by jeff218
      From our overnight tech guy, "we have encrypted the passwords in a way that are nearly impossible to decrypt".

      Hope this puts some minds at ease."

      aber das kann obv auch nur gelaber sein um die leute zu beruhigen. naja mal alles ändern :rage:
    • raise85
      raise85
      Bronze
      Dabei seit: 18.09.2008 Beiträge: 317
      Original von inflamespoker

      der link geht nicht :) einer bei cr im forum sagt


      " Originally Posted by jeff218
      From our overnight tech guy, "we have encrypted the passwords in a way that are nearly impossible to decrypt".

      Hope this puts some minds at ease."

      Hab den Link editiert, auf die Aussage des Technikers würde ich mich nicht verlassen. Wie gesagt, BruteForce probiert jede Passwort-Kombination durch und vergleicht das Ergebnis mit dem verschlüsselten Wert. Es ist also egal mit welchem Algorithmus verschlüsselt wurde..
    • hotgirl18
      hotgirl18
      Einsteiger
      Dabei seit: 08.05.2011 Beiträge: 45
      die passwörter werden wohl md5 verschlüsselt sein, ganz normal eben
      md5 gilt als sicher, stellt prinzipiell kein problem dar, dass ist ne einweg verschlüsselung, das kann man nicht entschlüsseln
      ein problem gibts aber: wenn die passwörter zu kurz sind kann man von allen möglichen pws den md5 schlüssel erzeugen und dann vergleichen (die optimierte version davon bezeichnet man dann als rainbow table ;) )
      solange dein passwort also lang genug ist (>10 zeichen) geht das eigentlich nichtmehr

      und wenn cardrunners schlau sind setzen sie einen zweiten server ein, mit völlig anderen daten (sodass dort niemand außer einer person zugriff drauf hat), der einfach nichts anderes macht (damit man keine dienste mit sicherheitslücken drauf laufen hat) als das passwort noch irgendwie mit anderen algorithmen zu modifizieren. dann ist selbst ein 3 zeichen langes pw nichtmehr heraus zu bekommen ;)
    • QueenBeaver
      QueenBeaver
      Bronze
      Dabei seit: 09.05.2010 Beiträge: 361
      Ich hab' dann mal geantwortet:


      Dead Cardrunners support,

      it is nice to see you inform the users about the intrusion and theft of their data, others might have reacted differently. However, seeing that you send my new password to me over an unencrypted medium and expect this to be much more secure now than after the theft, I can see why the user database could have been stolen in the first place.


      Sincerely,

      a concerned security specialist.
    • DaineMudda
      DaineMudda
      Bronze
      Dabei seit: 26.05.2009 Beiträge: 884
      Hab die Email auch gerade bekommen, klingt nach Arbeit. :(
    • Zabagad
      Zabagad
      Global
      Dabei seit: 24.01.2010 Beiträge: 1.145
      Original von QueenBeaver
      Ich hab' dann mal geantwortet:
      Ich bin ja völlig bei dir, aber wie hätten sie es besser gemacht?

      Ehrliche Frage!
    • hotgirl18
      hotgirl18
      Einsteiger
      Dabei seit: 08.05.2011 Beiträge: 45
      Original von Zabagad
      Original von QueenBeaver
      Ich hab' dann mal geantwortet:
      Ich bin ja völlig bei dir, aber wie hätten sie es besser gemacht?

      Ehrliche Frage!
      sofern man das neue passwort beim nächsten einloggen auf der hp zwangsweise ändern muss: garnicht :D
    • QueenBeaver
      QueenBeaver
      Bronze
      Dabei seit: 09.05.2010 Beiträge: 361
      Original von Zabagad
      Original von QueenBeaver
      Ich hab' dann mal geantwortet:
      Ich bin ja völlig bei dir, aber wie hätten sie es besser gemacht?

      Ehrliche Frage!
      Praktisch nicht, da hat hotgirl18 recht (scheiße, geb' ich da grad' einer Frau in EDV-Dingen recht? Ich glaube nicht, nicht mit dem Namen).

      Ich wollte nur darauf hinaus, dass es nicht hilft, die Sicherheit zu erhöhen, wenn man das neue Passwort wieder ungesichert versendet. Das ist Augenwischerei.

      Mir antwortete übrigens ein Mr. Jeff Miller und beweist eindrucksvoll, dass er nicht so richtig versteht, was Sache ist:


      I would advise any user to make sure they use the encrypted version of Gmail. The option can be changed in your account settings.


      Und ich glaube mein Hinweis ist dann auch für die Katz:


      you sent the password in the original mail. Mail (SMTP) is usually an unencrypted medium, which means that the peer-to-peer-architecture of the internet allows every hop that the mail travels over to read the contents of the mail in full. A password sent through mail to a mail account is never to be considered safe. Endpoint encryption while reading the mail will not change that.


      Was lernen wir daraus?

      1. Die eigene Adresse wird in den heutigen Zeiten fast definitiv irgendwann einmal gestohlen, wenn man sich auch nur ein wenig im Internet bewegt.
      2. Niemals, auf gar keinen Fall, jemals ein Passwort zweimal an verschiedenen Stellen verwenden. Auch keine Variationen desselben Passworts ("hannes3" und "hannes9" sind Mist).
    • pokerjan
      pokerjan
      Bronze
      Dabei seit: 15.12.2007 Beiträge: 961
      Habe die Mail auch bekommen und sehr viele Spam Mails von Online Casinos.
      Ihr auch?
    • inflamespoker
      inflamespoker
      Diamant
      Dabei seit: 11.03.2008 Beiträge: 9.105
      Original von jantheone771
      Habe die Mail auch bekommen und sehr viele Spam Mails von Online Casinos.
      Ihr auch?

      jap headline gambler samar barber
    • wolfcastle80
      wolfcastle80
      Bronze
      Dabei seit: 17.10.2008 Beiträge: 296
      Original von jantheone771
      Habe die Mail auch bekommen und sehr viele Spam Mails von Online Casinos.
      Ihr auch?
      #

      Und ich wudner mich schon wer meine Email weitergegeben hat.
    • AyCaramba44
      AyCaramba44
      Black
      Dabei seit: 27.04.2010 Beiträge: 11.742
      Kleiner Tip wenn ihr jetzt sowieso alle Passwörter ändert. Eventuell 1-2 Email Adressen mehr anlegen und dann unterschiedliche Passwörter benutzen pro Account. Dann alles in einem Passwortmanager auf eurem PC speichern. Genauso komfortabel wie früher nur einiges sicherer.
    • Guennilicous
      Guennilicous
      Black
      Dabei seit: 16.09.2006 Beiträge: 7.810
      Original von wolfcastle80
      Original von jantheone771
      Habe die Mail auch bekommen und sehr viele Spam Mails von Online Casinos.
      Ihr auch?
      #

      Und ich wudner mich schon wer meine Email weitergegeben hat.
      WIE MICH DAS ANKOTZT! Ganze inbox wegen dem kack mit spam zugekleistert...