Moin Freunde!
Warezfusion.org ist wieder online.
Seit heute ist die alteingesessene Warezseite wieder am Netz.
Diese wurde vor ~1 Monat von SQLB0SE „gehackt“. Er nutzte dafür eine bekannte Sicherheitslücke. Der Hacker A. Scott hat vorher die DB veröffentlicht und SQLB0SE nutze daraufhin das Passwort des Admins Gabeldeluxe, um eine eMail an alle Member von WF zu schicken, so erreichte auch mich diese Nachricht:
Nachdem heute WF wieder ans Netz gegangen ist, wurde auch ein offizielles Statement gepostet, welches ich nun zitiere:
Was ist passiert? Dass die Datenbank von WF und einigen anderen Scene-Seiten am Freitag den 13. ins Netz gestellt wurden, ist wohl kaum an einem vorbei gegangen. Angesichts der traurigen Tatsache, dass dies in der Scene bereits zum Alltag geworden ist, eigentlich keine große Sache. Doch im Fall WarezFusion war es schon recht skandalös und dies haben nicht zuletzt wir (die Admins) zu verschulden. Der Hacker A. Scott hatte sich, wegen fehlender Updates vom Server, Zugriff auf diesen verschaffen können, ohne, dass wir es bemerkt haben. Gegen Mitternacht wurde die Datenbank dann puplic gemacht und für jedermann einsehbar, auch für einen gewissen SQLB0SE. Dieser hatte den ausgesprochen blöden Plan, die Gunst der Stunde zu nutzen und sich des Adminaccounts von mir (Gabeldeluxe) zu bereichern, um damit eine Rundmail an alle WF-Mitglieder zu versenden. Den Inhalt dürften alle bereits kennen (screen). Um weitere Schäden zu vermeiden, war klar, dass wir den Server erstmal abschalten mussten (an dieser Stelle noch mal danke an THE_UPLOAD, der dies in unserer Abwesenheit durch einen DDoS bewerkstelligt hat). Die Folgen Zunächst werden wahrscheinlich einige unaufgeklärte User große Bedenken haben. Hier können wir, wie auch schon im vorläufigen Statement, Entwarnung geben. SQLB0SE ist auf illegalem Wege an die Daten herangekommen, diese können in einem Verfahren nicht als Beweismittel gezählt werden (davon abgesehen hat er nur geblufft). Allerdings raten wir jedem, der sein WF Loginpasswort noch anderweitig verwendet hat, dieses auf den entsprechenden Seiten zu ändern, denn hier müssen wir ein großes Geständnis machen: Ja, wir haben Passwörter teilweise plain abgespeichert (weshalb er sich auch ohne weiteres mit dem Adminaccount einloggen konnte). Hierfür gibt es eigentlich kaum eine Entschuldigung, wir haben uns mehr oder minder durch die häufigen Hackerversuche in der Vergangenheit dazu gezwungen gefühlt. Als direkte Folge haben wir uns überlegt, eine neue Richtung einzuschlagen und WarezFusion in Zukunft als OpenSource-Projekt weiterzuführen. Das ganze hat demnach auch etwas Gutes und bringt neuen Aufwind für WF: neuer Server (kein nginx), neues Script und eine neue Mentalität, die das Projekt in eine noch tiefere Ebene der Transparenz bringt. Wer sich mit fremden Federn Schmückt... Doch nicht nur für WF, sondern auch für SQLB0SE, hatte der Vorfall seine Konsequenzen. Für ihn jedoch weitaus unerfreulichere. Er hat seine gerechte Strafe für den angeblichen "Hack" mit anschließender Erpressung in ca. 13000 Fällen bekommen. An dieser Stelle sei noch einmal gesagt, dass Russian-Elite damit nicht zu tun hatte, SQLB0SE hat auf eigene Faust gehandelt und muss deshalb auch alleine mit den Konsequenzen zu Recht kommen. Und was jetzt? Was genau die Zukunft bringen wird, ist noch unklar. Fakt ist jedoch, dass wir weiter machen werden. Die letzten 5 Jahren sollen nicht umsonst gewesen sein und falls es irgendwann einmal in ferner Zukunft enden sollte, dann bestimmt nicht so! Da wir das alte Script und die Datenbank keinem mehr zumuten wollten, haben wir uns zunächst dafür entschieden, ein Übergangsscript zu schreiben (deshalb hat es auch so lange gedauert), welches ihr ab heute benutzen könnt. Das einzige „Relikt“ aus dem alten WF, sind die Downloads. Alle restlichen Tabellen/Daten wurden nicht mit auf den neuen Server transferiert. Somit sind zunächst die grundlegenden Bedürfnisse gestillt. Infos für alle Uploader, wie ihr wo eintragen könnt, gibt es hier. Nun wird nach und nach ein neues Script entstehen. Es wird wieder einen geschlossenen Bereich für Mitglieder geben, mit einem Forum, einer Wunschbox, News aus der Scene usw. Doch alles braucht seine Zeit. So Far
Also doch: Es wurde PWs unverschlüsselt gespeichert!
Gut mit dem Schlimmsten hat wohl jeder gerechnet. Aber die Sache mit SQLB0SE freut mich. Zumindest, wenn man die Andeutung mit der „gerechten Strafe“ auf das juristische auswälzen kann. Zum einen, weil es einfach lame ist, eine offene Lücke auszunutzen (wobei ich eher glaube, dass er einfach nur das PW von Gabel genommen hat, da es ja nicht verschlüsselt gespeichert war. Wer den Thread nicht kennt, findet ihn hier noch einmal:
Quelle: Scenepirat.ws) und zum anderen, weil es WF einfach nicht verdient hat. Ich selbst habe sehr gerne die News von WF gelesen und auch hier oft verlinkt.
Gut, das Script sah und sieht ein wenig plain aus, aber das ist ja nicht der Faktor! 😉
Jeder, der einmal über 5h die Shoutbox verfolgt hat, weiß, dass es bei WF einen sehr offenen und freundlichen Umgang in der Community gab.
Nunja, ich werde wieder die internen News verfolgen – keine Frage! Selten so gute Auswahl der News gefunden, Quellen gibt es viele, auch viele die ich regelmäßig lese, wie. z.B: die in der Lounge. Aber die Auswahl war bei WF immernoch am besten, sry 😛
Schau’mer mal! 🙂
kill0rz