Software::Web
Server-Einbruch bei phpBB
Nach einen Einbruch in die Server des phpBB-Projektes ist das Projekt derzeit nicht erreichbar. Der Einbruch wurde durch einen kompromittierten Account möglich und ist nicht auf Software-Fehler zurückzuführen.
Hans-Joachim Baader
Downtime bei phpBB.com
Direkt nach dem Erkennen des Einbruchs hat das phpBB-Projekt alle seine Server vom Netz genommen, um sie zu analysieren und neu aufzusetzen. Diese Arbeit wird voraussichtlich mehrere Tage dauern, während derer das Projekt nicht erreichbar ist. Lediglich eine einzelne Seite auf der
Homepage des Projekts informiert über die bisherigen Erkenntnisse. Wer Support benötigt oder Kontakt aufnehmen will, kann das über IRC tun.
Laut dem Team wurde der Einbruch wohl am 12. Dezember verübt und am 15. entdeckt. Die Untersuchung des Vorfalls dauert noch an. Das phpBB-Team mahnte die Benutzer unmittelbar, dass ihre Passwörter kompromittiert sein könnten. Falls sie dieselben Passwörter, die sie auf www.phpBB.com oder area51.phpBB.com benutzen, auch anderswo verwenden, sollten sie diese sofort ändern. Die privaten phpBB-Foren der Benutzer wurden laut dem phpBB-Team nicht kompromittiert.
Während das Projekt immer noch damit beschäftigt ist, die Server neu aufzusetzen und dabei die Integrität aller Daten zu prüfen, gab es ein Status-Update am 17. Dezember. Demnach geschah der Einbruch mit den kompromittierten Login-Daten eines Team-Mitglieds und nicht unter Ausnutzung etwaiger Software-Fehler. Die Download-Pakete wurden nicht geändert, so dass keine Gefahr bestand, dass Besucher infizierte Pakete heruntergeladen haben.
Die anfänglich ausgegebene Passwort-Warnung wurde dagegen bestätigt. Die Einbrecher hatten Zugriff auf alle Datenbanken, in denen auch Benutzerdaten und die verschlüsselten Passwörter stehen. Zusätzlich wurden auch alle Logins auf area51 zwischen 12. und 15. Dezember im Klartext mitgeschnitten. Dabei sollen aber keine Passwörter im Klartext aufgezeichnet worden sein. Die als kryptografischer Hash vorliegenden Passwörter sind für die Einbrecher sehr schwer zu knacken, simple Passwörter können allerdings mit Wörterbuch-Attacken durchaus in kurzer Zeit entziffert werden. Weitere Details will das Team nach der vollständigen Wiederherstellung der Server bekannt geben.
phpBB ist ein leistungsfähiges Forensystem ähnlich dem proprietären Ultimate Bulletin Board. Es besitzt umfassende Kontrollinstrumente für den Administrator und viele Konfigurationsmöglichkeiten für jeden registrierten Benutzer. Durch die vollständige Trennung von Programmlogik und Layout lässt es sich leicht an das eigene Corporate Design anpassen. Eine sehr aktive Entwicklergemeinde kümmert sich ständig um Updates, und viele Entwickler bieten Mods an, um das Produkt weiter zu verbessern.