PDA

View Full Version : Unsafe Torrent Network



Rebound
28.01.16, 17:58
Tracker: Torrent Network
Sources: TB-Source 09 (https://tntracker.org); selfcoded Java-based-Tracker (https://beta.tntracker.org)

Es gibt immer noch einen Haufen Tracker, die ich noch nicht geprüft habe. Heute widme ich mich mal dem Torrent Network. Der Tracker gehört mittlerweile zu den Ältesten und auch dort sind schon einige SysOp-Generationen durchgebracht worden. Wie es bei dem Tracker um die Sicherheit bestellt ist, habe ich mir mal genauer angesehen.

Serversicherheit

MySQL: 5.0.12
Webserver: nginx (3 zusätzliche)
Mail: Postfix
SSH: OpenSSH 5.3

Abgesehen vom http/s Dienst an den Standardports stehen noch drei weitere an höheren Ports bereit. Es findet sich auch ein Postfix und ein altes SSH was auf eine ähnlich alte Version des Betriebssystems schließen lässt.
Eine Firewall war nicht festzustellen. Sollte eine solche existieren, ist sie ziemlich nutzlos. Eine über zehn Jahre alte MySQL Version ist zwar grundsätzlich keine Sicherheitslücke, aber allein wegen dem Performancezugewinn wäre ein Update wünschenswert.

Trackersicherheit

Torrent Network scheint es mit der Sicherheit nicht so genau zu nehmen und hat gleich zwei Tracker parallel laufen, die die selbe Datenbank benutzen. Dies ist aus mehreren Aspekten eine sehr schlechte Idee. Zum einen gibt es eine unnötige Doppelbelastung des Servers (insbesondere der Datenbank), zum anderen gibt es so natürlich auch doppelte Angriffsfläche für einen möglichen Angreifer. Es laufen einmal eine etwas in die Jahre gekommene TB-Source und dann ein offenkundig selbst geschriebener Tracker, der auf Java(script) basiert. Besonders spannend bei diesem Java-Frontend: Man kann ohne überhaupt eingeloggt zu sein die Seitenstruktur und somit Inhalte, die erst nach dem Login sichtbar sein sollten, sehen.
Kommen wir zum sensiblen Teil dieser Kategorie, den Sicherheitslücken. Wie bereits angesprochen sind zwei Plattformen als Angriffsziel natürlich für einen potenziellen Hacker wie eine Einladung auf dem Silbertablett. Es war zwar nicht so einfach, aber es ist mir wieder einmal gelungen Zugriff auf die Datenbank und sämtliche Teile des Trackers zu erlangen.
Ich habe mich dieses mal wieder für ein paar Screens von einem Sys0p Account entschieden, weil Tabellen mit Daten aus der Datenbank doch etwas trocken sind auf Dauer. Hier jetzt also ein paar interne Screenshots (TB-Source):

Stafftools
http://www.sb-innovation.de/attachment.php?attachmentid=16301
http://www.sb-innovation.de/attachment.php?attachmentid=16302

MySQL Stats
http://www.sb-innovation.de/attachment.php?attachmentid=16300

Uploader Stats
http://www.sb-innovation.de/attachment.php?attachmentid=16303

Doppelaccounts
http://www.sb-innovation.de/attachment.php?attachmentid=16304

Auszug aus der Usertabelle


added
class
email
secret
passkey
username
passhash


1274528211
0
sysop1@web.de
!7}Vu
875d36cbd2cc7015720e4098fd5d6984
Holzfuß
85f1e507c4bc99c21f49df6e8d56bad7


1274566999
70
dennisporth@hotmail.de
|A^bO
261e07e5559e1646c7eef0bbe16c9d2f
TOMTOM
45cb79d8a49f73c5adcec4e3d63b7180


1275307293
1
meisterpropper1962@hotmail.de
KPdj;
4ffd1c8165c66e28b3feecd2c1dbfd2d
Meisterpropper
a9b569d5c26780b174e4c8d91e45b0ab


1275483911
18
freemanelectric@googlemail.com
P7]mW
69b88d582bdb6d144050e22280d505e9
Chakka
be807691ac2efe8437dbc970f78a6e54


1275585770
18
borsti091A84@hotmail.de
FI&ap
d4475b6a948011bcb182ad45d31d49dc
WurstPelle
cb7e5a53d72644e4082489364a485ae7


1275860791
18
96jackbauer@gmail.com
V[c+!
7cfab9414b5739c1bdf05afd18093c04
jackbauer
1737ba9dc2c10bdbf7ac797ba219d780


1275860851
70
soundmix-dj@hotmail.com
>kJ''
d8e77773d3a21eafcbf9d17b0ce6185f
SoundmixDJ
2aaa8208a9fbda39f2b99e90674dbcf5


1275933665
1
horst66@hotmail.de
Q8CZa
0c6b79d57b71209b544404ead36e1ce3
Gartenzwerg
37669d24bd140c528ea386329168adf5


1275942558
1
red.-.bull@arcor.de
yV3aM
22f5b07b2d46a2fd3af6fce98a899212
jason
a39566165fe3528764126ec736cccf05


1275947749
40
rockklz@freenet.de
'z)Gc
f149085edb1c419da52d247b4d8dc66e
ZoRo
431f248bcddc5eb816e089bf862d7822


1275981241
20
edd186@gmx.de
3}0<+
57f6673e25e1f83ffcae15b424f4d72a
Edd186
28930e81c947897c57ac7d79c7dff700


1276104098
1
darthvader-rls@web.de
.FXhR
9e3be93144f8fa83a6ef7e013b37a740
Pennywise
33d0c688182c00a89e0a49b1d983c02c


1277810527
0
d.dexter@atas.cz
U(5i{
1d30b0aefdf89dc21d0a4a8a9251c4b1
Geronimo
eed2c74334c54f2b18094f0781840439


1277821853
1
chesterbenningtoon@googlemail.com
jzu8w
5838adf8d7e8501f841464cc9a9fe53f
Ammari
f95b35a66d80f816a909a48643e812c4


1275942558
1
red.-.bull@arcor.de
yV3aM
22f5b07b2d46a2fd3af6fce98a899212
jason
a39566165fe3528764126ec736cccf05


1277883492
1
no99@gmx-topmail.de
['Hnz
006085e2b456b63106486bd84f095c7e
fatfred
47a4234c1e705681bb04ed352a3c38b1


1277897764
1
anobody1@web.de
P2Q"H
dff921a516c15d8783c3a3eb7e0a5af9
gitta
092ee59ec86aee5d2b67e999a4ba3572



Fazit

Der Weggang von Cloudflare hat mir natürlich in die Hände gespielt und gleichzeitig offengelegt, dass die Betreiber mehr Zeit in Wartung und Konfiguration des Servers stecken sollten. Bedenkt man den modernen aber fraglichen Ansatz der neuen Java-basierten Seite, stellt sich die Frage, ob die Betreiber ihre Bemühungen an den richtigen Stellen investieren. Man sollte sich für eine Source entscheiden und nicht auf zwei Hochzeiten gleichzeitig tanzen. Die TB-Source als Basis ist nicht die aller schlechteste und kommt in Deutschland auch selten zum Einsatz. Als Endbenutzer würde ich mich allerdings nach Alternativen umsehen, der Java-Tracker war nämlich offenkundig ein Griff ins Klo. Dazu die angebliche Sperre von Cloudflare, sollte sämtliche Alarmglocken klingeln lassen. Die Höhe der Bitcoin Spenden kann man übrigens hier einsehen: https://blockchain.info/address/1AqZSEPbo9UqtX59nRzcVEzTrn3ySNnQnS


http://www.sb-innovation.de/attachment.php?attachmentid=15436

an0nymous
30.01.16, 01:56
Statement zu dem hack:
http://abload.de/img/unbenannt4kpl52yjtc.png

Rebound
30.01.16, 17:56
Lobenswert ist die schnelle Reaktion. Die Loginsession an die IP-Adresse zu binden, ist jedenfalls der Schritt in die richtige Richtung. Allerdings unterschätzt der Sys0p wohl irgendwie die Tragweite einer solchen Attacke, daher werde ich jetzt mal nachlegen. Im nächsten Newsabschnitt wurde leider wieder völlig versagt:


Die Datenbank wurde sehr sicher nicht kompromittiert, was vorallem durch falsche Informationen zur DB vom "Angreifer" bestätigt wurde.
Also ich kann mich nicht daran erinnern, dass ich irgendwas bestätigt habe.

Folgend ein Mitschnitt aus dem TN IRC der mir zugespielt wurden.

(+netw0rx) ergo hat er nun die tn db ^ ^
(~Cazeri)unwahrscheinlich das er die hat, er war zu 99.999% nich in der db selbst sonst wüsste er die richtige db version ;)
Mit den verbleibenden 0.001 % werde ich exemplarisch also mal ein paar Daten veröffentlichen müssen, scheinbar halten die Herren das für einen Spaß.

Ein paar Datensätze aus der Usertabelle. Datenbank heißt übrigens "project-napalm". Schon irgendwie eine Ironie des Schicksals, wenn so leicht alles in Flammen aufgehen kann.


added
class
email
secret
passkey
username
passhash


1274528211
0
sysop1@web.de
!7}Vu
875d36cbd2cc7015720e4098fd5d6984
Holzfuß
85f1e507c4bc99c21f49df6e8d56bad7


1274566999
70
dennisporth@hotmail.de
|A^bO
261e07e5559e1646c7eef0bbe16c9d2f
TOMTOM
45cb79d8a49f73c5adcec4e3d63b7180


1275307293
1
meisterpropper1962@hotmail.de
KPdj;
4ffd1c8165c66e28b3feecd2c1dbfd2d
Meisterpropper
a9b569d5c26780b174e4c8d91e45b0ab


1275483911
18
freemanelectric@googlemail.com
P7]mW
69b88d582bdb6d144050e22280d505e9
Chakka
be807691ac2efe8437dbc970f78a6e54


1275585770
18
borsti091A84@hotmail.de
FI&ap
d4475b6a948011bcb182ad45d31d49dc
WurstPelle
cb7e5a53d72644e4082489364a485ae7


1275860791
18
96jackbauer@gmail.com
V[c+!
7cfab9414b5739c1bdf05afd18093c04
jackbauer
1737ba9dc2c10bdbf7ac797ba219d780


1275860851
70
soundmix-dj@hotmail.com
>kJ''
d8e77773d3a21eafcbf9d17b0ce6185f
SoundmixDJ
2aaa8208a9fbda39f2b99e90674dbcf5


1275933665
1
horst66@hotmail.de
Q8CZa
0c6b79d57b71209b544404ead36e1ce3
Gartenzwerg
37669d24bd140c528ea386329168adf5


1275942558
1
red.-.bull@arcor.de
yV3aM
22f5b07b2d46a2fd3af6fce98a899212
jason
a39566165fe3528764126ec736cccf05


1275947749
40
rockklz@freenet.de
'z)Gc
f149085edb1c419da52d247b4d8dc66e
ZoRo
431f248bcddc5eb816e089bf862d7822


1275981241
20
edd186@gmx.de
3}0<+
57f6673e25e1f83ffcae15b424f4d72a
Edd186
28930e81c947897c57ac7d79c7dff700


1276104098
1
darthvader-rls@web.de
.FXhR
9e3be93144f8fa83a6ef7e013b37a740
Pennywise
33d0c688182c00a89e0a49b1d983c02c


1277810527
0
d.dexter@atas.cz
U(5i{
1d30b0aefdf89dc21d0a4a8a9251c4b1
Geronimo
eed2c74334c54f2b18094f0781840439


1277821853
1
chesterbenningtoon@googlemail.com
jzu8w
5838adf8d7e8501f841464cc9a9fe53f
Ammari
f95b35a66d80f816a909a48643e812c4


1275942558
1
red.-.bull@arcor.de
yV3aM
22f5b07b2d46a2fd3af6fce98a899212
jason
a39566165fe3528764126ec736cccf05


1277883492
1
no99@gmx-topmail.de
['Hnz
006085e2b456b63106486bd84f095c7e
fatfred
47a4234c1e705681bb04ed352a3c38b1


1277897764
1
anobody1@web.de
P2Q"H
dff921a516c15d8783c3a3eb7e0a5af9
gitta
092ee59ec86aee5d2b67e999a4ba3572



Ich habe absichtlich nichts zensiert, mich braucht auch niemand anschreiben, ich werde es nicht tun. Wer in der Liste steht, kann sich direkt beim verantwortlichen Sysop Cazeri bedanken. Nächstes mal kommen vielleicht ein paar IPs oder Private Nachrichten. :P
Die Passkeys eignen sich übrigens wunderbar zum Schwarzleechen, aber vorher die IP wechseln. ;)

RFT
30.01.16, 18:54
Mal schauen ob es auch Spaß macht, Anzeigen wegen Verstoß gegen das Bundesdatenschutzgesetz zu kassieren. Denn hier werden private Email-Adressen ohne die Zustimmung der Betroffenen veröffentlicht.

v6ph1
30.01.16, 19:32
Mal schauen ob es auch Spaß macht, Anzeigen wegen Verstoß gegen das Bundesdatenschutzgesetz zu kassieren. Denn hier werden private Email-Adressen ohne die Zustimmung der Betroffenen veröffentlicht.
Die Veröffentlichung hat genau genommen der Trackerbetreiber zu verantworten.
Mail-Adressen sind ohne Zuordnungstabelle der Mail-Provider (fast) nie einer natürlichen Person zuzuordnen, sodass man (analog zu IP-Adressen) die Schutzfähigkeit in Frage stellen kann.

Nebenbei müssten die Admins den Hack auch nach dem IT-Sicherheitsgesetz auch melden.

Für Rebound am schlimmsten dürfte aber die Urheberrechtsverletzung durch die Kopie des "Datenbankwerkes" Nutzertabelle sein. ;)

-- v6ph1

PS: den 2. Eintrag der Tabelle würde ich aus Datenschutzgründen weglassen.
Ebenso könnte ein Bild dem Missbrauch etwas vorbeugen.

Snitlev
30.01.16, 19:36
Also beides ist nicht legal, weder eine Plattform für Filesharing, noch ein Verstoß gegen das D
Bundesdatenschutzgesetz.

Was soll man daraus schließen, kein Kläger kein Richter, es sei denn man versucht dieser Situation mit einer Selbstanzeige zuvor zu kommen ;)

mfg

sone
30.01.16, 19:41
Ich finds ja voll ok zu provozieren und den leuten auch zu zeigen, dass hier was schiefläuft.

Aber rebound das hier geht zu weit:

Du sagst du machst das FÜR die User, damit die wissen, wo sie sicher unterwegs, bzw. wo besser nicht und dan veröffentlichst du EMails der Nutzer, die hier absolut nix dafür können ...

Sorry aber muss das sein!?

Rebound
31.01.16, 01:23
Sorry aber muss das sein!?

Es gibt keine andere Möglichkeit wenn der Verantwortliche nach einer solchen Aktion auch noch versucht alles herunterzuspielen. Hier ist jemand am Werk, der von einfachsten Sicherheitsstandards offenbar keine Ahnung hat und das ist extrem gefährlich. Das ist eine Gefahr für alle die dort einen Account haben und das werde ich nicht einfach ignorieren. Eine komplette Datenbank habe ich (noch) nie veröffentlicht und werde ich auch hoffentlich niemals machen müssen. Die Reaktion erinnert mich ein bisschen an die Leute vom TSC-Tracker, da haben sie sich auch ganz schön ins eigene Bein geschossen.

Ich verstehe natürlich den Unmut von den Usern die dort einen Account haben, aber wieso lasst ihr euch denn öffentlich belügen? Wenn sensible Daten an die Öffentlichkeit gelangen, ist es das Recht eines jeden Einzelnen die Wahrheit zu erfahren. Wenn das einzige was den TN Leuten einfällt die Drohung einer Anzeige ist, sollte sich jeder Benutzer der dort einen Account hat ernsthaft überlegen, ob es das Wert ist bzw. ob es sicher ist dort überhaupt urheberrechtlich geschütztes Material zu sharen.
Für sachliche Diskussionen bin ich immer zu haben, Emotionen und Beleidigungen haben hier nichts verloren. Jeder Sysop hat die Wahl wie man mit einer solchen Sache umgeht und die meisten haben das auch vernünftig gelöst in der Vergangenheit. Hier hat man leider fast alles falsch gemacht.

Instab
31.01.16, 02:12
"master of desaster", recht passender benutzertitel des sysops :P

blingbl
31.01.16, 11:47
Rebound, solltest du zur Begründung (der Veröffentlichung) nicht einfach schreiben: "Ich brauch das für mein Ego"?

Sonst würde ja keiner merken was fürn toller Hecht du bist.

Gruß

cyberwarrior
31.01.16, 12:56
Hi,

ich finde die Aktion selbst gut. Es ist immer schwierig sich zwischen White und Black Hat zu positionieren. Ob Rebound damit zu weit gegangen ist oder nicht, kann jeder für sich entscheiden. Wenn Rebound das als sinnvolle Reaktion erachtet, dann ist es seine Entscheidung. Sicherheitslücken aufdecken ist gut und sollten auch weiterhin gesucht und veröffentlicht werden.
Dass bei Veröffentlichungen solcher Missstände sich eine Gruppe oder Person in der Vordergrund spielt war schon immer so. Ob dies nun mit dem Ego zu tun hat, wage ich zu bezweifeln. Da Rebound auch gut gesicherte Tracker zeigt und hervor hebt. Es lässt sich auch schwer solch Informationen anonym veröffentlichen, da dann sehr schnell die Erkenntnisse als Fake abgetan werden. Damit ist nun wirklich niemand geholfen.
Das einzige kritische in dem Beitrag ist für mich, dass dort ein Benutzer mit einer Email auftaucht, welche wahrscheinlich seinen Klarnamen enthält. Das ist grenzwertig. Es mag wachrütteln, aber der Benutzer kann nichts dafür. Denn steckt man nicht so tief in der Materie, muss man dem Trackerbetreiber so lange vertrauen, bis es zu einem Leak kommt. In dem Fall könnte Rebound etwas Rücksicht nehmen und den Benutzer schützen, in dem er wenigstens die Email teilweise zensiert hätte.

Greetz cyberwarrior

elcid
31.01.16, 17:12
Wie man sieht, gehört der Account einem der SysOps - sollte das ein Klarname sein, stützt das ja nur die bis jetzt an den Tag gelegte Professionalität.
Die Kritik am Vorgehen kann ich nicht wirklich verstehen, schließlich ist Rebound nicht zwingend der Erste und Einzige, der die Lücke genutzt haben muss und somit können die Daten schon viel früher entwendet und getradet oder sonstwie missbraucht worden sein. Mit dem Unterschied, dass Rebound auf den Missstand aufmerksam gemacht hat. Dass es zum proof mit Auszügen der DB gekommen ist, ist ja einzig und allein das Verschulden des Sysops und an Dreistheit und Naivität kaum noch zu überbieten. Wenn es nach ihm ginge, hätten die eigenen User schließlich nie erfahren, dass ihre Daten entwendet worden sind und das geht einfach gar nicht.

Hush
31.01.16, 17:18
Das ist grenzwertig. Es mag wachrütteln, aber der Benutzer kann nichts dafür

grenzwertig? rl email für die registrierung bei nem BT tracker verwenden? da würden mir noch andere ausdrücke einfallen...

kann der benutzer was dafür? klar, wer sonst? er soll lieber froh sein, dass rebound auf dieses "suboptimale verhalten" aufmerksam gemacht hat und keiner mit schlechten absichten?

Darkman1965
31.01.16, 17:26
Ich würde eher sagen """" wie schlecht die anderen sind """" das würde es eher treffen. Immerhin haben die Betreiber eines Trackers ( oder besser Sie sollten es haben) ein bisschen Veantwortung bezüglich ihrer User die sich auf dem Tracker gereggt haben..


Rebound, solltest du zur Begründung (der Veröffentlichung) nicht einfach schreiben: "Ich brauch das für mein Ego"?

Sonst würde ja keiner merken was fürn toller Hecht du bist.

Gruß

dasH
01.02.16, 15:15
Sysops vereinigt euch und schlagt gegen diesen schwarzen Ego-Ritter zurück!

TSC hat schlechter reagiert und wurde nicht so bestraft.
Die Teammitglieder so zu gefährden führt vielleicht dazu, dass sie ihre Tätigkeiten einstellen. Das Ziel sollte sein den Verantwortlichen mit etwas Druck zum Handeln zu bewegen. Nicht für Zwist und Unsachlichkeit zu sorgen!

uk501
01.02.16, 23:08
der sinn eines "hackes" ist das man lücken im sytsem aufzeigt damit diese behoben werden

diese lücken sollte man den team dann in der oben gezeigten form darlegen.
und zwar INTERN und nicht öffentlich. und wenn man cool ist und kein egomane dann hilft man sogar beim schliessen der lücken.

ich weiss das es nicht immer einfach ist , bin selber schon von 3 trackern geflogen nachdem ich ihnen ihre lücken aufgezeigt habe, aber deshalb fahr ich nicht den egotrip und mach die lücken öffentlich

und das vor allen nicht wenn es sich um Torrent Tracker handelt.

wenn man eine normale webseite so offenlegt welche legalen content hat ist das was anderes (und dann auch ohne private daten), aber doch nicht bei trackern

die trackerwelt ist eh sehr klein geworden und ich muss sagen das ich auch diese art von forum hier das letzte finde, hier werden reviews veröffentlicht, ob die tracker owner das wollen oder nicht. wer sich hier gerne sehen möchte kann dieses ja eintragen , aber gegen den willen der tracker owner finde ich das ein armutszeugnis... noch schlimmer finde ich es dann selbst die reviews nicht gelöscht wenn tracker die sich hier nicht sehen wollen dazu extra anfragen

selbst wenn tracker sicher wären... ist eine solche offenlegung mit url eine vorsätzliche gefährdung des trackers und der user. da ist es schon SCHEINHEILIG zu behaupten diese SECURITY reviews im dienste der user machen.

Die user werden duch diese "öffentlichkeits arbeit" noch mehr gefährdet,den so rücken die tracker noch mehr in die öffentlichkeit, was sie nicht wollen.

jeder mag da seine eigene meinung zu haben, meine ist halt diese

bei dieser aktion, im gegenteil zu anderen finde ich besonders schlimm, das hier mit absicht der tracker ein zweitesmal reingerissen wird, obwohl man beim ersten mal schon hätte alle lücken aufzeigen können, damit diese auch sofort gefixed werden, aber nein man wartet scheinheilig die reaktion des trackers ab, wohl wissend das man noch mehr hat und dann noch einen drauf legen kann, damit man ein noch tollerer hecht ist

naja jedem das seine, jedem das seine.

Rebound
01.02.16, 23:28
Was ist mit dir denn nicht richtig? Postest hier im Forum seit Jahren internes Material und Infos von Trackern und auf einmal findest du es nicht mehr in Ordnung? Scheinheiliger geht's ja wohl nicht. :P
Sag doch einfach dass du Angst hast, dass bei dem nächsten Leak deine Daten dabei sind. Schreib mich einfach vorher an, dann lass ich deine Zeile aus. :D

Noch mal zum Mitmeißeln für die Allgemeinheit: Das Ursprungsreview hat keinerlei sensible Daten enthalten. Wie man den Screens entnehmen kann habe ich absichtlich IP-Adressen und Emails zensiert. Die Tabelle mit den Nutzerdaten ist nur im Netz gelandet, weil der Sysop bei der Aktion noch seine User bescheißt/belügt und das ganze für einen Witz hält. Wenn ich es nötig gehabt hätte mein Ego damit zu pushen, hätte ich den ganzen Tracker platt gemacht und keinen einzigen Torrent übrig gelassen.

Also heult euch bei eurem Sysop aus und nicht hier. Ab jetzt werde ich alle nutzlosen und unsachlichen Beiträge gnadenlos entfernen, das ist mir echt zu dumm. Ich habe meinen Job erledigt, jetzt muss TN seinen machen.

dasH
02.02.16, 03:02
Weil du mit Kritik nicht leben kannst, löschst du meinen Beitrag?

TN wird gefickt, nachdem wirklich was getan wurde. TSC... ach das solltest du auch wissen.
Scheinheilig.
Du machst die kleine Tracker-Szene noch kleiner, indem du Mods diskreditierst.
Das mit den Sysops ist mir egal.
So jetzt haste es gelesen, kannste gern auch wieder löschen. Das war dann mein letztes Wort.
Ich freue mich auf neue Sec Reviews mit mehr Verantwortung.

Rebound
04.02.16, 22:19
Ein Update im "Fall Torrent Network".

Etwa eine Woche ist jetzt vergangen und bis auf die Änderung im Loginverfahren ist nichts geschehen. Die Lücken bestehen nach wie vor, wodurch es einem potentiellen Angreifer gelingen wird in die Datenbank zu kommen und beliebige Daten abzuzweigen. Daraus muss ich leider schließen, dass der Sysop weder seine Source kennt, noch technisch überhaupt die Fähigkeit besitzt die Lücken ausfindig zu machen und zu schließen. Das ist leider ziemlich alamierend und verändert das negative Bild des Trackers auch nicht.
Von meinem veröffentlichten Datensatz hat es gerade mal ein Benutzer geschafft seine Email zu ändern und Passkeys wurden auch so gut wie nicht geändert. Gut, nützt sowieso nichts wenn ich mir jederzeit die neuen Daten besorgen kann.

Sowas habe ich bei all meinen Security-Reviews wirklich noch nie erlebt. Eine schlechte Informationspolitik den Usern gegenüber und dann werden auch noch nicht mal die Sicherheitslücken beseitigt. Das ohnehin schon sehr schlechte Image der deutschen Tracker wird dadurch natürlich zusätzlich beschädigt, aber das scheint die Verantwortlichen nicht im geringsten zu interessieren.

Rebound
05.02.16, 23:10
Kleiner Fun-Fact am Rande: Der Sysop Datensatz aus der Usertabelle mit dem Usernamen "TOMTOM" existiert nicht mehr. :P Was das heißt kann man sich leicht zusammenreimen.

Sophie
14.02.16, 12:42
Mir wurde vom TN Team versichert das keine User Daten betroffen waren
und die DB nicht gehackt wurde.
Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
wurden.
Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.

Snitlev
14.02.16, 15:06
Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.

Wirklich nicht, oder bist du einfach nur naiv?

Wenn sie bestättigen würden was @Rebound hier geäussert hat, wäre es sicherlich ein Armutszeugnis, also was sollten sie anders tun ausser die User zu beruhigen.

Letztendlich stehen halt immer Aussagen (bzw. Fact's von @Rebound) gegenüber was? Nur Aussagen, oder haben sie etwa andere belegbare Fakten?

Davon ab, will @Rebound niemanden anscheißen oder anschwärzen, sondern wie schon etliche Male von ihm geäussert, nur auf die Sicherheitslücken hinweisen um die dortigen User darauf aufmerksam zu machen, wie sie letztendlich damit umgehen liegt ja bei Ihnen oder auch an der Stellungsnahme der verantwortlichen Staff mit ihren Usern...

mfg

Rebound
14.02.16, 20:16
Mir wurde vom TN Team versichert das keine User Daten betroffen waren
und die DB nicht gehackt wurde.
Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
wurden.
Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.

Du glaubst wahrscheinlich auch noch an den Weihnachtsmann. :SC12:

Instab
15.02.16, 06:08
Mir wurde vom TN Team versichert das keine User Daten betroffen waren
und die DB nicht gehackt wurde.
Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
wurden.
also entweder sind die herren von TN ziemlich dreist oder ziemlich dumm. beide fälle sind gleichermaßen schlecht und zwar primär für die mitglieder.
wenn man mit einfachen und allseits bekannten mitteln die komplette datenbank sowohl einsehen als auch bearbeiten kann ist das für jede webseite alarmstufe rot. in so einem fall gilt es für jeden auch nur halbwegs verantwortungsbewußten betreiber mit allen mitteln das loch zu beseitigen und das vertrauen der mitglieder durch transparenz und ehrlichkeit wiederzugewinnen.

BTFlux
15.02.16, 17:59
Mir wurde vom TN Team versichert das keine User Daten betroffen waren
und die DB nicht gehackt wurde.
Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
wurden.
Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.

und warum wird dann vom team ein passkey-reset empfohlen?
zähle doch einfach 1+1 zusammen und sei nicht so naiv!

Darkman1965
15.02.16, 18:48
Oh je oh je das grenzt schon an Naivität hoch zehn was soll man dazu noch sagen :rolling_eyes:


Mir wurde vom TN Team versichert das keine User Daten betroffen waren
und die DB nicht gehackt wurde.
Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
wurden.
Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.

Nachten
16.02.16, 20:20
falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
wurden.


Ich habe mir jetzt echt lange überlegt, ob ich zu dieser Diskussion was beitrage oder nicht. Das wäre für mich eher gesagt noch der schlimmste Supergau wenn ein Teammitglied Daten als Leak rausgeben würde.

ludacriss
16.03.16, 02:23
Leute Rebound Macht sich Strafbar in dem er Seiten Hackt Beispiel !
Rebound Prüft jetzt sagen wird Gods Dadurch das er das Sicherheitssystem durchbricht Begeht Eine Straftat kenne mich aus damit saß selber deswegen. Eineinhalb Jahre im Knast als Rebound Sei Vorsichtig die Betreiber können sagen du hast ihr Forum gehackt wo sensible Daten sind und somit bist du der jenige der in denn Knast geht wie ich damals.

Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Großmutter
16.03.16, 22:02
Kann mir nicht vorstellen,das irgendein Trackerbetreiber die Stadtsanwaltschaft holt weil ihn jemand gehackt hat.
Oder? :stupid:
Ist als wenn ein Drogendieler zur Polizei geht und sagt ,irgend jemand hat meinen Stoff geklaut.

Daden
16.03.16, 23:53
:klatsch_3: da hat Großmutter wohl recht .

Xerxes
02.04.16, 14:36
Hab lange überlegt ob ich vll. auch mal meinen Senf dazu gebe bzw. mich dazu äussere und hab mich für "NEIN" entschieden :biggrin:

Drumpipe
02.04.16, 16:02
Endlich mal ein sinnvoller Kommentar...

Daden
04.06.17, 10:33
Gibts was neues hier zum thema sicherheit ? Ich bin schon lange da angemeldet aber seit dem test traue ich mich nix mehr zuladen :rolling_eyes:

Freak69
04.06.17, 18:28
Mich würde ehrlich gesagt die neue "Final" Source Interessieren. Ob die nun aufgrund Java noch mehr lücken vorweist oder ob die Lücken vermehrt wurden. :biggrin:

xJ9_
07.06.17, 15:44
"Final" Source

Soweit ich das mitbekommen habe, ist die Source noch nicht Final?

pombaer
07.06.17, 22:40
Soweit ich das mitbekommen habe, ist die Source noch nicht Final?Final ist sie ganz und garnicht, aber man bekommt sie seit neuesten aufgezwungen, was diesen Tracker in den größten Misthaufen verwandelt :(

Jackson312
08.06.17, 02:04
Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird ;)

Rebound
08.06.17, 18:10
Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird ;)

Wieso sollte man die benutzen wenn die Scheiße ist und es eine vernünftige Alternative gibt? Das war doch von Anfang an absehbar, dass das mit der neuen Java-Source in die Hose geht. Ich kann mich an eine Umfrage erinnern, wo die neue Source sehr schlecht weg gekommen ist und es haben sich bis heute auch immer wieder viele User darüber beschwert. Der Coder hat da von Anfang an einfach nur "sein Ding" durchgezogen und was die User wollen war ihm scheißegal. Jetzt hat man eine Source die kein Stück performant ist und ohne Ende Overhead hat. Hätte man sich auch nur ein Stück für die User interessiert, hätte man frühzeitig erkannt, dass es in die falsche Richtung geht.

Jetzt zu sagen, dass man ja Zeit gehabt hätte sich zu gewöhnen, ist fast ein bisschen unverschämt. Glücklicherweise gibt es noch TS und (hoffentlich bald wieder) BTF, dann muss man sich diesen Schrott nicht länger angucken. :P

pombaer
09.06.17, 16:40
Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird ;)
Beta einmal getestet, als MEGA Scheisshaufen empfunden, wieder zur NV Source gewechselt und gehofft, dass der Tag X nicht kommen wird (oder der Coder sieht wie müllig das doch geworden ist). Habe damals auch schon konstruktives Feedback gegeben, was nicht einmal dem Team eine Antwort wert war.

Wie Rebound schon sagt kann ich so fanboi gesabbel , nach dem Motto "es war lange genug zeit" echt nicht brauchen.
Nicht mal die Styles sind ausgereift. Suche kaum bedienbar. Frisst CPU wie hölle. Ein Security Review von Rebound wäre allemal interessant. Ne danke.
Account werde ich bis auf weiteres auf eis legen, wenn ich eine alternative gefunden habe. Beschissenerweise ist ja auch noch BTF weggefallen...

Plex86
09.06.17, 18:05
Leider aber nicht vom TS da habe ich nur noch meinen Usernamen(wenn man das an dieser stelle fragen darf).

Hallo pombaer,

geh auf deren HP (torrent-syndikat.org) und wende dich dort an den IRC da reichen ein paar Daten aus wie zb. dein Benutzername.

Jackson312
09.06.17, 19:04
Das du da keine Antwort bekommen hattest tut mir leid pombaer.
aber die alte war tbdev und nicht nv source ;)

Freak69
11.06.17, 16:47
Soweit ich das mitbekommen habe, ist die Source noch nicht Final?

Deshalb auch "Final" - dass die Source weit von Final ist, merke ich selbst, deshalb nutze ich den Tracker nicht mehr.


Soweit ich das mitbekommen habe, ist die Source noch nicht Final?

Nie und nimmer, sowas den Usern unter die Nase zu reiben, ist für mich absolut nicht nachvollziehbar.


Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird ;)

Da ist genau der Punkt, sie lief nebenher und User konnte sich freiwillig anschauen und wurde nicht einfach aufgedrückt. Es riecht meiner Meinung nach etwas nach Arroganz, mit diesem Kommentar.


Wieso sollte man die benutzen wenn die Scheiße ist und es eine vernünftige Alternative gibt?

Du bringst es genau auf den Punkt!


Beta einmal getestet, als MEGA Scheisshaufen empfunden, wieder zur NV Source gewechselt und gehofft, dass der Tag X nicht kommen wird (oder der Coder sieht wie müllig das doch geworden ist). [...] Wie Rebound schon sagt kann ich so fanboi gesabbel , nach dem Motto "es war lange genug zeit" echt nicht brauchen.
Nicht mal die Styles sind ausgereift. Suche kaum bedienbar. Frisst CPU wie hölle. Ein Security Review von Rebound wäre allemal interessant. Ne danke.
Account werde ich bis auf weiteres auf eis legen, wenn ich eine alternative gefunden habe. Beschissenerweise ist ja auch noch BTF weggefallen...

Ich hab auch versucht mich vier oder fünf mal mit der Java Source anzufreunden, aber die Übersicht ist war und einfach eine Katastrophe...

Jackson312
11.06.17, 17:42
War nicht arrogant von mir gemeint, sorry wenns so rüber kam

Plex86
15.06.17, 11:35
die neue Source ist wirklich Bullshit!..
da kann man drum rum reden wie man will, es ändert an der tatsache aber nichts!

HellsBells
15.06.17, 20:57
Die alte Source lief auf alle Fälle besser. Die jetzigen Ladezeiten sind im Seitenaufbau sehr hoch, finde ich. Nichtsdestotrotz einer der besten und schnellsten Tracker im Netz.

Turnschuh
16.06.17, 21:17
Die alte Source lief auf alle Fälle besser. Die jetzigen Ladezeiten sind im Seitenaufbau sehr hoch, finde ich. Nichtsdestotrotz einer der besten und schnellsten Tracker im Netz.

LOl sage ich nur dazu das soll der schnellste sein?? War er nie wird er auch nie werden. Werde jetzt keine Namen hier schreiben aber Leute die Jahre lang dabei sind wissen was schnell ist. Und ohne Java besser fahren.

Jackson312
16.06.17, 21:53
...................

Pirat
25.08.18, 22:29
was für ein quatsch ist das hier nun? TN hat eine neue source und es wird hier suggeriert das sie unsafe sind

Instab
26.08.18, 02:16
ein blick auf das datum des reviews hilft

Pirat
26.08.18, 07:58
dein hinweis auf das datum ist nicht hilfreich, man kann auch seriös mit der kritik umgehen und es hier klar stellen. den ersten post diesbezüglich aktualisieren

Rebound
30.04.19, 20:15
Das Review hier bezieht sich auf die alte Source, die nicht mehr verwendet wird. Da uns für die neue Source die Expertise fehlt (Java-Application), können wir für die neue Source kein Review durchführen.
Thema ist deshalb geschlossen.