Closed Thread
Page 9 of 13 FirstFirst ... 7891011 ... LastLast
Results 121 to 135 of 186

Thread: BitCity Reloaded (Recheck)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    BitCity Reloaded (Recheck)

    Tracker: BitCity-Reloaded
    Source: NV-Source

    "Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

    Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    SSH: OpenSSH 6.7p1 Debian 5+deb8u7
    PHP: 5.6.40-0+deb8u1
    MySQL: 5.5.62
    OpenSSL: 1.0.1t

    SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
    Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


    Trackersicherheit

    Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

    Proof

    Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

    Interne Statistiken









    PM-Spion



    Gebannte User




    Extraservice von uns für euch

    Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
    Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
    Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

    Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

    Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


    Fazit

    Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

    Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

    Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

    Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

    1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
    2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft


    Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

    Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

    Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

    tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.



    Thanks

  2. Who Said Thanks:

    JonDoe (16.09.20) , HellsBells (14.06.19) , .Pogo. (29.04.19) , unodue (07.04.19) , dom72 (29.03.19) , tesastreifen (26.03.19) , hui64 (25.03.19) , Devils_Bitch (24.03.19) , Flux (24.03.19) , Snitlev (24.03.19) , Patron (24.03.19) , Mauerwerk (23.03.19) , Turnschuh (23.03.19) , Data1 (22.03.19) , Ibot (22.03.19) , Azrael (22.03.19) , viper1978 (22.03.19) , tr0y (22.03.19) , xJ9_ (22.03.19) , DevilsCut (22.03.19) , TheLegendary (22.03.19) , zappkönig12345 (22.03.19) , 5xxxxx (22.03.19) , Freak69 (22.03.19) , FlyingHeart (22.03.19) , Jackson312 (22.03.19) , trackeropi2 (22.03.19) , hunterman (22.03.19) , Nemesis (22.03.19) , Rednesierder (22.03.19) , Violence (22.03.19) , picasa (22.03.19)

  3. #121

    Join Date
    24.06.15
    Posts
    6
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 ssssssss6
    Na ja es gibt auch andere Tracker wo viele Files sind und schnell kommen. Und gerade die neusten Sachen haben sie eh alle. Ist die fragen, ob der Preis das alles wert ist. Ich habe mich löschen lassen. Ich verzichte da lieber.
    Thanks

  4. Who Said Thanks:

    Violence (16.06.19)

  5. #122
    HellsBells's Avatar
    Join Date
    12.06.17
    Location
    Überall dabei ;)
    P2P Client
    rTorrent
    Posts
    14
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss14
    Quote Originally Posted by Dunhill View Post
    Ist die fragen, ob der Preis das alles wert ist.
    Nur weil es von hier kein "Safe" gibt, bedeutet es nicht, dass der Tracker unsicher ist. Da wurde einiges getan und es ist nicht unsicherer wie auf Trackern die das "Safe" haben auch. Das wurde mir vertrauenswürdig mitgeteilt. Im Forum steht dort auch etwas dazu.
    Übrigens bin ich nicht im Staff und auch auf anderen Trackern unterwegs. Mir gefällts dort ganz gut und es kommen überdurchschnittlich viele Files jeden Tag dort rein. Es läuft halt.
    Last edited by HellsBells; 16.06.19 at 22:14. Reason: Rechtschreibfehler
    Thanks

  6. #123
    was hat es mit dem user anzahl zu tun ? Da können auch gleich mal bei kinox.to besuchen ist auch der selber dreck
    FAKT IST BC CITY IST UNSAFE


    da sieht man alles welches dieser Mitläufer hier unterwegs sind xD
    Last edited by TheLegendary; 16.06.19 at 22:39.
    Thanks

  7. #124
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by HellsBells View Post
    Nur weil es von hier kein "Safe" gibt, bedeutet es nicht, dass der Tracker unsicher ist
    doch, genau das bedeutet es
    schau dir mal unser testergebnis an. wir hatten zugriff auf die komplette datenbank. das ist das maximum, noch schlechter kann eine seite nicht abschneiden.

    Das wurde mir vertrauenswürdig mitgeteilt
    von wem auf basis von was?
    Your account has been disabled.
    Thanks

  8. Who Said Thanks:

    Darkman1965 (20.06.19) , Nemesis (18.06.19) , Rebound (17.06.19) , waffi (17.06.19) , Violence (17.06.19)

  9. #125
    HellsBells's Avatar
    Join Date
    12.06.17
    Location
    Überall dabei ;)
    P2P Client
    rTorrent
    Posts
    14
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss14
    Vor ca 4-6 Wochen haben sie den Tracker neu aufgesetzt. Einige Optionen/Funktionen sind verändert worden, wie man das so in der Handhabung bemerkt. Der letzte Test war noch vor dem Shutdown und das Team hat beteuert, dass sie reagiert haben.

    @TheLegendary: Von dir hab ich nichts weiter als genöle erwartet. Inzwischen wurdest du ja auf mehreren Boards gesperrt, bzw gebannt, und versuchst jetzt hier dein Unwesen zu treiben. Ich bin mal gespannt wielange du dich hier zusammenreissen kannst.
    Thanks

  10. #126

    Join Date
    13.03.19
    Posts
    20
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss20
    Wieder ein Beitrag eines verblendeten Followers der den inhaltslosen Worten des BCR Teams vertraut.
    Es ist die gleiche (alte) Source, es wurde in deren Forum gepostet man habe sich testen lassen - veröffentlicht aber keinerlei Ergebnisse oder Protokolle - stattdessen lediglich ein substanzloses
    "Wir sind safe".

    Lächerlich! Es ist sehr bedauerlich das es noch genug User gibt die deren Worten blind vertrauen und
    akzeptieren, wie fahrlässig mit ihren Daten umgegangen wird.

    Vergib ihnen, denn sie wissen nicht, was sie tun.
    Last edited by Violence; 17.06.19 at 10:04.
    Thanks

  11. Who Said Thanks:

    Dunhill (17.06.19) , Rebound (17.06.19) , waffi (17.06.19)

  12. #127
    Die Lücken sind so geschlossen worden wie beim ersten Review
    Thanks

  13. Who Said Thanks:

    Instab (17.06.19)

  14. #128
    Bit-Titan Staff
    Join Date
    05.01.15
    Posts
    13
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss13
    Ich lese mit Freude die Tracker Reviews hier auf SBI mir durch,und bin echt erstaunt manchmal über die Kommentare die hier abgelassen werden,sei es über BC oder andere Tracker.............Fakt ist doch......der User ist ganz allein für sein Account verantwortlich....wenn er der Meinung ist ich bleib auf Tracker die ein Unsafe haben so ist das seine Entscheidung.......aber nööööö immer wieder wird Öl ins Feuer gegossen und die Sache wieder aufgebauscht.......laßt doch einfach die ihr ding machen....ihr müßt doch nicht auf Tracker gehen die unsafe sind.......ich find die Tracker Review die Rebound macht an sich nicht so verkehrt.......ist aber meiner Meinung nach völlig überbewertet.....ich finde auch das wer auch immer Hand anlegt und den Review auf den jeweiligen Tracker grad macht,gezielt auf die offenen Sachen hinweißt....denn nur so sollte es funktionieren......denn es gibt Coder die haben einfach das wissen noch nicht.....viele sind lernfähig.....andere Stur.....es geht nur miteinander......sonst wird die review Nummer hier zur Lachnummer auf längenrer Zeit gesehen.......Arbeitet zusammen...auch wenn mal eine PM bei ist wo man denkt....O Gott nun ist Feierabend..........runterschlucken....weitermache n
    Thanks

  15. Who Said Thanks:

    HellsBells (22.06.19) , Lossaugos (18.06.19) , Data1 (18.06.19) , hunterman (18.06.19) , FlyingHeart (18.06.19) , uk501 (18.06.19)

  16. #129
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    gezielt auf die offenen Sachen hinweißt....denn nur so sollte es funktionieren......denn es gibt Coder die haben einfach das wissen noch nicht.....viele sind lernfähig.....andere Stur.....es geht nur miteinander
    das wurde bereits mehrfach in genau diesem thread besprochen. einfach mal ein paar beiträge lesen bevor man selbst einen schreibt.
    Your account has been disabled.
    Thanks

  17. Who Said Thanks:

    Rebound (24.06.19) , waffi (24.06.19)

  18. #130

    Join Date
    11.04.17
    Posts
    19
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss19
    Also wenn ich sowas schon lese:wurde mir vertrauenswürdig mitgeteilt-ja natürlich haben sie die Source neu aufgesetzt und erzählt das sie durch mehrere coder geprüft worden ist und der tracker Safe ist.welche coder sind das denn?was haben die gefixt etc.erzählen kann ich viel,ich muss es nur glaubwürdig verkaufen können.eine unabhängige Prüfung ist das einzig wahre.Aber es gibt ja genug User denen man grün als rot verkaufen kann.Man sollte da lieber mal Fakten schaffen und nicht alles schön reden.solange derjenige,welcher die Datenbank ausgelesen hat mir nicht bestätigt das man sie jetzt nicht mehr auslesen kann bin ich da sehr vorsichtig.es gibt genug andere tracker wo die Sicherheit gegeben ist das man nicht so schnell an sowas kommt
    Thanks

  19. #131
    Quote Originally Posted by HellsBells View Post
    Vor ca 4-6 Wochen haben sie den Tracker neu aufgesetzt. Einige Optionen/Funktionen sind verändert worden, wie man das so in der Handhabung bemerkt. Der letzte Test war noch vor dem Shutdown und das Team hat beteuert, dass sie reagiert haben.

    @TheLegendary: Von dir hab ich nichts weiter als genöle erwartet. Inzwischen wurdest du ja auf mehreren Boards gesperrt, bzw gebannt, und versuchst jetzt hier dein Unwesen zu treiben. Ich bin mal gespannt wielange du dich hier zusammenreissen kannst.

    du arme seele so sehr ist dein Leben langweilig ?
    Du hoffst das ich hier geband werde ?
    Ausserdem bin ich nur bei den Godsluscher dort gebannd was juckt dich das ?
    Kümmere dich mal um dein eigenes Leben, was geht dich das an was ich machen ? Wenn du mich nicht mal kennst heul einfach leise ja ? Danke
    Last edited by TheLegendary; 29.06.19 at 22:24.
    Thanks

  20. #132
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Klärt das bitte privat @TheLegendary und @HellsBells. Sowas hat hier nichts verloren.

    Mal wieder was zum Thema:

    Der Coder, der zum Zeitpunkt des Reviews verantwortlich war, ist offenbar kein Staffmitglied mehr. Er hat jetzt den Rang eines S-VIP und eine offizielle Mitteilung über sein Ausscheiden gibt es keine.


    Thanks

  21. #133

    Join Date
    14.03.19
    Posts
    41
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss41
    Quote Originally Posted by Rebound View Post
    Der Coder, der zum Zeitpunkt des Reviews verantwortlich war, ist offenbar kein Staffmitglied mehr. Er hat jetzt den Rang eines S-VIP und eine offizielle Mitteilung über sein Ausscheiden gibt es keine.

    Heißt es, dass es wiederholt einen Recheck geben wird?
    Last edited by Data1; 30.06.19 at 00:14.
    Thanks

  22. #134
    Bezweifle ich. Der Grund warum der Recheck nicht erfolgt ist, war ja nicht der Coder sondern der Streit zwischen Sebastian und Rebound. Und Sebastian ist ja weiterhin teil des Teams.
    Thanks

  23. Who Said Thanks:

    Data1 (30.06.19)

  24. #135

    Join Date
    14.03.19
    Posts
    41
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss41
    Quote Originally Posted by F1r3st0rm View Post
    Bezweifle ich. Der Grund warum der Recheck nicht erfolgt ist, war ja nicht der Coder sondern der Streit zwischen Sebastian und Rebound. Und Sebastian ist ja weiterhin teil des Teams.
    Hätte ja sein können, dass es mit einem fähigeren Coder Sebastian "umgangen" werden könnte und im Interesse der User doch noch zu einem Recheck kommt. Wie zu sehen ist sind viele daran interessiert und Rebounds „Meinung“ dazu haben möchten. Es war ja nicht nur das „Problem“ Sebastian, sondern auch, dass der vorige Coder nicht in der Lage war die Sicherheitslücken von sich aus zu schließen, sonst wäre es mit dem letzten Recheck beendet gewesen, der Rest hätte nicht stattgefunden und BC hätte jetzt ein "SAFE" erhalten.
    Last edited by Data1; 30.06.19 at 11:31.
    Thanks

Closed Thread
Page 9 of 13 FirstFirst ... 7891011 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •