Closed Thread
Page 12 of 13 FirstFirst ... 210111213 LastLast
Results 166 to 180 of 186

Thread: BitCity Reloaded (Recheck)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    BitCity Reloaded (Recheck)

    Tracker: BitCity-Reloaded
    Source: NV-Source

    "Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

    Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    SSH: OpenSSH 6.7p1 Debian 5+deb8u7
    PHP: 5.6.40-0+deb8u1
    MySQL: 5.5.62
    OpenSSL: 1.0.1t

    SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
    Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


    Trackersicherheit

    Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

    Proof

    Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

    Interne Statistiken









    PM-Spion



    Gebannte User




    Extraservice von uns für euch

    Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
    Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
    Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

    Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

    Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


    Fazit

    Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

    Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

    Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

    Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

    1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
    2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft


    Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

    Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

    Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

    tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.



    Thanks

  2. Who Said Thanks:

    JonDoe (16.09.20) , HellsBells (14.06.19) , .Pogo. (29.04.19) , unodue (07.04.19) , dom72 (29.03.19) , tesastreifen (26.03.19) , hui64 (25.03.19) , Devils_Bitch (24.03.19) , Flux (24.03.19) , Snitlev (24.03.19) , Patron (24.03.19) , Mauerwerk (23.03.19) , Turnschuh (23.03.19) , Data1 (22.03.19) , Ibot (22.03.19) , Azrael (22.03.19) , viper1978 (22.03.19) , tr0y (22.03.19) , xJ9_ (22.03.19) , DevilsCut (22.03.19) , TheLegendary (22.03.19) , zappkönig12345 (22.03.19) , 5xxxxx (22.03.19) , Freak69 (22.03.19) , FlyingHeart (22.03.19) , Jackson312 (22.03.19) , trackeropi2 (22.03.19) , hunterman (22.03.19) , Nemesis (22.03.19) , Rednesierder (22.03.19) , Violence (22.03.19) , picasa (22.03.19)

  3. #166
    Vogelflug ist fix sebastian merkt man an seinem Schreibstil
    Thanks

  4. #167
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Vogelflug View Post
    Ich sage es mal so
    Wenn sb-i wirklich so umsorgt ist um die Sicherheit der User, warum haben sie dann nicht schon lange mal neu nach geschaut
    habe ich vorhin schon beantwortet.

    oder eben das ganze als gegeben zu sehen und hier zu schließen
    was hier geschlossen wird entscheiden wir schon noch selbst
    Your account has been disabled.
    Thanks

  5. #168

    Join Date
    12.01.11
    P2P Client
    µTorrent 1.6.1
    Posts
    20
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss20
    Ich verstehe nicht, wieso manche einen weiteren Check wünschen. Die Herangehensweise des Teams hat uns doch deutlich gezeigt, dass keinerlei Qualifikation zum führen eines Trackers vorhanden ist. Die Herangehensweise war beispiellos fehlerhaft, arrogant und ignorant; zu Lasten der Daten ihrer User. Sie haben nichts drauf gegeben, und waren tagelang (oder Wochen?) im Wissen ihrer Lecks weiter online. Es gab keinerlei Einsehen, stattdessen wurde gegen Kritiker gehetzt. Sebastian ist mit seiner absoluten Unfähigkeit nur die Spitze des Eisbergs.

    Warum also sollte man diesen Tracker mit einem solch unfähigen Team noch mal testen? Tut mir leid, aber mit so einem verhalten haben die sich zumindest bei mir (und sehr vielen anderen) jede dritte Chance verbaut. Die dürfen selbst im Gods Forum keinerlei Werbung mehr für diesen Tracker machen. Denn was nützt eine sichere Source, wenn es das Team es nicht ist. Weit hergeholt, dass sie überhaupt eine sichere Source zustande kriegen?
    Last edited by verbatim52x; 15.07.19 at 15:57.
    Thanks

  6. Who Said Thanks:

    Rebound (18.07.19) , Instab (16.07.19) , waffi (15.07.19) , Violence (15.07.19)

  7. #169

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    Ich wollte eigentlich kein weiteres Statement hier hinterlassen, aber ich werde dann doch noch mal auf einen Punkt hier eingehen müssen.
    Ich bin Weiblich und müsste mir erst etwas annähen lassen um zu einem Sebastian werden zu können und hier ist ja nun auch schon der nächste heater.
    Was hat euch der User Sebastian getan? Ich lese es ja hier nicht nur einmal im sb-i Forum.
    Worin besteht denn dem seine Unfähigkeit? Warum will hier keiner auf diese Frage antworten?
    Und mir persönlich ist es egal ob noch ein Test gemacht wird, da ich wie bereits in einem anderen Beitrag von mir ja schon erwähnt, glaube das die Lücken nun doch geschlossen wurden. Mir als User würde es auch nichts bringen wenn die mir da nun irgend welche Datencodes mit Erklärungen zeigen würden, die mir dann aufzeigen wo und was da alles getestet wurde. Ich habe von dieser Materie schlichtweg absolut keine Ahnung
    Lg der User mit 2 Brüsten und keinem Gehänge.
    Last edited by Vogelflug; 15.07.19 at 17:43.
    Thanks

  8. Who Said Thanks:

    jupp56 (15.07.19) , Lossaugos (15.07.19)

  9. #170

    Join Date
    29.04.19
    Posts
    10
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss10
    Warum du immer wieder der meinung bist das hier gehatet wird versteh ich nicht .

    Und dein glaube wird dir keiner nehmen wollen aber erlich gesagt kannst dann auch lotto spielen und glauben deine millon zu machen .

    und zu Seb. er war der jenige der das sprachrohr war und mit seiner art und weise wie er alles kominziert hat sich/BC keinen gefallen getan hat !

    Fackt ist halt das das ding offline gehört den usern zu liebe !
    Thanks

  10. #171
    Bit-Titan Staff
    Join Date
    21.08.18
    Location
    Cybertron
    P2P Client
    rtorrent
    Posts
    10
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss10
    Sicherheit fängt IMMER 30-50 cm vor dem Monitor an und nicht erst beim Tracker Login!!

    Nur so als Info xD
    Last edited by PRIME; 15.07.19 at 22:20.
    Thanks

  11. #172
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by PRIME View Post
    Sicherheit fängt IMMER 30-50 cm vor dem Monitor an und nicht erst beim Tracker Login!!
    Das ist sicherlich nicht völlig verkehrt, hat aber mit diesem Thema nichts zu tun. Hier geht es um die Sicherheitsprüfung eines Trackers und nicht einzelner Benutzer. Gewisse Standards in Bezug auf Informationssicherheit darf man von Trackern erwarten und auf diese wird hier geprüft.

    Aber falls du damit auf die Betreiber von BCR anspielst, dann trifft das auf jeden Fall zu.


    Thanks

  12. Who Said Thanks:

    Violence (15.07.19) , .Pogo. (15.07.19)

  13. #173

    Join Date
    13.04.17
    Location
    outer space
    P2P Client
    rtorrent
    Posts
    11
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss11
    ...bis heute leider keine weiteren greifbaren Infos vom BCR Staff bzgl. Änderungen der source bzw servers...
    trotzdem tummeln sich Unmengen an usern dort rum... (verstehe ich nicht wie man so ein Risiko eingehen kann).
    Thanks

  14. Who Said Thanks:

    .Pogo. (19.10.19) , Violence (16.10.19)

  15. #174
    tja mit tricks viele files und manipulation
    Thanks

  16. #175

    Join Date
    16.09.10
    Location
    Germany
    Posts
    384
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssss384
    Liebe Mitglieder (Samstag, 21.03.2020)


    Aufgrund sehr traurigen Umständen, müssen Wir

    als Bit-City Team den Betrieb leider einstellen.



    Wir möchten uns für die letzten Jahre,

    von Herzen bei allen Usern bedanken|-)



    Und wünschen allen Gesundheit in diesen

    schweren Zeiten.



    Vielen Dank.



    Euer Bit-City Team
    Quelle: direkt vom Tracker
    Last edited by Instab; 23.03.20 at 20:22. Reason: zitat
    Thanks

  17. #176

    Join Date
    11.04.17
    Posts
    19
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss19
    Kein Verlust von der Sicherheit her.
    Die Umstände wenn man das so richtig interpretiert hören sich schlimm an.
    Alles Gute dem Team.
    Thanks

  18. #177

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by Protector View Post
    Kein Verlust von der Sicherheit her.
    Die Umstände wenn man das so richtig interpretiert hören sich schlimm an.
    Alles Gute dem Team.
    sind aber wieder online eben gesehen.
    Thanks

  19. #178

    Join Date
    16.09.10
    Location
    Germany
    Posts
    384
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssss384
    Die News sind auch verschwunden. Geladen habe ich da seit ewigkeiten nichts mehr, schaue nur noch zwei mal die Woche rein.

    Danke Instab...
    Thanks

  20. #179

    Join Date
    12.01.11
    P2P Client
    µTorrent 1.6.1
    Posts
    20
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss20
    Hallo Liebe Bit-City Community,

    wie ein paar schon bemerkt haben oder noch bemerken werden, hat

    die Rettungsaktion ein sehr schönes Happy-End genommen.

    Hiermit möchten wir Euch gerne mitteilen:

    Die Show geht weiter,

    denn was wäre eine City OHNE Leute!

    Das ganze Bit-City Team wünscht euch weiterhin ein angenehmen

    Aufenthalt.
    Ich kann es nicht fassen. Das wird immer lächerlicher.
    Thanks

  21. #180

    Join Date
    04.04.20
    Posts
    1
    Activity Longevity
    0/20 5/20
    Today Posts
    0/5 ssssssss1
    Quote Originally Posted by verbatim52x View Post
    Ich kann es nicht fassen. Das wird immer lächerlicher.
    Doch

    Wir sind Online!

    Und arbeiten an einem Rettungschirm.
    Bitte lasst eure Files im Seed.
    Unterlasst die Abwerbungen.
    Und drückt die Daumen.
    Infos werden folgen.

    Euer Bit-City Team
    Thanks

Closed Thread
Page 12 of 13 FirstFirst ... 210111213 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •