BitCity Reloaded (Recheck)

[Rebound]

Tracker: BitCity-Reloaded
Source: NV-Source

"Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


Serversicherheit

OS: Linux, Debian 8
Webserver: Apache
SSH: OpenSSH 6.7p1 Debian 5+deb8u7
PHP: 5.6.40-0+deb8u1
MySQL: 5.5.62
OpenSSL: 1.0.1t

SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


Trackersicherheit

Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

Proof

Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

Interne Statistiken









PM-Spion



Gebannte User




Extraservice von uns für euch

Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


Fazit

Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft

Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.

[roger82]

Glaube das ist eine gute Nachricht für den Tracker

Hallo Liebe Community

Nun ist es doch soweit..

Ich gehe in Rente und verlasse somit endgültig die Tracker Scene!

Ich war von Oktober 1996 bis heute immer aktiv. Sowohl als Releaser wie auch als STAFF

Es war eine sehr schöne Zeit, mit vielen Höhen und Tiefen. Ich sah viele Tracker kommen und gehen, musste mich privat von einigen tollen Menschen aus der Scene verabschieden, die nun von Oben auf uns herunter schauen, und bin selbst durch einige kleine ( Höllen) gegangen!

Dem einem oder anderen, der leider nicht so ganz Helle im Kopf ist, wird mein Schritt nun natürlich sehr gefallen, da sie mich nun endgültig los sind an der Spitze eines Trackers, den anderen ( ist natürlich der Großteil ) Danke ich sehr für die ganzen Jahre die ihr hinter mir gestanden habt!

Ich bleibe hier selbstverständlich ein Teil der Community, werde aber natürlich nichts mehr mit der Führung des Trackers zu tun haben! Wer Fragen hat.. wie zb.. wie kann ich mich Connecten.. oder warum ist das so oder so, dem helfe ich natürlich auch weiterhin sehr gerne!

LG und vielen Dank

sebastian

somit kann es nur noch aufwärts gehen.

[.Pogo.]

naja jetzt bin ich mal gespannt .

[Vogelflug]

naja jetzt bin ich mal gespannt .

Ich beobachte das ganze hier schon seit vielen Monaten.
Besonders interessant finde ich es wenn User die man auf dem Tracker gebannt hatte sich hier dann so zu Wort melden!
Bis gestern stand dein Name noch in der Liste.. Wurde gebannt.
Und auch viele andere hier die dort nicht mal einen Account haben, melden sich wieder und wieder zu Wort, mitnatürlich nur gefährlichem Halbwissen! Denn wenn man keinen Account hat, kann man auch nicht wissen wie es dort wirklich so ist.
Ich verstehe auch nicht warum hier alle immer so auf dem Sebastian rum hauen?
Er war doch nicht für die Sicherheit vom Tracker verantwortlich!
Man kann es auch an vielen Stellen nach lesen, er hatte nicht einmal Zugang zum Server. Somit konnte er da nicht einmal schauen ob da etwas nicht stimmte.
Die User wurden doch nun wirklich mehr als genügend über die damaligen Fehler in Kenntnisss gesetzt, lasst sie nun doch bitte nun auch mal Mündig wie sie es ja sein sollten selber Entscheiden ob sie diesen Tracker nutzen möchten oder nicht! Es wurden nach Aussagen von Staff viele Änderungen gemacht, und diese sollte man auch als glaubwürdig ansehen! Es steht dem Team um Rebound ja frei diese Behauptungen vom Bit-City Team zu widerlegen, sie müssten nur einfach mal einen neuen Test machen! Was aber scheinbar nicht so ganz gewünscht wird, da man so den Shitstorm gegen diesen Tracker beenden würde!

[Data1]

... sie müssten nur einfach mal einen neuen Test machen! ... so den Shitstorm gegen diesen Tracker beenden ...

Wäre auch meine Meinung

[.Pogo.]

was glaubste du den warum ich gebannt bin ? ja genau wegne der aroganz mach einem .

und das der name nicht mehr in der Bannliste steht liegt am end daran das sie ihn mal gelöscht haben

[Vogelflug]

was gflaubste du den warum ich gebannt bin ? ja genau wegne der aroganz

Das mit der Aroganz darfst du gerne mal allen hier etwas mehr verdeutlichen! Ich lese diesen Satz hier nicht zum erstenmal.
Wo sind die denn arrogant? In ihrer Meinung das man auch sicher sein kann ohne eine Stempel vom sb-i Team bekommen haben zu können? Oder was meinst du? Denn ich sehe nirgends auf dem Tracker eine Arroganz die von Team her ausgeht!
Ich sehe nur in vielen Foren User die meinen ein Tracker kann nur dann sicher sein, wenn sb-i sagt " ja die sind sicher ,, was ja nun wirklich der größte Blödsinn überhaupt ist.

[.Pogo.]

das kannst ganz einfach hier im thread nachlesen .
und nicht die , ich hatte nur mit einer person kontakt .

[Vogelflug]

das kannst ganz einfach hier im thread nachlesen .
und nicht die , ich hatte nur mit einer person kontakt .

Dann nenne doch mal die besagten Postings mit der Posting Nummer! Dann kann jeder User hier gleich die Beiträge nachlesen in denen gezeigt wird das die dort arrogant sind. Und mit wem hast du dich unterhalten ? Ich kenne keinen der arrogant auf Fragen eines Users reagiert haben könnte! Habe selber auch nie auch nur annähernd eine Arrogante Antwort vom Team gelesen. Egal ob hier oder sonst irgend wo im Netz.

[.Pogo.]

hab ich dir doch schon gesagt lese den ganzen thread Fertig !

###GELÖSCHT###

Sry , ich werde hier aber keine Bilder ,logs hochladen von anderen seiten .

[Vogelflug]

Anstat einfach mal die Postings zu nennen, soll man nun 144 Beiträge lesen um das zu finden was du dir einbildest? Und Bildr Logs.. xd.. man kann viel erzählen, wenn man aber nichts beweisen kann, sollte mal einfach mal die Füsse ganz still halten!

[.Pogo.]

wie gesagt dursuchen kannste den thread selber ! und beweisen muss ich hier nix !
Ich hab meine erfahrung gemacht und das ist tatsache !

Und sry für den Kindergarten

[Instab]

diese sollte man auch als glaubwürdig ansehen

warum? das bisherige verhalten der betreiber spricht für das gegenteil.

da man so den Shitstorm gegen diesen Tracker beenden würde!

nur wenn sie in einem neuen test nicht wieder durchfallen.
es ist nicht unsere aufgabe andere seiten so lange zu testen und zu beraten bis sie vielleicht irgendwann einen gewissen sicherheitsstandard erreicht haben. BitCity hatte 2 1/2 jahre zeit bis zum zweiten test und diese zeit haben sie nicht ausreichend genutzt.

Ich sehe nur in vielen Foren User die meinen ein Tracker kann nur dann sicher sein, wenn sb-i sagt " ja die sind sicher ,, was ja nun wirklich der größte Blödsinn überhaupt ist.

seiten die wir nicht getestet haben können sicher sein. seiten die wir getestet haben und durchgefallen sind, sind logischerweise nicht sicher.
siehe dazu auch: https://www.sb-innovation.de/showthr...l=1#post353500

[Violence]

Fakt ist:

Sebastian war Teil des Teams, der nicht gerade bekannt ist für seine zielgerichteten
Äußerungen egal zum Tracker oder Beiträgen in deren oder anderen Communitys.

Das "restliche Team" hat eine neue Source angekündigt, war längere Zeit offline
und ist mit der alten "unsicheren" Source wieder online die beim letzten ReCheck
erneut durchgefallen ist.

Danach gab es in den Tracker News, als auch in deren Forum immer wieder News
von Tests unbekannter Dritter Personen, die aussagen sollten "Scheiß auf Rebound
- wir sind SICHER". Die schlüssigen Beweise ist das Team bis heute schuldig.

Fazit:

Es bleibt beim UNSAFE so lang nicht transparent zusammengearbeitet wird um
das sehr angekratzte Image BitCitys wieder in ein gutes Licht zurücken.

[Vogelflug]

Wenn ich das so lese kommt mir einfach der Gedanke. JEDER Tracker muss sich mit sb-i in Verbindung setzen, denen ein GOTT ähnliches Ansehen bescheinigen, und ist nur dann sicher wenn SB-I es sagt.. Merkt ihr selber nicht wie Schwachsinig das ganze ist? Und nur weil BitCity euch nicht sagtwer da die Test gemacht hat, sind sie nicht sicher? Und wer bitte gibt euch das Recht Transparents von Trackeriternen Dingen zu fordern? Das Team ist euch absolut nichts schuldig! Die haben auf ihre eigenen Kosten alles neu gemacht, oder habt ihr Gelder gezahlt damit alles wieder läuft? Ich glaube es ja wohl kaum! Wer den Tracker nicht möchte, der meidet ihn einfach. Aber das macht ihr nicht. Nein ganz im Gegenteil, mit Usernamen #xyz# seit ihr auf dem Tracker, und mit Usernamen #abe# schreibt ihr im Netz nur schlechtes über die Seite. Und zu Instab lese doch mal genau den Satz von mir, auf dem du eine Antwort gibst! Denn deine Aussage pass nicht zum Text Wenn ich sage ein Tracker kann auch sicher sein ohne von euch getestet zu werden, st eine Antwort wie..Seiten die wir getestet haben und durchgefallen sind , sind unsicher, ist völlige Selbstüberschätzung und Schwachsinn, auch andere können auf Sicherheit testen, das kann eben nicht nur sb-i

[.Pogo.]

Wenn ich sage ein Tracker kann auch sicher sein ohne von euch getestet zu werden, st eine Antwort wie..Seiten die wir getestet haben und durchgefallen sind , sind unsicher, ist völlige Selbstüberschätzung und Schwachsinn, auch andere können auf Sicherheit testen, das kann eben nicht nur sb-i

Aber tatsache ist das wen man durschgefallen ist , ist man unsicher bis der Tag kommt mit einem anderen ergebniss !

das erbinss ist man den usern immer noch schuldig und nein einfach sagen wir wurden getestet reicht da nicht aus, ist meien meinung .