Closed Thread
Page 3 of 13 FirstFirst 12345 ... LastLast
Results 31 to 45 of 186

Thread: BitCity Reloaded (Recheck)

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,714
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3714

    BitCity Reloaded (Recheck)

    Tracker: BitCity-Reloaded
    Source: NV-Source

    "Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

    Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    SSH: OpenSSH 6.7p1 Debian 5+deb8u7
    PHP: 5.6.40-0+deb8u1
    MySQL: 5.5.62
    OpenSSL: 1.0.1t

    SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
    Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


    Trackersicherheit

    Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

    Proof

    Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

    Interne Statistiken









    PM-Spion



    Gebannte User




    Extraservice von uns für euch

    Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
    Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
    Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

    Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

    Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


    Fazit

    Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

    Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

    Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

    Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

    1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
    2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft


    Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

    Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

    Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

    tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.



    Thanks

  2. Who Said Thanks:

    JonDoe (16.09.20) , HellsBells (14.06.19) , .Pogo. (29.04.19) , unodue (07.04.19) , dom72 (29.03.19) , tesastreifen (26.03.19) , hui64 (25.03.19) , Devils_Bitch (24.03.19) , Flux (24.03.19) , Snitlev (24.03.19) , Patron (24.03.19) , Mauerwerk (23.03.19) , Turnschuh (23.03.19) , Data1 (22.03.19) , Ibot (22.03.19) , Azrael (22.03.19) , viper1978 (22.03.19) , tr0y (22.03.19) , xJ9_ (22.03.19) , DevilsCut (22.03.19) , TheLegendary (22.03.19) , zappkönig12345 (22.03.19) , 5xxxxx (22.03.19) , Freak69 (22.03.19) , FlyingHeart (22.03.19) , Jackson312 (22.03.19) , trackeropi2 (22.03.19) , hunterman (22.03.19) , Nemesis (22.03.19) , Rednesierder (22.03.19) , Violence (22.03.19) , picasa (22.03.19)

  3. #31

    Join Date
    22.02.12
    Posts
    330
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 ssssss330
    Quote Originally Posted by schotte View Post
    Sorry was ist TS
    TeamSpeak
    Thanks

  4. #32

    Join Date
    04.09.16
    Posts
    10
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss10
    Wann seit ihr wieder Online
    Thanks

  5. #33

    Join Date
    19.03.18
    Posts
    10
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss10
    Die Frage ist doch wo kriegt man die TS-Daten überhaupt her
    Thanks

  6. Who Said Thanks:

    schotte (07.04.19)

  7. #34

    Könnt...

    ...ihr bitte mal aufhören euch gegenseitig in den Ar*** zu treten?
    Weil mich das nervt, hab ich mich eben extra hier angemeldet...denn ich habe schon länger ohne Account mitgelesen.

    Es sind Fehler gemacht worden...das ist Mist...daran gibt es nichts zu deuteln.
    Aber irgendwann sollte sich die Community mal wieder zusammenreißen.

    Ich finde es falsch, die Verantwortlichen der Seite für ihre Neuausrichtung zu kritisieren,
    ohne das Ergebnis abzuwarten.
    Ich habe Respekt vor der Arbeit...bin jetzt nicht wirklich über die genauen Abläufe informert,
    denke aber, dass die Arbeit schwierig ist, und dass es (vor allem) viel ist.

    Trotzdem finde ich, dass Rebounds Arbeit ebenfalls sehr wichtig ist...denn ohne sie,
    wäre wohl nichts passiert.
    Konstruktive Kritik ist angebracht!
    Dieses aufeinander herum gehacke, find ich aber ka*ke... (das reimt sich )
    Thanks

  8. Who Said Thanks:

    Rednesierder (18.04.19) , mausi21 (11.04.19) , HellsBells (08.04.19) , Un1x (08.04.19) , sebastian1 (08.04.19) , F1r3st0rm (07.04.19) , Azrael (07.04.19) , PRIME (07.04.19)

  9. #35

    Join Date
    04.09.16
    Posts
    10
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss10
    Wo sind Infos für die User
    Thanks

  10. Who Said Thanks:

    Azrael (07.04.19)

  11. #36

    Join Date
    01.04.19
    Location
    Schwarzwald
    P2P Client
    µTorrent
    Posts
    2
    Activity Longevity
    0/20 5/20
    Today Posts
    0/5 ssssssss2
    Quote Originally Posted by Insane1878 View Post
    ...ihr bitte mal aufhören euch gegenseitig in den Ar*** zu treten?
    Weil mich das nervt, hab ich mich eben extra hier angemeldet...denn ich habe schon länger ohne Account mitgelesen.

    Es sind Fehler gemacht worden...das ist Mist...daran gibt es nichts zu deuteln.
    Aber irgendwann sollte sich die Community mal wieder zusammenreißen.

    Ich finde es falsch, die Verantwortlichen der Seite für ihre Neuausrichtung zu kritisieren,
    ohne das Ergebnis abzuwarten.
    Ich habe Respekt vor der Arbeit...bin jetzt nicht wirklich über die genauen Abläufe informert,
    denke aber, dass die Arbeit schwierig ist, und dass es (vor allem) viel ist.

    Trotzdem finde ich, dass Rebounds Arbeit ebenfalls sehr wichtig ist...denn ohne sie,
    wäre wohl nichts passiert.
    Konstruktive Kritik ist angebracht!
    Dieses aufeinander herum gehacke, find ich aber ka*ke... (das reimt sich )
    Guten Morgen!

    Ich schließe mich dem Vorschreiber einfach mal an!
    Ja - es ist wirklich viel geschehen. Es sind böse Worte untereinander gefallen, zwischen allen Beteiligten! Viele User im GoD's Forum haben auf dem Team von BitCity herum gehackt, weil ihnen nach der email von Rebound die Haare zu Berge gestanden sind!
    Ging mir ganz ähnlich, allerdings hab ich auf niemanden herumgehackt und bei den diversen Foreneinträge, sind mir nicht unbedingt die Haare zu Berge gestanden, aber es bewies sich doch wieder mal als Bestätigung meiner Einstellung, dass das größte Problem meistens vor dem PC hockt (mich eingeschlossen)!

    Mein Respekt geht an sebaltian1, weil er einen Geduldsfaden hat, der seines gleichen sucht und wirklich Charakter bewiesen hat! Es hat extrem lange gedauert, ihn aus der Ruhe zu bringen!

    Ich bin dankbar für die Arbeit von Rebound! Im laufe der Jahre bin ich unvorsichtig geworden und hab nicht mehr über Sicherheit nachgedacht! Seine email hat dann doch getroffen und ... wach gerüttelt! Ich hoffe das er wieder einen Recheck machen wird, wenn BitCity wieder online geht bzw. das dieser dann gar nicht mehr nötig sein wird, weil Kommunikation schon im Vorfeld herrscht!

    Vielleicht sollten alle Tracker Betreiber es nicht als persönlichen Angriff werten, sondern mehr als konstruktive Kritik an Ihrer Arbeit und es jetzt eben besser machen! Nur als kleine Randnotiz, in der Wut büßen wir Menschen bis zu 30% unserer Intelligenz ein! (Beispiel: Meine Freundin sagt, wenn du wüten bist, verhältst du dich wie ein Neandertaler )

    Spaß beiseite! Ich persönlich hoffe, das alle Beteiligten sich jetzt wieder an einen (Virtuellen) Tisch setzten werden und es zu einem gepflegten, Professionellen Austausch kommt, oder eben kommen wird!

    Lg ... ein User der die Hoffnung noch nicht aufgegeben hat
    Thanks

  12. Who Said Thanks:

    Rednesierder (18.04.19) , mausi21 (11.04.19) , Insane1878 (10.04.19) , HellsBells (08.04.19) , sebastian1 (08.04.19)

  13. #37

    Join Date
    22.09.18
    Location
    Österreich
    P2P Client
    uTorrent 2.0.4
    Posts
    3
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss3
    hat jemand vielleicht neue infos ob am Tracker gearbeitet wird oder er komplett dicht gemacht wird?
    Last edited by ViennaDC; 10.04.19 at 13:00. Reason: kleiner Fehler!
    Thanks

  14. #38

    Join Date
    19.03.18
    Posts
    10
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss10
    Würde mich auch mal interessieren ob BC jetzt wiederkommt oder ob endgültig Ende ist
    Thanks

  15. #39

    Join Date
    15.06.10
    Posts
    1
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssssss1
    ja bc-reloaded wird wiederkommen, es wird dran gearbeitet
    Thanks

  16. Who Said Thanks:

    Rednesierder (18.04.19) , mausi21 (11.04.19) , Insane1878 (10.04.19)

  17. #40

    Join Date
    02.04.19
    Location
    Penner
    P2P Client
    Penner
    Posts
    9
    Activity Longevity
    0/20 5/20
    Today Posts
    0/5 ssssssss9
    Quote Originally Posted by icecream View Post
    ja bc-reloaded wird wiederkommen, es wird dran gearbeitet
    Fragt sich nur wie lange dran gearbeitet wird.
    Mittlerweile ist es schon sehr lange.

    So lange Offline kann einfach nicht gutgehen.
    Ob auch noch User da sind und nicht abgewandert, ist eine andere Frage,
    zumal ja anschliesend die Sicherheit mit der neuen Source noch im Raume steht.

    Solange die Sicherheit nicht bestätigt ist, wird auf BCR aufgrund des ganzen Desasters
    zukünftig nicht viel passieren.

    Da kann Sebastian, Du oder sonstwer aus dem BCR Stuff schreiben was ihr wollt.

    Es gibt da auch einen schönen Spruch : Ein gebranntes Kind scheut das Feuer.
    Thanks

  18. #41
    Immortuos Staff
    Join Date
    27.09.18
    Location
    Immortuos
    Posts
    7
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss7
    Die neue Source (UNIT3D) verlangt den Machern dort einiges ab. Allein das eindeutschen kann länger dauern und wie man in einen anderen vor kurzen erschienenen Review erlesen kann, ist allein dem nicht jeder gewachsen. Gut Ding will Weile haben...
    Last edited by ***BrainFire***; 10.04.19 at 22:37.
    Thanks

  19. #42
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,654
    Activity Longevity
    6/20 17/20
    Today Posts
    0/5 sssss6654
    Quote Originally Posted by unodue View Post
    So lange Offline kann einfach nicht gutgehen.
    warum?
    Your account has been disabled.
    Thanks

  20. #43
    Tempel Staff
    Join Date
    09.10.11
    Location
    Italy
    P2P Client
    rtorrent
    Posts
    36
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss36
    Quote Originally Posted by unodue View Post
    Fragt sich nur wie lange dran gearbeitet wird.
    Mittlerweile ist es schon sehr lange.

    So lange Offline kann einfach nicht gutgehen.
    Ob auch noch User da sind und nicht abgewandert, ist eine andere Frage,
    zumal ja anschliesend die Sicherheit mit der neuen Source noch im Raume steht.

    Solange die Sicherheit nicht bestätigt ist, wird auf BCR aufgrund des ganzen Desasters
    zukünftig nicht viel passieren.

    Da kann Sebastian, Du oder sonstwer aus dem BCR Stuff schreiben was ihr wollt.

    Es gibt da auch einen schönen Spruch : Ein gebranntes Kind scheut das Feuer.
    Also, sich Zeit nehmen, gerade unter dem Gesichtspunkt vielleicht viele User zu verlieren ist schonmal ein gutes Zeichen, und zeugt nicht von einem Schnellschuss.

    Das Resultat ist das Ziel!
    Thanks

  21. Who Said Thanks:

    Rednesierder (18.04.19) , sebastian1 (11.04.19) , mausi21 (11.04.19) , Azrael (11.04.19)

  22. #44

    Join Date
    11.09.15
    Posts
    8
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss8
    Genauso sollte es jetzt sein,sich zeit nehmen und alles richtig machen.
    Und erst nach einem nochmaligen sicherheitscheck wieder für die user dasein.

    Die hatten schon eine sehr gute userbase da,und werden bestimmt wieder auferstehen.
    Thanks

  23. Who Said Thanks:

    Rednesierder (18.04.19) , HellsBells (12.04.19) , Azrael (12.04.19) , PRIME (12.04.19) , sebastian1 (11.04.19)

  24. #45
    Ich hoffe ja echt das die wieder kommen, aber eine offizielle Bekanntmachung wäre doch mal nice....
    Falls nicht, muss ich mir echt was neues Suchen, aber das ist nicht einfach, außer wer läd uns dafür ein^^
    Thanks

Closed Thread
Page 3 of 13 FirstFirst 12345 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •