Closed Thread
Page 4 of 13 FirstFirst ... 23456 ... LastLast
Results 46 to 60 of 186

Thread: BitCity Reloaded (Recheck)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    BitCity Reloaded (Recheck)

    Tracker: BitCity-Reloaded
    Source: NV-Source

    "Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

    Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    SSH: OpenSSH 6.7p1 Debian 5+deb8u7
    PHP: 5.6.40-0+deb8u1
    MySQL: 5.5.62
    OpenSSL: 1.0.1t

    SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
    Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


    Trackersicherheit

    Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

    Proof

    Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

    Interne Statistiken









    PM-Spion



    Gebannte User




    Extraservice von uns für euch

    Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
    Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
    Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

    Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

    Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


    Fazit

    Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

    Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

    Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

    Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

    1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
    2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft


    Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

    Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

    Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

    tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.



    Thanks

  2. Who Said Thanks:

    JonDoe (16.09.20) , HellsBells (14.06.19) , .Pogo. (29.04.19) , unodue (07.04.19) , dom72 (29.03.19) , tesastreifen (26.03.19) , hui64 (25.03.19) , Devils_Bitch (24.03.19) , Flux (24.03.19) , Snitlev (24.03.19) , Patron (24.03.19) , Mauerwerk (23.03.19) , Turnschuh (23.03.19) , Data1 (22.03.19) , Ibot (22.03.19) , Azrael (22.03.19) , viper1978 (22.03.19) , tr0y (22.03.19) , xJ9_ (22.03.19) , DevilsCut (22.03.19) , TheLegendary (22.03.19) , zappkönig12345 (22.03.19) , 5xxxxx (22.03.19) , Freak69 (22.03.19) , FlyingHeart (22.03.19) , Jackson312 (22.03.19) , trackeropi2 (22.03.19) , hunterman (22.03.19) , Nemesis (22.03.19) , Rednesierder (22.03.19) , Violence (22.03.19) , picasa (22.03.19)

  3. #46

    Join Date
    22.02.12
    Posts
    330
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 ssssss330
    Quote Originally Posted by phoenix2207 View Post
    Ich hoffe ja echt das die wieder kommen, aber eine offizielle Bekanntmachung wäre doch mal nice....
    Falls nicht, muss ich mir echt was neues Suchen, aber das ist nicht einfach, außer wer läd uns dafür ein^^
    icecream hatte doch schon gesagt.. Wir kommen wieder!
    somit ist doch schon eine OFFIZIELLE Bestätigung vorhanden! -- Ich selber schrieb ja auch schon etwas.. aber wie man ja weis.. es wird alles nicht gelesen!
    Last edited by sebastian1; 12.04.19 at 22:19.
    Thanks

  4. Who Said Thanks:

    Azrael (18.04.19) , Rednesierder (18.04.19) , Insane1878 (14.04.19) , obi-wan96 (13.04.19)

  5. #47
    Also da bin ich ja mal gespannt, erst hieß es der Tracker wird vorraussichtlich 3-5 Tage Down sein, daraus ist nun schon ein fast ein Monat geworden, Infos bekommt man auch nirgendwo und Seite ist schon wieder seit Tagen komplett down. Man hätte ja mal wenigstens ab und an eine Rundmail an die User von BC-Reloaded verschicken können wie der Stand der Dinge ist, die E-Mail Adressen der User sind ja alle vorhanden. Frage ist auch wieviele Uploader und User der Tracker nach einem Reboot überhaupt noch haben wird, ich denke ein grossteilwird wohl mittlerweile schon zu anderen Trackern abgewandert sein.
    Last edited by Ghostdog0815; 17.04.19 at 09:41.
    Thanks

  6. Who Said Thanks:

    Rednesierder (18.04.19) , HellsBells (17.04.19)

  7. #48

    Join Date
    02.04.19
    Location
    Penner
    P2P Client
    Penner
    Posts
    9
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss9
    Quote Originally Posted by Ghostdog0815 View Post
    Frage ist auch wieviele Uploader und User der Tracker nach einem Reboot überhaupt noch haben wird, ich denke ein grossteilwird wohl mittlerweile schon zu anderen Trackern abgewandert sein.
    Sagte ich ja auch schon die ganze Zeit.
    Ich denke mal das wird nichts mehr vernüftiges werden.
    Oder vielleicht als BCNR ? : BitCity New Reloaded

    Die sollten keine Arbeit mehr reinstecken, die Bude zumachen und gut ist.
    Gibt genug andere Tracker ohne vorbelastung und mittlerweile auch besseren Ruf.
    Last edited by unodue; 17.04.19 at 17:47.
    Thanks

  8. #49

    Join Date
    12.01.11
    P2P Client
    µTorrent 1.6.1
    Posts
    20
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss20
    Das "Team" zeigt an sämtlichen Stellen, dass diese nicht qualifiziert zum führen eines Trackers sind. Ich verstehe nicht, wieso die es überhaupt noch versuchen, anstatt sich in ein bestehendes Projekt zu engagieren. Macht aus deren Lage doch am meisten Sinn. Aber offensichtlich möchte man unbedingt Administrator sein.
    Thanks

  9. #50
    Tempel Staff
    Join Date
    09.10.11
    Location
    Italy
    P2P Client
    rtorrent
    Posts
    36
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss36
    Ja so ist das...etliche Jahre war BCr gut für euch...und jetzt...tztztztz
    Anstatt das Resultat abzuwarten?... Nein noch ein bisschen nach treten...
    Thanks

  10. Who Said Thanks:

    Azrael (18.04.19) , Rednesierder (18.04.19)

  11. #51

    Join Date
    19.03.18
    Posts
    10
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss10
    Also ich bezweifele das sie wiederkommen wenn man die Seite anklickt kommt ein Fehler bei der Namensauflösung was mir so aussieht als würde es die Domian nicht mehr geben
    Thanks

  12. #52
    Habe ich mich eigentlich schon für die nette Mail bedankt?
    " Falls du jetzt einen Schreck bekommen hast lass Dir versichern, Du brauchst Dir wirklich keine Sorgen machen. Deine Daten sind bei uns gut aufgehoben und werden niemals unsere Festplatten verlassen."

    1. Warum löscht ihr die Daten nicht?
    2. Wenn ihr die nicht löscht, was macht ihr dann damit?

    Darüber sollte man mal nachdenken...
    Thanks

  13. Who Said Thanks:

    Rednesierder (18.04.19) , obi-wan96 (18.04.19)

  14. #53

    Join Date
    23.01.16
    Location
    Deutschland
    P2P Client
    rtorrent 0.9.8
    Posts
    27
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss27
    Quote Originally Posted by Corpsegrinder View Post
    Habe ich mich eigentlich schon für die nette Mail bedankt?
    " Falls du jetzt einen Schreck bekommen hast lass Dir versichern, Du brauchst Dir wirklich keine Sorgen machen. Deine Daten sind bei uns gut aufgehoben und werden niemals unsere Festplatten verlassen."

    1. Warum löscht ihr die Daten nicht?
    2. Wenn ihr die nicht löscht, was macht ihr dann damit?

    Darüber sollte man mal nachdenken...
    Du solltest mal drüber nachdenken wo du hier bist. Du bist hier nicht bei Facebook.
    Er hätte wesentlich schlimmeres mit euren Daten anstellen können, wenn er gewollt hätte.

    Hat er aber nicht. Bedanken solltest du dich bei BC, die überhaupt erst dafür gesorgt haben, dass du diese Email bekommen konntest
    Thanks

  15. Who Said Thanks:

    TheLegendary (30.04.19) , Rednesierder (18.04.19)

  16. #54

    Join Date
    22.02.12
    Posts
    330
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 ssssss330
    Nur mal als kleinen Denkanstoß - Schon mal jemand auf die Idee gekommen das der Tracker zur Zeit über eine ander URL läuft, und ihr deswegen auf der euch bekannten URL nichts sehen könnt?
    Thanks

  17. Who Said Thanks:

    Azrael (18.04.19) , Rednesierder (18.04.19) , obi-wan96 (18.04.19)

  18. #55
    Quote Originally Posted by xJ9_ View Post
    Du solltest mal drüber nachdenken wo du hier bist. Du bist hier nicht bei Facebook.
    Er hätte wesentlich schlimmeres mit euren Daten anstellen können, wenn er gewollt hätte.

    Hat er aber nicht. Bedanken solltest du dich bei BC, die überhaupt erst dafür gesorgt haben, dass du diese Email bekommen konntest
    Na die Macht hat er immer noch...Man kann aber nicht die Sicherheit von Trackern verurteilen, während jetzt Daten der User auf einer Festplatte "ruhen" von jemanden der Daten "hackt"...
    Irgendwie das gleiche, oder?
    Thanks

  19. Who Said Thanks:

    Rednesierder (18.04.19)

  20. #56
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,661
    Activity Longevity
    4/20 18/20
    Today Posts
    0/5 sssss6661
    und wenn wir gesagt hätten alles wird gelöscht, wie wolltest du das prüfen?
    das ist doch genau der punkt, daß man als benutzer keine kontrolle hat. egal ob bei facebook oder einem tracker oder wo auch immer sonst.

    darum ist prävention das einzige was man als benutzer machen kann. im internet nur daten herausgeben mit deren verlust bzw. veröffentlichung man leben kann. dazu noch für jedes benutzerkonto ein individuelles passwort und schon kann man ein bisschen besser schlafen.
    Your account has been disabled.
    Thanks

  21. Who Said Thanks:

    Rednesierder (18.04.19)

  22. #57
    Natürlich kann man das nicht prüfen. Aber man kann nicht kritisieren das die Tracker nicht sicher sind, wenn genau diese Daten jetzt auf irgendeiner Festplatte schlummern, und diese Daten auch noch mit der Benutzer ID eines jeden Users bei euch abfragen kann.
    Irgendwie ein Widerspruch...
    Der Vergleich Tracker vs Facebook Daten hinken da ein wenig...Während Trackerdaten zur Verfolgung genutzt werden könnten, sind Facebook Daten eher "ungefährlich und nicht ilegal..." (im Vergleich!!!...)
    Im Enddefekt wurden diese Daten jetzt veröffentlicht..
    Thanks

  23. #58
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by Corpsegrinder View Post
    Im Enddefekt wurden diese Daten jetzt veröffentlicht..
    Achja? Dann zeig mir doch mal bitte wo.

    Dass die alte Domain nicht mehr geht, ist ja auch eigentlich logisch. Schließlich muss man sich jetzt ja umbenennen in BitCity ReReloaded.


    Thanks

  24. Who Said Thanks:

    TheLegendary (30.04.19) , Rednesierder (18.04.19) , waffi (18.04.19) , Violence (18.04.19)

  25. #59
    Quote Originally Posted by Corpsegrinder View Post
    Habe ich mich eigentlich schon für die nette Mail bedankt?
    " Falls du jetzt einen Schreck bekommen hast lass Dir versichern, Du brauchst Dir wirklich keine Sorgen machen. Deine Daten sind bei uns gut aufgehoben und werden niemals unsere Festplatten verlassen."

    1. Warum löscht ihr die Daten nicht?
    2. Wenn ihr die nicht löscht, was macht ihr dann damit?
    Noch keine Antwort darauf erhalten...
    Thanks

  26. #60
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Es gibt darauf keine Antwort, weil du hier die falschen Fragen stellst...


    Thanks

Closed Thread
Page 4 of 13 FirstFirst ... 23456 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •