• Sicherheitsmaßnahme! Bitte ändere dein Forum-Passwort. Siehe Beitrag
  • Hardwareluxx führt derzeit die Hardware-Umfrage 2026 (mit Gewinnspiel) durch und bittet um eure Stimme. Unter allen Teilnehmern verlosen wir eine aktuelle Grafikkarte Eurer Wahl bis 1099 EUR.

[Feedback] Hardwareluxx 4.0 Forum

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@King Bill

Bitte das nächste mal einen ausführlichen Text auf deutsch. Als ich mitten in der Nacht diesen kurzen Halbsatz auf englisch sah, dachte ich mir sofort: "Die sind gehackt worden."
 
Das traurige ist, dass das sogar noch stimmen könnte. Heutzutage muss man mit allem rechnen. :d
Beitrag automatisch zusammengeführt:


Wie klar soll es denn sein?

Um mal ein wenig genauer ins Detail zu gehen. Es gab zwei, drei Fälle im schwarzen Brett von gekaperten Accounts. Aber alles alte Accounts die letztmalig um 2016 aktiv waren. Daher gehen wir nicht von einem aktiven Leak aus sondern die Daten stammen wahrscheinlich aus einem alten Leak.
Es ist eben halt nur eine sehr kurze und knappe Erklärung. Und wie hilft jetzt dieser Passwort-Reset dabei? Wer von einem alten Account ein Passwort online findet, kann es einfach nutzen, um ein neues Passwort zu setzen und dann geht das Problem wieder los. Oder geht es nur darum, dass wenn das passiert der Account Inhaber eine E-Mail zugesandt bekommt? Wäre es nicht sinnvoller gewesen ein Passwort Reset über E-Mail anzustoßen oder geht das mit der Forensoftware nicht? So könnte jemand, der an das Passwort kommt, nichts mehr machen, außer er hat auch Zugriff auf das E-Mail-Konto.
 
Zuletzt bearbeitet:
Natürlich kam ne Mail!
Habe nichts erhalten.

Einfach nur gewundert, PW genommen, einen Buchstaben angeheftet, PW geändert, danach auf das alte zurückgeändert. 8-)

Ist eh schon mit der maximalen Länge und allen möglichen Variablen zur Vergabe sicher genug, vor allem vor nicht allzu langer Zeit erst eingerichtet.

2FA würde ich mir für jede Webseite wünschen, ob Forum, Shop oder was auch immer, vor allem mit „eingeloggt bleiben“. Wie oft musste ich mich da im Luxx mal anmelden? Alle paar Monate, da wären alle 30 Tage oder ähnlich auch okay.
Allerdings wäre es hier inzwischen echt angenehm, wenn man 2FA nicht kompliziert über drei Ecken nutzen muss, sondern das irgendwie kombinieren kann.
PassKey, einfache direkte Freigabe über ne App, ohne dass erst der Code kopiert werden muss.

Derzeit suche ich nach USB-C-Fingerabdrucksensoren für den PC, damit wäre alles so viel einfacher für beide Systeme, vor allem hier in HH bei Behördengängen online.

P.s. Bei zwei der gekaperten Accounts im schwarzen Brett war ich beteiligt und die Personen hätte.mehrer hundert bis tausend Euro verloren, das wäre sehr viel mehr als nur Lehrgeld gewesen.
 
Zuletzt bearbeitet:
Ich habe nur noch generierte Passwörter, die kann sich keiner merken.
 
ich sehe es beruhigt sich dann doch langsam ... guter Anfang.

Gibt in 1-2 Tagen von mir einen Überblick, was da gerade die >'Ursache>' ist, ihr dürft raten .... dann löse ich auf und wir lachen alle erst richtig.

ich verrate eines ... der Witz ist wirklich herrlich ......
 
sind sehr wohl Daten abhanden gekommen.
ABER sind Daten vom Luxx abhanden gekommen. Oder waren die Nutzer so ignorant die gleiche Adresse und Passwort andernorts auch zu verwenden und DIESE sind abhanden gekommen?
Dann kann das Lux team ja wirklich nichts dafür.


Verdammt nochmal, es wurden Accounts "gehacked" und deshalb wird eine Neuvergabe des Passwors empfohlen.
Gehackt ist das falsche wort
.
Es hat sich ein unbefugter Benutzer mit den korrekten Zugangsdaten angemeldet.
Wäre technisch korrekt.

Endeffekt ist der gleiche.


Ich denke auch nicht, dass ich meine vergesse.

Das sind in der Regel 2 Zahlen, ein Name und dann noch mal 2 Zahlen.

Geburtstag, Vorname, Geburtsmonat von Personen, die mir sehr nahe stehen.

Die sollte man nicht vergessen.
Das ist eine verdammt gute idee!
Vielleicht würde ich dann nicht immer den Geburtstag meines Vaters verpassen!


Ich habe nur noch generierte Passwörter, die kann sich keiner merken.
32 zeichen. Meistens so 200bit entropy.
Keepass Passwort generator sei dank.
Screenshot_20260719-011858_IronFox.png
 
Angreifbar ist man nur wenn sie es auf dein System schaffen, das ist aber nicht so einfach wenn man nicht ganz blöd ist.
 
32 zeichen. Meistens so 200bit entropy.
Keepass Passwort generator sei dank.
Nur musste ich dann feststellen, dass selbst meine Bank und andere Einrichtungen für Passwörter aus 6 neuerdings 8 Ziffern nutzen, was ein Fortschritt ist!
Dadurch sind nur Buchstaben und/oder nur Zahlen gültig, keinerlei Sonderzeichen möglich.. was eine Sicherheit.

Wenn das Anlegen, Synchronisieren/Mergen der Daten sowie einige Apps auf PC- und Android-Geräten nicht so schwierig wäre, hätte glaube ich jeder mindestens KeePassXC und DX auf seinen Geräten.
Brauchst halt ne Cloud privat oder gemietet, oder eben einen Anbieter, der App, Datenbankmanagement und Cloud anbietet. Wovon aber 3 der vier größten mehrfach auffällig schnell durchgefallen sind.
Angreifbar ist man nur wenn sie es auf dein System schaffen, das ist aber nicht so einfach wenn man nicht ganz blöd ist.
Langt bereits, wenn du einen Fehler machst und ein Broker an deine Daten kommt.
Ob durch Phishing, Unachtsamkeit (auch bei Profis), Fahrlässigkeit oder schlicht Unwissenheit.
Z. B. KeePass und Co. nützen nichts, wenn du die automatisierte Feldausfüllung aktiviert hast. Im Handy oftmals noch die Zwischenablage, die sich nicht selbstständig löscht und so etwas auch im Passwortmanager deaktivierst. ^^

Dann Jahrzehnte dieselben oder ähnliche Passwörter für eine oder mehrere Seiten. :LOL: 👾

In Zeiten von KI und potenten Systemen werden viele Seiten gehackt, Passwörter immer schneller ergattert oder selbst herausgefunden.

Hier in HH bei der CCC war es ein 16-stelliges PW ohne Sonderzeichen, nur Groß-, Kleinschreibung. Das Ding wurde mit KI binnen 7 Minuten herausgefunden. Zahlen dazu hat es schon 21 Minuten gedauert.
Ohne aktive Reaktion seitens der Hoster/Plattformanbieter wird sich das auch nicht ändern. Auf vielen Plattformen kannst du weiterhin unzählige Male das PW falsch eingeben, es passiert nichts, keine Benachrichtigungen per Mail, es läuft ein Sperrtimer ab.
 
Zuletzt bearbeitet:
Wir alle machen solche Fehler, gute Hacker gibts zum Glück aber nur wenige. Ich habe keine PW Manger, ich mach das wie immer. Gibt nicht viel zu holen und wenn würden sie es nicht verstehen.
 
hätte glaube ich jeder mindestens KeePassXC und DX auf seinen Geräten.
Brauchst halt ne Cloud privat oder gemietet, oder eben einen Anbieter, der App, Datenbankmanagement und Cloud anbietet. Wovon aber 3 der vier größten mehrfach auffällig schnell durchgefallen sind.
Iwoooo
.
Screenshot_20260719-013155_Keepass2Android.png


Dank Lokalem Key-file auf jedem Gerät kann man die Datenbank auch in ner öffentlichen Cloud speichern. So schnell wird die nicht gecrackt. (AFAIK)
Habs trotzdem über WebDAV aufm eigenen NAS.
 
Zuletzt bearbeitet:
Name: Admin
Passwort: Admin

123456
Normal eher 00000 oder so^^

Man muss das Zeug halt schon konfigurieren, sonnst nix gut.
Eigene Firewall!
 
Zuletzt bearbeitet:
WICHTIG: Sicherheitsmaßnahme – Aktualisierung deines Passworts

Hallo zusammen,

wir haben im Forum eine präventive Sicherheitsmaßnahme angestoßen: Alle Mitglieder werden beim nächsten Login bzw. über diese Benachrichtigung dazu aufgefordert, ihr Passwort zu ändern.

Warum das Ganze?

Es liegt aktuell kein Datenleck und kein Sicherheitsvorfall vor. Wir führen diese Aktion als reine Vorsichtsmaßnahme durch, um die Sicherheit der Plattform und eurer Accounts langfristig zu gewährleisten.


Vielen Dank für die kurze Mithilfe, um unser Forum sicher zu halten!

ziemlich ätzend, leute sowas aufzuzwingen, das ist ja schon fast MS/Google/Apple niveau, und nein, das ist nicht positiv gemeint.... hat mich richtig angeranzt das ändern zu müssen.
 
das wird wärmer, das ist Re-Authorize und als Zwang korrekt :).
 
ABER sind Daten vom Luxx abhanden gekommen. Oder waren die Nutzer so ignorant die gleiche Adresse und Passwort andernorts auch zu verwenden und DIESE sind abhanden gekommen?
Dann kann das Lux team ja wirklich nichts dafür.
Lies dich mal ein.
Als Betreiber der Plattform haftet, mit ziemlicher Sicherheit, das Luxx für den Verlust personenbezogener Daten der auf dieser entsteht, wozu auch Email Adressen zählen.

Wenn die User dann noch sensible Daten per PN tauschen und dann aufgrund eines Identitätsdiebstahls weitere Daten abhanden kommen IST DAS (RECHTLICH) EIN PROBLEM.

egal ob älterer, neuer oder drei mal gerührter leak.
Kann mir kaum vorstellen, dass das nicht so ist.

Außer man argumentiert, dass hier niemand mit seinem klarnamen unterwegs ist.
Außer @Holzmann.

Aber da bin ich kein Jurist.
Aber ne Mailadresse gehört dann dennoch in die Kategorie personenbezogen.
Das darf das Luxx alles zweckgebunden verarbeiten.
Gehen die Informationen flöten...Hat man nicht genug gegen den Verlust getan.

Das mit dem Kennwort. Ok.
Ja wird sich hier aufgeregt.

Das mit den Daten ist erheblicher.

Es sind hier User die auf das Thema mit den geklauten Accounts hinweisen.
Vom luxx kein Wort dazu.

Das ist bedenklich und hat ein geschmäckl.

Das mag unliebsam sein, sry wenn ich das breit trete.
Aber ist ein ernstes Thema.
@dbode @King Bill

Man sollte das klar stellen.
Das mag nach Zitat King Bill „klar“ sein, aus der Admin Sicht.
Ich sehe da noch Potential und Datenschutz betrifft die rechtlich haftenden Personen der Plattform.

Und wenn das zutrifft: keine ahnung ob da nicht auch ne meldepflicht greift

Edit: und hey. Wenn mein name damit unten durch ist. Ok
:)
 
Zuletzt bearbeitet:
Es ist immer gut wenn man einen guten Anwalt hat^^

FAL.png
 
Ne. So heiß will ich es nicht kochen.
Aber wenn man als GmbH auftritt ist das thema. Punkt.
Mag den usern egal sein.

Ernst nehmen muss man das.

Der DS Beauftragte regelt. Wenn er den bestellt ist.
 
Also das möchte ich mal sehen wie HWL dafür haftet, dass Leute hier Accounts kapern, weil sie aus externen Quellen E-Mails und Passwörter erbeutet haben, weil Leute die identischen Daten zum Anmelden hier ebenso genutzt haben. So hab ich das hier verstanden. Dafür kann HWL mal gar nichts. Wenn Nutzer so faul sind überall das gleiche Passwort mit der gleichen E-Mail Kombi zu verwenden, dann kann das überall passieren, ohne das der Plattformbetreiber irgendetwas falsch gemacht hat oder zur Verantwortung gezogen werden könnte. Wäre ja noch schöner.

"Hey, ich hab überall die gleichen Anmeldedaten genutzt! Aber ich bin nicht Schuld, die Plattformen tragen die Verantwortung!" xD
 
Guten Morgen aus Griechenland. Jetzt muss ich mich hier wohl doch mal melden,... (mein Status ist eigentlich gerade: Urlaub).

Zunächst einmal das Wichtigste: Es gibt keinen "Hack", und es sind auch keine Daten bei uns abhanden gekommen.
Das hätten wir wohl als Erstes einmal kommunizieren müssen, mit der Meldung von @King Bill konnte man dies ja nicht ausschließen.
Ist ein wenig mein Fehler, ich habe nur hier aus dem Urlaub intern die Anweisung gegeben "Aktion bitte umsetzen" :fresse:

Was ist passiert: Wir haben in den letzten Wochen ein paar Übernahmen von alten Accounts abgefangen. Das Vorgehen war hier immer dasselbe: Es wurde mit alten Accounts das Passwort geändert, die Emailadresse und 2FA aktiviert. Die betroffenen User haben sich aktiv bei uns gemeldet, da sie über die Änderungen bis zur Passwort-Änderung per Email in Kenntnis gesetzt worden sind und somit alarmiert waren. Das Forum hat ja glücklicherweise einige Sicherheitsmechanismen, so auch diese.
Insofern ist auch hier nichts passiert, die Accounts konnten ohne Nutzung des Angreifers wiederhergestellt werden.
Zumindest bei zwei Accounts konnte nicht ausgeschlossen werden, dass die Passwörter nicht ausschließlich fürs Luxx verwendet worden sind. Ein weiterer Leser hatte uns sogar davon in Kenntnis gesetzt, dass ihm das durch einen Leak schon bei anderen Plattformen/Apps passiert ist. Insofern gehen wir nicht von einem Leak bei uns aus. Dafür gibt es keine Anzeichen.

Intern ist dadurch aber eine Diskussion entstanden, wie man verhindern könnte, dass so etwas in Zukunft vielleicht passiert, ohne entdeckt zu werden - und somit dann für evtl. einen Betrugsversuch im Marktplatz genutzt werden könnte. Denn mehr kann man mit einem gekaperten Account bei uns ja auch nicht anfangen, höchstens dumm rumspammen. Um aber das Risiko zu minimieren, dass evtl. im Marktplatz mit einem falschen Account betrogen wird, haben wir jetzt angestoßen, die Passwörter auszutauschen.

Es wurden auch andere Maßnahmen diskutiert: 2FA ist eine davon. Heutzutage setzt jeder 2FA für seine wichtigen Apps ein, insofern würde ich empfehlen, das auch für Hardwareluxx zu aktivieren. Von der Admin-/Moderationsseite ist es sowieso aktiviert. Für die Leser wollten wir darauf noch verzichten als verpflichtende Maßnahme (was ja die Diskussion hier im Thread auch zeigt).

Edit: Übrigens als kleine Ergänzung: Während ihr einen Aufruf bekommen habt, das Kennwort selber zu ändern, sind alle inaktiven Accounts vor 2024 momentan gesperrt und können sich erst dann wieder einloggen, wenn (mit der existierenden Emailadresse) ein neues Kennwort vergeben worden ist.
 
Zuletzt bearbeitet:
Hey ich finde das echt gut das man das macht.

Eine Handynummer zwang zur Authentifizierung wäre besser. Kann ja im Account verborgen bleiben.

Den "edit"
Im Post oben finde ich sehr sinnvoll
Beitrag automatisch zusammengeführt:

dass evtl. im Marktplatz mit einem falschen Account betrogen wird,
Ist mir fast passiert leider. Hab nur Glück gehabt weil ich so misstrauisch war!
 
Zuletzt bearbeitet:
Die Erklärung passt schon @dbode (y)

Gab es denn jetzt im Vorfeld eine Information, wieso das ganze? Ich war mobil unterwegs und außer dem Passwort Wechsel Fenster gab es nichts.
 
Regen sich hier Leute echt darüber auf das sie erstmals zu einer Passwortänderung gezwungen werden, WTF.

Nach PW Änderung erfolgt eine Email Benachrichtigung (natürlich nur wenn man die Optionen dafür auch aktiv hat).

Wer 2FA was luxx anbietet nicht nutzt, sollte dankbar sein das luxx hier diesen Weg geht.

Also weniger meckern und ein Danke an das HWluxx Team da lassen.

Ich fände ein Zwang zur Nutzung von 2FA noch besser.
 
Regen sich hier Leute echt darüber auf das sie erstmals zu einer Passwortänderung gezwungen werden, WTF.
Nein, das tue ich nicht. Ich konnte nur nichts anderes mehr machen, als das PW Änderungsfenster zu sehen. Das kam mir dann im ersten Moment etwas komisch vor. Fenster war auch auf Englisch, das war einfach nur strange und kam so aus dem nichts. Kleine Info Box oder so etwas hätte vielleicht einige Fragen erübrigt im Vorfeld.

PW Geändert, alles läuft.
 
Regen sich hier Leute echt darüber auf das sie erstmals zu einer Passwortänderung gezwungen werden, WTF.

Nach PW Änderung erfolgt eine Email Benachrichtigung (natürlich nur wenn man die Optionen dafür auch aktiv hat).

Wer 2FA was luxx anbietet nicht nutzt, sollte dankbar sein das luxx hier diesen Weg geht.

Also weniger meckern und ein Danke an das HWluxx Team da lassen.

Ich fände ein Zwang zur Nutzung von 2FA noch besser.

Jetzt bist der 20. User der danch fragt. :-) Nein die leute haben nur kritisiert, dass es vorher keine richtige Info gab, sondern über Nacht & Nebel Aktion durchgeführt oder angestoßen wurde.
 
Jetzt bist der 20. User der danch fragt. :-) Nein die leute haben nur kritisiert, dass es vorher keine richtige Info gab, sondern über Nacht & Nebel Aktion durchgeführt oder angestoßen wurde.
Korrekt (y)
 
Der Kollege, der die Info schreiben sollte, war da halt gerade am Kühlschrank :fresse:
:lol::lol:

Ich denke aber, dass das jetzt ausgiebig diskutiert wurde und es mit Sicherheit beim nächsten Mal anders laufen wird
#Kühlschrankverbot :lol:
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh