Intelligente Passwörter - Sicherheit kommt weiter

Die Daten lagen über Monate offen im Netz! Mindestens seit Ende August, davor läßt sich nichts finden. Außerdem nicht hunderte, sonder mehr als 10.000 Userdaten!

Einige Punkte dieses wirklich guten Artikels bedürfen einer Ergänzung:

1. Zitat: „Auf dem IntelliPoker-Server unter www.intellipoker.com.au waren für einige Stunden neben den Daten der öffentlich zugänglichen Benutzerprofile auch noch sogenannte Debug-Informationen zu sehen.“ Die Adresse ist eine com.ua. Im Gegensatz zu einer australischen Domain ist eine ukrainische etwas anders zu bewerten. Mal davon ab, dass die Isle of Man weder in Australien noch in der Ukraine liegt und es eine ganze Reihe weiterer Intelli-domains in der Ukraine gab, auf denen kundenrelevante Daten vorgehalten wurden stellt sich die Frage, was sicherheits- und datenschutzrelevante Kundeninformationen in der Ukraine und damit abseits des aufwendigen Sicherheitskonzeptes von Pokerstars zu suchen haben.

Das Sicherheitsleck war seit mindestens 29.08.09 gegeben (ältester Google-Eintrag) und nicht nur für kurze Zeit.

2. Zitat: „IntelliPoker hat prompt reagiert und die Seite zunächst vom Netz genommen.“ Intelli hat erst dann reagiert, als User in einem thread auf diesen Umstand hingewiesen haben. Allerdings war die erste Maßnahme, das Forum zu schließen, um damit kritische Stimmen und die Verbreitung dieses Skandals zu verhindern. Die Mitglieder der italienischen und spanischen Intelli-Seiten sind bis dato nicht auf der Startseite deren Foren informiert worden.

3. Zitat: „Insgesamt 495 Profile konnten gesichert werden, in denen neben Usernamen und Emailadresse auch statistische Daten wie die Anzahl der IntelliPoker-Punkte und Ähnliches zu finden waren.“ Wenn das die nachweisbaren sein sollen- ich habe 12.461 gesichert. Das exakte Ausmaß dieses Skandals werden wir wohl leider nie erfahren.

4. Zitat: „Nicht jeder Zwischenfall wird bekannt, aber im Falle von IntelliPoker wurde angemessen reagiert. Die User wurden informiert und mit neuen Passwörtern versorgt. Wie viele von ihnen werden es aus Bequemlichkeit sofort wieder in ihr altes ändern?“ Hier wurde in keinster Weise angemessen reagiert sondern in Punkto Aufklärung vertuscht und gelogen. Das deutschsprachige Intellipoker-Forum wurde erst vom Netz genommen, als kritische Beiträge auftauchten, die Blogkommentare, die auf den Umstand der Offenlegung von Daten hinwiesen, wurden gelöscht und die Kommentarfunktion der entsprechenden User gesperrt.

5. Bei Pokerstars geänderte Mailadressen werden durch Pokerstars trotz bestehendem Sicherheitsrisiko an IntelliPoker weitergeleitet.

6. Daten von Usern, die sich vor geraumer Zeit schon bei IntelliPoker haben löschen lassen, wurden auch nach accountlöschung weiterhin gesammelt, wie im Zuge dieses Datenskandals öffentlich wurde.

7. Bei den panischen ‘Aufräumaktionen’ der Admins kam es zu weiteren Fehlern: u.a. wurde das VIP-board von Intelli veröffentlicht und als besonderes Schmankerl das gesamte interne Adminboard.

nach neustem stand sind wir nun bei dem 3 sec hole innerhalb von einer woche bei intelli.

betroffen diesmal das ticketsystem des supports dessen daten offen liegen.

das hat mit datenschutz allerdings nur noch am rande zu tun was intelli da betreibt. das ist tag der offenen tür.

Die Diskussion kann doch hier geführt werden: http://www.pokerring.com/posts?comm...=7437

“6fotzen6” Jo. Bombe Passwort.

Mein Passwort wird angeblich innerhalb von ‘unter 1’ Sekunden geknackt. Ohoh. Naja – ich habe auch keinen Intelli Account.

Also mein Password ist unknackbar es lautet michael1982 da kommen die nie drauf,ist nämlich der name und gleichzeitig der geburtsjahrgang meines liebsten

Hi, Echt Hammer hart die Leute von Intelli. Mal von der Panne abgesehen, was echt eine Sauerei ist, haben sie darauf hin das Forum deaktiviert das die Panne nicht weiter verbreitet wird. lächerlich wenn man mich frägt, immerhin gibt es andere Foren. Zumal solch eine Panne sicherlich nicht im Forum des Betreibers der Panne diskutiert wird.

Die nächste Sauerei ist, das Forum geht wieder, ich äußere mich ein wenig kritisch und zack wurde mein Account gesperrt. Angeblich wegen Multi Account da 8 Accounts gleichzeitig mit meiner IP unterwegs wären.

Abgesehen von dieser Sperre kommt dann hinzu das die kritischen Posts von mir dann auch umgehend gelöscht wurden.

Zensur wie in China würde ich dazu sagen. Erinnert mich an DDR Zeiten.

Sowas von solch einer Community. Und dann das Argument der Betreiber es wären Prozentual gesehen nur wenige Accounts. Selbst bei NUR 1% wären das 10.000 Accounts mindestens.

Da könnte ich mich so aufregen.

Scheiss auf Meinungsfreiheit, scheiss aufs Grundrecht. Vertuschen ist das was zählt…

Leute (USER), seid ihr so naiv oder tut ihr nur so? Was soll es denn bitte nützen, 2 Mailaddis zu hinterlegen? Der springende Punkt ist doch:

RATIONAL INSTRUCTION SERVICES Ltd. = POKERSTARS = INTELLIPOKER

Da liegt doch der Hase im Pfeffer (die ”=”-Zeichen bedeuten “ist gleich”). Selbst wenn ihr 100 Mailaddis bei RIS-Ltd. habt… werden die Daten dadurch sicherer, will heißen vertrauenswürdiger behandelt? Imo not, ldo… ALLE DATEN machen sofort die Runde und landen wieder in den selben Händen. Das kann ich persönlich mit meinem Gewissen nicht vereinbaren, mal völlig abgesehen von der Marschrichtung dieses Vereins namens IntelliPoker.

Es bleibt ja jedem selbst überlassen, ob er diesen völlig offensichtlichen Lügen:

...glauben schenkt. Ich für meinen Teil tue das sicher nicht. Erst recht nicht, nachdem man einmal angekündigt hatte, seine Fehler einzusehen und in Zukunft “näher an der Community” operieren zu wollen und dieser mit mehr Respekt und Offenheit zu begegnen – was sich als völlig leere Worte herausstellte. In dem Zusammenhang ist die Äußerung von “damals” absolut ein heftiger Schlag ins Gesicht.

In diesem Thread kann man sich übrigens mal erkundigen, welche Daten da wirklich offen lagen: http://forumserver.twoplustwo.com/82/interne...0696/

Dass eine Panne auftreten kann (zu den andren beiden sag ich mal nix) ist völlig verständlich wo Menschen arbeiten, aber dass man derart vertrauensvolle Aufgaben in obv völlig inkompetente Hände gibt (Foren-Testumgebung, Testdaten = reale Daten etc pp) steigert das Risiko natürlich enorm. Das wurde bewusst in Kauf genommen (Admin rausschmeißen mitten während der Umstellung etc). Weiters ist einfach der Umgang mit dieser Panne schon absolut als dilettantisch, wenn nicht sogar als kriminell einzustufen, und das wird DEFINITIV nicht ohne Folgen bleiben.

Dann, nochwas – wie kann man eigentlich so strunz-dämlich sein und in einem Thread bzgl Datensicherheit und Aufklärung (besser: Verdacht auf DatenUNsicherheit, Lügen, Zensur und Vertuschung) massiv Beiträge zensieren? Wie sieht das wohl nach außen aus, für diejenigen, die alle paar Minuten die Seite aktualisieren, sich aber nicht zu Wort melden sondern erstmal die Lage sondieren? Woher kommen wohl die atm 4000 Klicks? Sag ich mal lieber nix zu, soweit sollte jeder selber denken können, der seinen Menschenverstand nicht in IPP ertränkt (hat).

Abgesehen von diesen Umständen bin ich hier übrigens mal Mitglied geworden, um mein Spiel zu verbessern (ich möchte die Gelegenheit nutzen, allen die dazu beigetragen haben hiermit zu danken) und nicht um mich ständig aufs neue ärgern zu müssen und mir Sorgen um alles mögliche machen zu müssen. Ergo konzentriere ich mich fortan an geeigneter Stelle (!!) ausschließlich auf erstgenanntes und wünsche Euch USERN allen noch viel Spaß und Erfolg.

Fakt ist, solange derartige ignorante Stümper am Werk sind, bin ich persönlich mit dem Laden RATIONAL INSTRUCTION SERVICES komplett durch. In dem Zusammenhang war das hier jetzt auch mein offiziell letzter Post auf IP, auch wenn ich wider Erwarten ob meiner kritischen Worte nicht gebannt werde.

Abschließend würde ich den IP-MA persönlich empfehlen mir in nächster Zeit verstärkt Gedanken um die private Zukunft zu machen (Job etc), ist nicht als Drohung zu verstehen sondern als ernstgemeinter Rat basiernend auf ein paar Funken Verstand, und der IP-GeFü würde ich doch noch nahelegen wollen, den Namen der Firma zu ändern und auch gleich den Slogan – das passt irgendwie alles nich so ganz zusammen, will heißen ist an Lächerlichkeit nicht zu toppen.

[x] haz done [x] can ban

—-—-—-—-—-—-—-— Beitrag wurde umgehend gelöscht

Absender: HungryEyes42 Betreff: ‘Du hast im Forum IntelliPoker eine Verwarnung erhalten’

Klicke auf OK, um sie anzusehen oder auf Abbrechen, um dieses Fenster zu schließen. Du wurdest aus folgendem Grund gesperrt: Gebrauch des Hausrechtes Ende der Sperre: 05-12-2009, 13:00

Diesen “Abschiedspost” hatte ich bei IP gepostet, er ist umgehend gelöscht worden. Ich persönlich bin mit Rational Instructions Services fertig (schon seit >14 Tagen).

Die angesprochenen Lügen im obigen Post (Zitat wurde nicht mitkopiert) betreffen die FAQ im aktuellen Thread zum Thema bei IP:

F: Welche IntelliPoker-Daten waren einsehbar? A: Die einzigen sensiblen Daten waren IntelliPoker Username, E-Mail-Adresse und das verschlüsselte Passwort

F: Warum lagen meine Daten auf einem ukrainischen Server? A: Eure Daten lagen nicht auf ukrainischen Servern.

F: Ich habe keine E-Mail von IntelliPoker erhalten. A: Wenn ihr keine E-Mail vom IntelliPoker-Support erhalten habt, dann waren eure Daten nicht offen gelegt.

Ne Meinung kann sich jeder selber bilden, diese Veröffentlichung hier dient ausschließlich der Information.

@Kurier Zitat: “Der Server sowie die Daten haben Deutschland mit Sicherheit nie verlassen.”

Natürlich nicht, die wurden bit für bit per Luftpost in die Ukraine gesendet und erst dort zu bytes zusammengebaut.

Zitat einer Intelli-Verantwortlichen in besagtem thread und den FAQ:

“Q: Warum lagen meine Daten auf einem ukrainischen Server? A:Eure Daten lagen nicht auf ukrainischen Servern. Wir benutzen nur ukrainische Domains für unsere Test-Seiten, da das IntelliPoker-Entwickler-Team in der Ukraine sitzt.”

Leider ist bei Intellipoker auch ein weiters posting gelöscht worden, das mitteilte, wir das Sicherheitsloch des Datenaustausches Pokerstars-IntelliPoker gestopft werden kann: einfach durch Löschung des Intelli-accounts und Forderung nach endgültiger Löschung der Daten.

Hier eine Kopie des pokerstars-support zu diesem Thema:

Hallo Christian,

Vielen Dank für Ihre Email.

Wir können verstehen, dass Sie bezüglich dieser Situation besorgt sind. Eine Schießung Ihres IntelliPoker-Kontos stoppt sämtliche Datenübertagungen von PokerStars zu IntelliPoker.

Zusätzlich besteht auch die Möglichkeit Ihr IntelliPoker-Konto permanent (unwiderruflich) schließen und gespeicherte persönliche Daten löschen zu lassen.

Falls Sie Ihr IntelliPoker-Konto schließen oder eine permanente Kontoschließung mit Löschung Ihrer persönlichen Daten beantragen wollen, senden Sie bitte einen dementsprechenden Antrag zu ‘privacy@intellipoker.com’.

Wir bitten Sie um Ihr Verständnis.

Mit freundlichen Grüßen,

............................ PokerStars Support

@nh sir: Zum Zeitpunkt meiner Recherche war der Server-Standort in Deutschland. So wie jetzt auch für den von Ihnen genannten in.ua

Wenn es sich wirklich verhält wie Sie es beschrieben haben und zu einem anderen Zeitpunkt die IP auf einen russischen Standort schließen ließ, dann habe ich das oben stehen Posting nie verfasst.

Eine Who-is-Abfrage indes beunruhigt mich nicht. Das wird schlicht eine Strohpuppe sein, die für die Registrierung ihren Namen hergibt. Zu dem Zwecke muss sie weder Zugriff auf den Server haben noch in sonst einer Form damit in Berührung kommen.

Dass die Summe er Details ein etwas verblasstes Bild nicht auffrischen ist aber auch klar.

@kurier Zitat: “Eine Who-is-Abfrage indes beunruhigt mich nicht. Das wird schlicht eine Strohpuppe sein, die für die Registrierung ihren Namen hergibt. Zu dem Zwecke muss sie weder Zugriff auf den Server haben noch in sonst einer Form damit in Berührung kommen.”

Da Du ja Ahnung von der Technik und/oder den Datenstrukturen bei Intelli/Pokerstars zu haben scheinst- kannst Du mir als Techniklaien mal bitte erklären, warum man über Strohmänner gemietete ukrainische Domains benutzt, für Zugriffe auf Server, die JETZT eine deutsche IP-Addy haben, nur damit ukrainische Entwickler, die nach Deiner Lesart ja in Deutschland arbeiten müssen, da die Daten ja Deutschland nie verlassen haben, auf eine Testumgebung in Gütersloh zugreifen können, wo ein Server mit ukrainischer Domain betrieben wird? Mal davon ab, dass die header in Kyrillisch geschrieben waren und eine Weiterleitung auf eine komische Seite (seltsam nur für mich, der kein kyrillisch kann), ‘pokerstarter.ru’ aufwiesen? Bis jetzt habe ich nur an eine gezielte Desinformation der USer durch IntelliPoker geglaubt, Deine Aussage als Kenner der Intelli- und Pokerstars-Netzwerke von wegen Benutzung von ‘Strohpuppen’ durch IntelliPoker wirft ja noch mehr Schatten auf den ganzen Datenskandal.

Zitat: “Das wichtigste gleich vorweg: Ich arbeite nicht für IntelliPoker und habe auch keinen Einblick in das Unternehmen.”

Hättest Du nicht extra erwähnen brauchen- das merkt man sogar als Laie auf dem Gebiet der Datensicherheit. Wenn Du bei IntelliPoker arbeiten würdest, wüsstest Du wie die Serverstrukturen aussehen (die sind frei im Netz einsehbar).

Also nochmal: die Intelli-Daten liegen Deiner Meinung nach auf einem Server in Gütersloh (liegen sie nicht- nur zu Deiner Info). Man hat bestenfalls eine Domain in Gütersloh zur Weiterleitung in die Ukraine benutzt. Ansonsten machen eine com.ua + weitere ukrainische Domains überhaupt keinen Sinn.

Nach Deiner Aussage (Strohpuppen) hat man also Serverspace in Deutschland angemietet, um eine Testumgebung für die IntelliPoker-Entwickler zu realisieren, die aus der Ukraine kommen und dort auch heute noch ansässig sind. Aus dem Grund musste man selbstverständlich auch den Server, der in einem 19”Rack in Gütersloh derart beschissen und ohne Rücksicht selbst auf die Grundlagen der Sicherung persönlicher Daten konfiguriert war, dass dies niemals unter der Flagge des Providers, den Du genannt hast geduldet worden wäre, unter einer ukrainischen Domain laufen lassen. Da IntelliPoker die nicht selbst belegen konnte, hat man diese ukrainische Domain über eine Agentur eingekauft, die wiederum über Strohmänner belegte Domains verscherbelt. Deine Erklärungen hören sich superseriös an wenn man, wie ich, keinerlei Ahnung von Datennetzen und deren Konfiguration hat.

Also- nochmal als Techniklaie zusammengefasst (korrigiere mich bitte, falls ich etwas falsch wiedergebe oder falsch verstanden habe:

1. Um eine Testumgebung für ukrainische Entwickler einzurichten, mietet man Webspace auf einem Server in Gütersloh. Da die Entwickler ukrainische Staatsbürger sind und in der Ukraine leben und arbeiten und sich ja auch in der Testumgebung wohl fühlen sollen, kauft man über eine Firma ukrainische Domains. Die Inhalte, die man u.a. als IntelliPoker über die com.ua vermitteln wollte (Deine Worte) konnten wir alle sehen- vielen Dank.

2. Man kopiert zumindestens mal 12k User (die Zahl ist als Minimum anzusehen, weil deren Datensätze, wie ein Vorposter schrieb, kopiert worden sind) aus der MySQL-DB des Intelli-Forums.

3. Man kopiert diese Daten aus einer Unix-Umgebung in eine Windows-Umgebung (schau Dir nur einen kopierten Datensatz an, dann weißt Du auch was ich meine).

4. Dann stellt man nacheinander erst die Userdaten (mit weit mehr Inhalt als IntelliPoker zugeben will), dann das komplette VIP- und Adminboard von Intellipoker und zum Schluss das komplette Helpdesk (das im übrigen von Pokerstars und nicht von Intelli betrieben wird- nur so zum Thema Trennung der Daten stars/Intelli) komplett offen und für jeden einsehbar ins Netz.

5. Die Bediener dieser genialen Testumgebung, die u.a. die Trennung der .it, .es, .de von der Intellipoker.com als originäre Aufgabe zu haben schien, haben es sogar geschafft, Sicherheitszertifikate falsch zuzuordnen und Beiträge aus dem deutschsprachigen Forum ins italienische bzw. spanische Forum wandern zu lassen (man sollte die user mal darauf hinweisen, dass die im counter fehlenden Beiträge quer durch europäische Foren mit Umweg über die Ukraine gewandert sind).

Also- erwarte kein Verständnis (schon gar kein technisches, bitte) für diese ungeheuerlichen Vorgänge und die nun verbreiteten Lügen, andere würden nach solch einem Skandal schon lange in der Zeitung stehen.

@kurier: eine einzelne privatperson zur nutzung einer domain in der ukraine, vermittelt über eine agentur, die speziell dafür strohmänner vorhält um gegen ukrainische auflagen und vorschriften zu verstoßen. damit fernwartungsarbeiten an deutschen servern vorgenommen werden kann…

ja das bild das sie zeichnen ist in der tat sehr vertrauenserweckend. sie beschreiben da mafiöse verhältnisse. ;)

spaß bei seite. das ist ziemlich großer unfug…

übrigens die server von intelli in gütersloh sind unix/linux basierend mit apache webservern. die beiden maschinen die daten freigesetzt haben waren beides windows xp systeme mit iis 6.0. derartiges steht bei filoo in keinem 19” rack… ;)

bevor sie fragen woher ich das wissen will, die freigelegten debuginformationen waren recht umfangreich.

zitat kurier: “Die Entwickler administrieren die Server komplett aus der Ferne. Ein physikalischer Zugriff ist dabei überhaupt nicht von Nöten.”

am rande, auch bei einer fernwartung gibt es einen physiklischen zugriff. datenübertragung von deutschland in die ukraine per telepathie verlangt nach einer anderen art von medium… ;)

...spaß bei seite. das ist ziemlich großer unfug…

Danke! :)

übrigens die server von intelli in gütersloh sind unix/linux basierend mit apache webservern. die beiden maschinen die daten freigesetzt haben waren beides windows xp systeme mit iis 6.0. derartiges steht bei filoo in keinem 19” rack… ;)

Bei Intellipoker.com sehe ich einen Windows Server 2003, Microsoft-IIS/6.0

bevor sie fragen woher ich das wissen will, die freigelegten debuginformationen waren recht umfangreich. Smile

C:\Inetpub\wwwroot\IntelliPoker-multidomain\ip.php*

zitat kurier: “Die Entwickler administrieren die Server komplett aus der Ferne. Ein physikalischer Zugriff ist dabei überhaupt nicht von Nöten.”

am rande, auch bei einer fernwartung gibt es einen physiklischen zugriff. datenübertragung von deutschland in die ukraine per telepathie verlangt nach einer anderen art von medium… ;)

Selbst wenn etwas wie LARA zum Einsatz kommt würde ich nicht von einem physikalischem Zugriff sprechen wollen. Die Mitarbeiter beim Hoster haben physikalischen Zugriff

wie ihr hattet nicht mal geld für ein ordentliches RIB ? wow…

genauere betrachtung hilft weiter. auf den maschienen lief ein internet information service und nicht der server. ganz klitze kleiner unterschied… wenn du mir erklärst unter kollegen wie man den service auf dem server zum laufen kriegt und warum man das tut applaudier ich öffentlich.

schön das das visier nun oben ist und unter kollegen, für was die domains in der ukraine gut waren wissen wir beide. sinn machen die nur unter einer bedingung, nämlich das die programmierer in der ukraine lokale testumgebungen hatten. die wurden über diese domains ins netz genommen. für alles andere brauch keiner diese domains.

ist auch alles ganz nett und absolut ok. scheiße ist und das ist der punkt wo ihr unprofessionell wart, für die tests echte kundendaten zu nehmen und die testböcke nicht ordentlich abzusichern. debuginfos kann man auch lokal in files schreiben lassen ausserhalb des roots und muß die nicht direkt ausgeben. wenn man sie live will kann man die auch umleiten. gibt da tolle funktionen wie mod rewrite und so, dann crawlt die auch kein bot mehr.

der rest ist die typische intellinummer wie immer. kein ordentlicher support und die kunden für blöd verkaufen. kopf in den sand wenn was schief geht und aussitzen. dafür kann die it aber nix.

war ne nette unterhaltung kurier. schönes we

@nh sir

Moment, nicht so schnell. Unter Kollegen sind wir. Per Du sind wir auch sehr gern. Aber zu Intelli gehöre ich nicht, wie gesagt.

Eine lokale Testumgebung werden die Entwickler naturgemäß haben. Davon kann man ausgehen. Warum sie ungesichert ins Netz genommen wurden wird so rätselhaft bleiben wie der Umstand, dass sie über es über eine solange Zeit waren.

Ich bin leider viel zu spät darauf aufmerksam gemacht worden und habe das Beste leider verpasst.

Immerhin hat es mir aber noch eine nette Unterhaltung beschert. Vielen Dank und auch Dir ein schönes Wochenende