• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

Angriff auf geocaching.com Account

zeras

zeras

Geocacher
Am 20.6. erhielt ich 4 E-Mails dieser Art:

This is an automated email from Groundspeak in response to a password reset request for user zeras from IP address xxx.xxx.xxx.xxx.

Please visit the following page to reset your password:
...

Da ich keinen Passwortreset angefordert hatte, ignorierte ich die E-Mails. Tags darauf konnte ich mich nicht mehr in meinen Account einloggen (Passwort ist im Browser gespeichert) - das Passwort war geändert worden. Ich nutzte einen der Tags zuvor gesendeten Links und änderte mein Passwort wieder (auf was sehr langes, neues).
In der Zwischenzeit hatte bereits jemand meine emailadresse im account geändert.
Die IP von der die Resetanfrage kam lässt sich zu einem Bereich der O2/Telefonica München zurückverfolgen. Ob die denjenigen finden (wollen) der in dem Zeitraum die IP genutzt hat ist fraglich - aber versuchen kann mans ja mal.

Kennt jemand ähnliche Fälle?

Zeras
 
hustelinchen

hustelinchen

Geoguru
Hallo, also davon habe ich noch nichts gehört, aber was hat man davon? Wenn es mein Bankaccount wäre ok, aber ein Spieleraccount?
 
T

Team Hellspawn

Geowizard
Och, das kommt öfter vor, bei Browser Spielen um zu mogeln, um zu zeigen das man es kann, um das Pass wort zu bekommen weil viele das gleiche PW in verschiedenen Situationen benutzen...

LG
 
C

cahhi

Geowizard
War Dein altes Passwort erratbar (sprich irgendwas aus dem persönlichen Bereich wie Name des Hundes) oder trivial ("geheim", "12345", "passwort" etc.)?

Hast Du Deinen PC gründlich auf Viren gecheckt, alle aktuellen Updates (Browser, Flash, Java, Acrbobat, Betriebssystem) drauf?
 
S

slowfox

Geoguru
Wurde in Hamburg nicht mal ein Account gekapert?

@cahhi
Hast Du davon nichts mitbekommen? Vielleicht weißt Du sogar mehr?
Mir ist der Name des Cachers bekannt, aber da er im anderen Thread nicht genannt wird, nenne ich ihn hier auch nicht.
 
me_mjt

me_mjt

Geocacher
zeras schrieb:
Am 20.6. erhielt ich 4 E-Mails dieser Art:

This is an automated email from Groundspeak in response to a password reset request for user zeras from IP address xxx.xxx.xxx.xxx.

Please visit the following page to reset your password:
...

Da ich keinen Passwortreset angefordert hatte, ignorierte ich die E-Mails. Tags darauf konnte ich mich nicht mehr in meinen Account einloggen (Passwort ist im Browser gespeichert) - das Passwort war geändert worden. Ich nutzte einen der Tags zuvor gesendeten Links und änderte mein Passwort wieder (auf was sehr langes, neues).
In der Zwischenzeit hatte bereits jemand meine emailadresse im account geändert.
...
Zum Vergrößern anklicken....
Der Link für die Passwortänderung wird ja an Deine Mailadresse versand. Wie hat den derjenige die Mail bekommen? Wenn ich davon ausgehe, dass die meisten Leute, die Accounts kapern, keine Profis sind, solltest Du mal die Passwörter Deiner sämtlichen Mailaccounts ändern.

Sicher ist es mit einiger "krimineller Energie" und Know-How möglich, sowas auch anders zu machen, aber ein gekaperter Mailaccount ist die simpelste Lösung. Zumal viele Leute ihre Passwörter sehr locker handhaben.

Markus
 
steingesicht

steingesicht

Geoguru
Vor einiger Zeit hat es im Stuttgarter Raum auch mal solche password reset Anfragen gegeben bei denen die Cacher nichts mit der genannten IP anfangen konnten. Soweit ich weiss wurde allerdings nichts an den Accounts geändert, die Sache ist dann auch im Sande verlaufen.
 
steingesicht

steingesicht

Geoguru
:kopfwand:
Also ich habs grad mal ausprobiert:
wenn man einen PW-reset anfordert bekommt man eine Email mit einem Link im Format: http://coord.info/TD0123456789abcdef01234567890
Diesen Link habe ich in die Adresszeile kopiert und eine Ziffer verändert und bekam dann folgende Seite zu sehen:
changeGCpassword.png
Und mein GC-Nick ist nicht Jetfool....
:lachtot: :irre: :kopfwand: :hilfe: :shocked:
Herr lass Hirn regnen.....
 
steingesicht

steingesicht

Geoguru
... was man jetzt mit einer ausreichenden Anzahl an PW-reset requests und einigen Versuchen mit dem Link machen darf sich der geneigte Leser selber ausmalen.
 
C

cahhi

Geowizard
slowfox schrieb:
@cahhi
Hast Du davon nichts mitbekommen? Vielleicht weißt Du sogar mehr?
Zum Vergrößern anklicken....

Nein, mehr als ich im damaligen Thread geschrieben habe, weiß ich nicht.

Zur aktuellen Entwicklung (schon an Groundspeak gemeldet?)

Der obige "Angriff" ist ungezielt und es würde keine Mail ausgelöst sondern "nur" das Passwort geändert, das passt auf den aktuellen Fall nicht ganz. [edit] (Ok, doch, der Änderungslink gilt nur 3 Tage)[/edit]

Mir fiele aber schon ein relativ einfacher Weg ein, auf dem man als Angreifer relativ einfach eine zusätzliche Kopie der Mail (und damit den Änderungslink) an eine beliebige Adresse bekommen könnte. Dazu muss man in keine Server einbrechen, keine Passwörter auslesen, ein stinknormaler Browser langt...
Ob das bei geocaching.com klappt oder nicht, kann ich aber nicht sagen und werde es auch nicht ausprobieren...
 
steingesicht

steingesicht

Geoguru
cahhi schrieb:
Der obige "Angriff" ist ungezielt und es würde keine Mail ausgelöst sondern "nur" das Passwort geändert, das passt auf den aktuellen Fall nicht ganz.
Zum Vergrößern anklicken....
was heisst ungezielt: ich löse für einen eigenen und den Anzugreifenden Account ein PW-Reset aus und anschliessend teste ich ausgehend von der selbst erhaltenen aus per Script verschiedene Links durch - im einfachsten Fall wurde nur um eins nach oben gezählt.
 
baer2006

baer2006

Geoguru
steingesicht schrieb:
Also ich habs grad mal ausprobiert:
wenn man einen PW-reset anfordert bekommt man eine Email mit einem Link im Format: http://coord.info/TD0123456789abcdef01234567890
Diesen Link habe ich in die Adresszeile kopiert und eine Ziffer verändert ...
Zum Vergrößern anklicken....
Ich wollte das grad nachvollziehen, und hab für einen ungenutzten Zweitaccount 3x hintereinander einen "Change Password Request" losgeschickt. Die 3 URLs unterschieden sich nur in je zwei Zeichen. Aber wenn ich diese beiden Zeichen dann weiter verändert habe, kam keine gültige URL heraus ("Page unavailable"). Ganz so einfach scheint es also nicht zu sein, auf gut Glück eine URL zum Ändern des Passworts eines Fremdaccounts zu erstellen.
 
T

Team Hellspawn

Geowizard
Hm, wenn es einmal gegangen ist werden die fixen Besessenen da draussen bestimmt recht schnell das System bestimmen.
Und Exploits sind einfach zu benutzen, man muss sie ja nicht begreifen! ^^

LG
 
OP
zeras

zeras

Geocacher
Die Computer von denen ich den Account nutze sind für Windows Systeme recht sicher. Tagesaktueller Patch Stand. Gestaffelter Virenschutz. Mindestens Router dazwischen der NAT macht. Das Passwort war zwar kurz aber kryptische Buchstaben und Zahlenfolge - kein Dictionaryangriff möglich.
Das ich 4 Passwort-Reset E-Mails bekommen habe spricht "erst mal" dagegen das mein Passwort bekannt war.

Ein interessante Idee das es durchaus im Bereich des Möglichen ist das der Link für den Passwortreset generiert werden könnte....

Mir geht es vor allem darum zu erfahren ob ich nun ein gezielter Einzelfall bin oder ob hier großflächig versucht wird Accounts auszuspähen.
Was man davon hat?
Nun gabs da nicht mal einen Fall wo (erfolgreich) versucht wurde Final Koords von Multis und Mysterycaches des Accounts/Owners auszuspähen?

Für einen gezielten Angriff spricht meiner Ansicht nach das erstens der Zugriff aus München kam und zweitens wohl extra ein Emailaccount erzeugt wurde und der in meinem Account als Primary angegeben wurde (zerasATweb.de) Ein Account der nicht zu mir gehört.
 
steingesicht

steingesicht

Geoguru
zeras schrieb:
Das ich 4 Passwort-Reset E-Mails bekommen habe spricht "erst mal" dagegen das mein Passwort bekannt war.

Ein interessante Idee das es durchaus im Bereich des Möglichen ist das der Link für den Passwortreset generiert werden könnte....
Zum Vergrößern anklicken....

Durch die 4 Resetversuche erhöht sich vor allem die Trefferwahrscheinlichkeit wenn man per script versucht den passenden Reset-Link zu generieren.
 
Kocherreiter

Kocherreiter

Geowizard
Sowas geht leider sehr schnell.
Mir wurde vor längerem mein Facebook-Account geknackt - ich weiss noch immer nicht wie.
Das Einzige was die dort damals machten, waren meine ganzen Poker-Chips zu "stehlen".
Glücklicherweise hat Zynga.com die sehr schnell wieder gefunden und zurück gegeben.

Seitdem mache ich immer dies wenn ich eine Mail wie der TE bekomme:
1) Ich starte sofort die entsprechende Seite in meinem Browser - nie über den Link (sollte klar sein)
2) Ich schaue ob meine eMail-Adresse noch richtig hinterlegt ist
3) Ich ändere das Passwort
4) Ist die eMail-Adresse schon geändert muss auch sofort das Passwort des Mail-Accounts geändert werden.

Seitdem hatte ich glücklicherweise keine Probleme mehr.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben