Freitag, 30. Januar 2015

Zur Info: geocheck.org wurde gehackt

Neben geochecker.com ist die Webseite geocheck.org zumindest in Deutschland eine sehr beliebte Seite, um Cacher ihre errätselten Mysterykoordinaten prüfen zu lassen.


Nachdem in den letzten Tagen und Wochen große Listen mit Mysterylösungen aus ganz Deutschland auf Facebook und einer Webseite veröffentlicht wurden (Mehr Infos sehr schön beschrieben auf dem Blog Hilftdirweiter.de), wurde heute bekannt, dass ein Hackerangriff auf geocheck.org ausgeübt wurde . Auf der Webseite steht:

GeoCheck hacked!

Unfortunately, I have just learned, that Geocheck.org has been hacked. The entire database has been downloaded, including cache solutions and hashed passwords.

The passwords are hashed, so they are fairly secure, especially for longer or more complex passwords. However, to be sure, it is recommended for everyone to change their passwords. If you use the same password at Geocaching.com or other sites, I recommend changing them there as well. Additional security surrounding the passwords have been implemented going forward. Further, the vulnerability used to hack the site has been plugged.

A file has been released on the Internet with about 27.000 cache solutions. Of those about 50% comes from GeoCheck.org, the rest originate from somewhere else - exactly where is unknown at the moment.

To reiterate: The entire database has been downloaded, including all the cache solutions from GeoCheck.org. That means that there are still a lot of solutions downloaded that hasn't been published publicly (yet). Though sites hosting the file containing the leaked solutions have been contacted to try to force the sites to retract them, past experience unfortunately dictates that once data is in the wild it is hard/impossible to obliterate.

Words cannot express how sorry I am for this to happen - and how astounded I am of the time and ressources unscrupulous hackers will dedicate to hacking a site supporting the simple innocent pastime that is Geocaching - without any possibility of financial gain or glory. In an age where government sites and large corporations are hacked as a matter of course, providing bulletproof and complete protection for hobby projects such as GeoCheck has proven to be very difficult.

I can only appeal to the better nature of geocachers worldwide and earnestly implore folks to not use the coordinates to cheat - but instead acknowledge the time and effort cache owners have dedicated to creating interesting and ingenious puzzles.

Once again, I am very sorry for this to happen!

Sincerely,
Samuel AKA iChicken



Kurz gesagt wurde die gesamte Datenbank von geocheck.org runtergeladen und teilweise veröffentlicht . Ebenfalls wurden die Benutzerdaten heruntergeladen, allerdings sind diese verschlüsselt. Es wird trotzdem empfohlen, sicherheitshalber das Passwort zu ändern.

Ich weiß, das ist für viele ein Schock und wir sind alle sauer über diesen Hacker-Angriff auf eine privat betriebene Webseite, die das Geocachen einfach ein bisschen besser machen sollte. Versteht bitte, dass eine solche Seite nicht die gleichen Sicherheitsvorkehrungen haben kann wie ein großes Unternehmen - womit soll das auch finanziert werden?

Ich bin selbst auch vom Hack betroffen, denn mir gefiel geocheck.org immer besser als geochecker.com, allerdings tauchen meine Mysteries zum Großteil scheinbar (noch) nicht in den veröffentlichten Listen auf. Und ja, auch ich bin sauer und entsetzt, dass jemand so viel kriminelle Energie investiert, um Lösungen für Hobbyrätsel zu stehlen . Trotzdem gehe ich es jetzt nicht hastig an: Ich habe mein Passwort geändert und schaue mal, was passiert. Meist kann man ja eh schon aus den Logs lesen, ob jemand meine Rätsel wirklich gelöst hat. Und wenn nicht? Nunja, das kommt auch jetzt schon vor und im Endeffekt bescheißt ja jeder nur sich selbst und seine eigene Statistik. Ich habe mir mit den Rätsellistings Mühe gegeben und Zeit investiert - und das wird durch Mystery-Koordinaten-Schnorrer leider selten anerkannt, schließlich war das Lösen für sie keine Arbeit. Aber was soll's,... wenn ihnen der Punkt so wichtig ist. Bisher ist es eben noch nicht ausgeartet.

Übrigens steht die Veröffentlichung der Listen scheinbar in Zusammenhang mit dem geocheck.org Hack. Auch das hat der Blog Hilftdirweiter.de sehr gut zusammengefasst.

Kommentare:

  1. Jetzt, wo ich den Zusammenhang kenne, kann ich auch sagen, dass bei mir genau die Caches in der Liste sind, die den Geochecker auf GeoCheck.org haben. So ein Mist!

    AntwortenLöschen
    Antworten
    1. Ich nutze bei fast allen Mysteries geocheck.org und bin nur mit 3 Dosen drauf...

      Löschen
  2. Und als nächstes armseeliges Würstchen kommt dieser Abklemmer unter seinem Stein hervorgekrochen: https://geocachedieb.wordpress.com/

    AntwortenLöschen
  3. Auf der letzten mir bekannten Liste war ein Teil meiner Mysteries gelistet, aber eben nicht alle, die auch bei geocheck.org gelistet sind. Wie dem auch sei: Die Schnorrer erkennt man als geübter Owner mit einem Blick aufs Log.

    AntwortenLöschen