wastl07 / franz007

[Gremlin]

Moin,
der User um den es hier geht tritt unter verschiedenen Namen auf, bislang sind mir folgende bekannt: wastl07 und franz007 er zieht eine ganz besonders dreiste Betrugsnummer ab mit der er an Userdaten gelangt.

Ich kann es nur vermuten wie er es macht, aber er fertigt Kopien von Datenbanken an, bislang sind mir folgende Seiten bekannt die betroffen sind:

- *edit* Möchte nicht genannt werden
- www.lose-alm.de

Diese Daten speichert er lokal auf seinem Computer. DIe Passwörter der User knackt er mit einem md5 Bruteforcer etc. und geht anschließend auf die Kosten der User einkaufen.

Bei mir im Shop wurde gestern für mehrere Millionen geklauten Losen eingekauft über seine IP die ich mitlogge in meinem Shop konnte ich jedoch rausbekommen wer es ist, bei Klamm wurde dieser Vorfall schon gemeldet.

Aber meine bitte:
1) Wenn ihr auf einer der Seite angemeldet seid, ändert eure Passwörter vorallem Lose-PW
2) Gebt niemals FTP oder MySQL Zugang an User raus es sei denn ihr habt 100%iges Vertrauen in diesen User und kennt ihn bevorzugt auch schon persönlich.


Gruß
Gremlin

[Racheengel]

Ich selbst gehöre zu den Geschädigten dieses Users. Bei mir hat er gestern Abend knappe 9 Millionen vom Konto "geklaut". Und ich kenne noch mindestens 2 andere User, die er um wesentlich mehr erleichtert hat.

Mit Deiner Aussage sehe ich meine Vermutung bestätigt, das er die Passwörter seiner User geknackt hat, denn ich war auf einer seiner Seiten Mitglied (Lose-Alm) und war mir weiterhin absolut sicher, das niemand mein Passwort kennt...

Ich möchte auf auf diesem Weg ein ganz dolles Danke der Userin / Webmasterin sagen, die mir geholfen hat, den Weg der verschwunden Lose lückenlos nachzuvollziehen. Soweit ich weiss, ist dieser User mittlerweile auch bei Ebesucher und diversen anderen Seiten gesperrt.

[Racheengel]

Nachtrag:

Die von meinem Konto geklauten Lose wurden nachweislich in Ebesucher getauscht und anschliessend wieder in Lose...
Falls jemand daran Interesse haben sollte - ich habe von allen Transaktionen Screenshoots, so das alles bewiesen werden kann.

[Gremlin]

denn ich war auf einer seiner Seiten Mitglied (Lose-Alm)

Nachtrag von mir: Es sind nicht seine Seiten, die Seiten werden von anderen Webmastern betrieben die wenn überhaupt nur eine kleine Teilschuld (Ermöglichung des DB-Zugangs) haben.

Gruß
Gremlin

[Racheengel]

Er stand aber als Admin im Impressum. Nachdem ich ihn angeschrieben habe und er bei Klamm gesperrt wurde, stand er 2 Stunden später nicht mehr drin...

[Gremlin]

Achso das wirft natürlich wieder ein noch anderes Licht auf die Sache, als ich bemerkt habe das bei mir im Shop mit geklauten Losen eingekauft wurde stand nämlich diese Adresse schon drin, und diese ist auch bei der Denic im WHOIS (schon seit 2007)

Gruß
Gremlin