Update mit Schlussbericht
Liebe Leser und Autoren,
heute Nacht wurde unser Magazin gehackt. So wie es aussieht, haben wir die Lage wieder unter Kontrolle und ein Backup wurde aufgespielt. Es kam aber zu keinem Datenverlust. (siehe Abschlussbericht unten).
Die Sicherheitslücke entstand bei einem Plugin, welches wir für die Kleinanzeigen nützen. Um diese Sicherheitslücke zu schließen, mussten wir vorübergehend die Kleinanzeigen deaktivieren. So bald wir das Leck geschlossen haben, setzen wir alle Kleinanzeigen wieder online.
Durch Aufspielen des Backups wurden leider automatisch alle Kommentare gelöscht, die ca. nach Mitternacht bis heute 10.30 Uhr gepostet wurden.
Die gelöschten Kommentare findet ihr gesammelt hier im Anhang. (zum Vergrößern anklicken)
Abschlussbericht
Update zu dem Angriff auf Amazona am 18.02.:
Seit dem Vorfall vorgestern früh waren mehrere Leute aus verschiedenen Teams (Entwickler, Systemadministration, Datenschutz, Analyse) damit beschäftigt, den Angriff zu analysieren und herauszufinden, ob es dem Hacker dabei gelungen ist, in unsere Systeme einzudringen oder Daten zu entwenden.
Die gute Nachricht: Nein, es ist nichts Schlimmes passiert.
Es gab zwischen 23.55 Uhr und 06.19 Uhr früh knapp 200.000 Versuche, Sicherheitslücken
auf AMAZONA.de aufzuspüren und zu nutzen. Die Angreifer haben dazu anscheinend automatisierte Scripte oder automatisierte Hacker-Tools benutzt.
Dabei haben die Angreifer auch einen Bug in einem Plug-in, das auf AMAZONA.de für die Kleinanzeigen verantwortlich ist, ausgenutzt und es in drei Fällen auch geschafft, Inhalte auf AMAZONA.de zu überschreiben, die von anderen Autoren stammen.
Das ist sehr ärgerlich, aber zum Glück auch sofort unseren Usern aufgefallen. Die haben bei der Redaktion nachgefragt und diese hat sofort in der IT Alarm geschlagen. Nach kurzer Zeit wurde der Angriff erkannt, die Sicherheitslücke in dem Plug-in als Ursache erkannt und das Plug-in deaktiviert.
Um sicher zu gehen, dass bei dem Angriff keine weiteren Inhalte auf AMAZONA.de sabotiert wurden, haben unsere Systemadministratoren ein Backup von dem Zeitpunkt vor dem Angriff eingespielt.
Dadurch haben wir leider einige User-Kommentare aus der Nacht verloren. Das ist sehr ärgerlich, aber Sicherheit geht vor!
Ich habe mir laienhaft den Bug in dem WordPress Plug-in (WPAdverts) erklären lassen.
Im Prinzip ist’s vergleichbar mit einem Kino, bei dem die Kinokarte am Haupteingang
penibel geprüft wird, aber danach nicht mehr geschaut wird, in welchen Kinosaal
ich mich setze. Klar, das ist doof und theoretisch können auf die Art auch Kinder Zugang zu
Erwachsenenfilmen bekommen, aber trotzdem bekommt dadurch niemand Zugang zum Safe oder kann deswegen Filme mitnehmen.
Persönliche Informationen waren zu keiner Zeit in Gefahr. Der Angreifer hatte auch
keinen Zugriff auf unser Backend, die Datenbank oder irgendwelche sensible User-Daten.
Es wurden auch keine Dateien manipuliert oder Malware eingespielt, um z. B. auf unseren
Servern (oder auf euren Rechnern) Bitcoins zu schürfen.
Unser Dank geht an dieser Stelle an unsere Systemadministratoren und unsere
Wordpress-Entwickler, die nicht nur super schnell das Problem beseitigt haben,
sondern auch in akribischer Kleinstarbeit in den letzten Tagen megabyteweise Logs
nach Spuren der Angreifer durchforstet haben, bevor wir Entwarnung geben konnten.
Eure AMAZONA.de-Redaktion
Sch… Hacker !
Was ist denn die Motivation von solchen Hackern? Ich habe da nicht so die Ahnung!
@Saegezahntiger Es zu Können ;)
@DeluXer Nur weil man was kann, macht man es nicht ;-) Ich könnte auch Schlager Musik machen. Ich lass es aber ;-)
@TobyB das is ne gute maxime. ich überlege mir glatt, die auch mal aufs kommentieren auszuweiten :D
@[aˈtoːm] [aːl] [ˈa(ː)tonaːl] Naja für Kommentare gilt si tacuisses ;) Selbstzensur ist beim Kommentieren nicht zielführend. :D Also, sprich dich aus.
@Saegezahntiger Zum Beispiel Infektion des PCs der Website-Besucher (hier also AMAZONA.de) mit Malware. Damit kann man zum Beispiel den PC in ein Bot-Netz integrieren, was wiederum SPAM-Mails oder DoS-Attacken (»Denial of Service«) ermöglicht. Oder Ausspähen von Passwörtern und Zugangsdaten und Kontodaten. Oder Installation eines Verschlüsselungs-Trojaners mit anschließendem Erpresser-Meldung, bei der man Geld überweisen soll (Bitcoin), damit die Festplatte wieder entschlüsselt wird. Es gibt leider mannigfaltige Möglichkeiten, wie diese Verbrecher auf ihre Kosten kommen.
Ich werde nur ungern politisch: Aber dass unsere Regierung so gar nichts unternimmt, nicht einmal den Versuch, um dessen Herr zu werden, sagt auch eine Menge über unsere Staatsorgane aus.
Da diese Angelegenheit so gefährlich ist, kann ich AMAZONA.de gar nicht heftig genug loben, dass dieses sofort öffentlich gemacht wurde. Denn so kann jeder einfach mal eine komplette Malware-Suche auf seinem PC starten.
@Flowwater Nuja. Dann kann die Regierung auch gleich was gegen die üblichen Grippewellen unternehmen durch Impfpflicht und Handwaschkontrolleuren an jeder öffentlichen Toilette.
Das ist die Aufgabe der Betreiber. Und wenn es Dir mit gesicherter E-Mail wichtig ist, dann einfach nur noch PGP verschlüsselte Mails senden und empfangen.
…
Eben. Mache ich auch nicht.
Jeder macht seins. Du und ich, wir kümmern uns um unsere Rechner und Amazona um ihre Server.
Die Regierung lassen wir da mal außen vor. Sonst müssen wir über Dinge wie Klarnamenpflicht etc. sprechen und ich glaube nicht, dass das auch nur einem von uns gefallen wird.
Überhaupt: Die Uni in der Nachbarstadt wurde im Dezember Opfer eines ähnlichen Angriffs. Da fängt in einigen Instituten erst _jetzt_ wieder normales Arbeiten an. Amazona mit einer Downtime, die in Minuten gerechnet werden kann: *R*E*S*P*E*K*T*
@Flowwater Hi Henrik, der ging noch – nun aber nicht in Polit-Diskussionen verzetteln. Dein weitere Kommentar mit Politik-Bezug wurde daher gelöscht. Dafür gibts die Tagesschau-App ;-)
@Tyrell Kein Problem, ich halte mich schon zurück. Manchmal kann ich einfach nicht an mich halten, aber ich sehe ein, dass wir hier auf AMAZONA.de lieber über’s Musikmachen diskutieren sollten. ?
@Flowwater Die Regierung kann da so einfach nichts machen. Das Ganze ist ein sehr tief gehendes Systemproblem.
Das ganze Cyber was Du auf der Welt siehst, sei es nun die Uni in der Nachbarschaft, Buchbinder oder Amazona funktioniert nur aufgrund der Unfähigkeit der Betreiber. Das klingt jetzt hart, ist aber leider so.
Software hat Schwachstellen und das wird sich niemals ändern, das liegt in der Natur der Sache. Diese werden aber zwangsläufig irgendwann entdeckt, veröffentlicht und ausgenutzt. Wenn man die Software verwendet, muss man dafür Sorge tragen das man möglichst zeitnah Updates installiert welche die Schwachstellen beheben. Wenn man dies nicht tut, wird man früher oder später wahrscheinlich gehackt.
Ja, es gibt theoretisch die Möglichkeit, dass man mithilfe von Schwachstellen angegriffen wird welche noch nicht öffentlich bekannt sind. Die Wahrscheinlichkeit dafür ist aber verschwindend gering, im Falle von Amazona erst recht. Sowas machen nur die ganz fiesen Hacker mit genug Zeit und Geld gegen sehr lohnende Ziele.
Um den Kreis zu schließen: Die Regierung könnte z. B. Unternehmen zwingen ihre Software zu patchen. Und Unternehmen welche Software entwickelt könnte sie versuchen zu zwingen die eigenen Produkte möglichst sicher zu bauen. Beides wird niemals passieren, ehr werden wir keine Computer mehr verwenden.
@Saegezahntiger Unruhe stiften und Systeme (klein wie groß) destabilisieren.
Eine gute Frage, auf die ich aber auch keine Antwort habe :-)
@Tyrell Erfolgreiche Personen und Webseiten, oder Firmen von öffentlichem Interesse
sind da immer wieder im Fokus.
Verstehen tu ich es auch nicht, aber Prominente können da Lieder von singen.
Und Amazona.de ist ja mit in Deutschland die erfolgreichste Seite,
was das Thema Musikproduktion betrifft.
Was ist mit den Daten, die man bei Gewinnspielen angegeben hat?
Name, Adresse usw…
@workfloh Alle Gewinnspielteilnahmen zwischen 24 Uhr und 10.30 Uhr wurden gelöscht durch das Backup.
@workfloh Was ist mit den Userdaten / Adressen die vorher eingegeben wurden?
Hatten die Hacker darauf Zugriff?
Das ist wichtig!
@chris Nein, soweit wir feststellen konnten, wurden keine Daten gezogen, sondern nur das Formular für die Registrierung unkenntlich gemacht.
@Tyrell Ok,
ich werde trotzdem verstärkt auf eingehende Emails der Registrierungs Email Adresse achten.
Sicher ist sicher!
schade, dass man solche Verbrecher nicht erwischen kann, die IP Adresse nutzt ja in den wenigsten Fällen etwas. Ich hatte vor es mal vor Jahren mit einem solchen Kriminellen zu tun. Die IP führte zu einem Internet Café in Polen. Mein RA drohte mit Klage gegen den Besitzer, seitdem habe ich Ruhe, weiß nur nicht wie lange, es ist ein stetiges Hoffen und Bangen:-(((
Dieser Kriminelle macht mich außerdem doppelt sauer, ich kann die Weiterlesen Funktion der obigen Kommentare nicht nutzen:-(((
@hejasa “ ich kann die Weiterlesen Funktion der obigen Kommentare nicht nutzen:-(((“
.
Korrekt, sind Screenshots ;-)
@Max Lorenz hehehe, ich hab mich auch mal gewundert,
warum ich den Livestream nicht vorspulen konnte ^^
@Max Lorenz Ja, habe es gemerkt!
Ich hoffe für alle das es nicht öfter vorkommt. Wäre ja schade wenn amazona nicht erreichbar ist.
Ganz ehrlich…das lag doch sowas von in der Luft ! Die letzten 1-2 Monate wurde der Sequencer Talk und ein weiteres AudioPodcast massiv von Trolls belästigt und teilweise lahm gelegt.
Auffällig – wie übrigens auch hier – sind die „geklonten User“ wie „moogilator“ oder „ziggy Bob“.
Ich vermute also das eher eine Troll Motivation dahinter steckt.
@Larifari Wenn dem so ist mit einem Troll, sollten sämtliche Kommentare zum Hackerangriff unterbleiben, oder? Der hätte sonst seinen Spaß daran, uns alle verärgert zu haben!
@Larifari Nein, die Motivation dieser Trolle ist eine andere. Die klappern alles ab, was gerade streamt. Hat nichts speziell mit Musikseiten zu tun. Diese Idioten gehen auf YT, Twitch und Co. täglich auf die“ Jagd“. Da geht es aber nicht speziell um das Abgreifen von allgemeinen User-Daten. Die suchen Opfer. Der User „Moogilator“ und „Ziggy Bob“ (wird wohl einer sein) nimmt eindeutig und konkret satirischen Bezug auf User, die hier aktiv sind. Würde ich nicht alle in einen Topf schmeißen. Unterschiedliche Leute, unterschiedliche Motivation.
Hallo Larifari und Willemstrohm, danke für Eure zahlreichen Beiträge zu den Ereignissen im Sequenzerforum. Am Ende war das aber ein endloser Privat-Disput zwischen Euch beiden und wurde deshalb gelöscht. Bitte am pesten per PMs austragen, danke, Peter.
@Larifari ich frag mich nur WARUM???
wer hat was für ein interesse daran MUSIKwebseiten lahmzulegen?
das sind doch maximal irgendwelche verblödeten bausatz-script kiddies und keine „hacker“.
hacker haben ganz andere kaliber drauf und ziele im auge. da gibts auch dokus über begriff und thema „hacker“, deren selbstbild, und was der 0815-bürger (und seine scriptkids) nachdem ers von der bildzeitung gelernt hat, darunter versteht. aber das ist n anderes thema.
jedenfalls machen solche aktionen meist besagte scriptkiddies oder ganz ordinäre kriminelle vereinigungen.
Sicherheitshalber gleich mal das Passwort geändert. Mir ist im Moment die Informationslage etwas zu schwach.
Finde das aber lobenswert wie offen ihr damit umgeht. Hoffe bei euch ist sonst kein Schaden entstanden. Das die Kleinanzeigen zur Zeit nicht gehen, hat wohl auch damit zu tun, oder?
Hallo Peter & AMAZONA Redaktion,
vielen Dank an Euch & alle Beteiligten für die zeitnahe, umfassende und nachvollziehbare Nachbereitung dieses Vorfalls!
Wünsche Euch nach diesen sicher stressigen Tagen ein erholsames Wochenende.
Grüße,
KrauTronicA