Musiker-Magazin AMAZONA.de wieder online

18. Februar 2020

Update mit Schlussbericht

Liebe Leser und Autoren,

heute Nacht wurde unser Magazin gehackt.  So wie es aussieht, haben wir die Lage wieder unter Kontrolle und ein Backup wurde aufgespielt. Es kam aber zu keinem Datenverlust. (siehe Abschlussbericht unten).

Die Sicherheitslücke entstand bei einem Plugin, welches wir für die Kleinanzeigen nützen. Um diese Sicherheitslücke zu schließen, mussten wir vorübergehend die Kleinanzeigen deaktivieren. So bald wir das Leck geschlossen haben, setzen wir alle Kleinanzeigen wieder online.

Durch Aufspielen des Backups wurden leider automatisch alle Kommentare gelöscht, die ca. nach Mitternacht bis heute 10.30 Uhr gepostet wurden.

Die gelöschten Kommentare findet ihr gesammelt hier im Anhang. (zum Vergrößern anklicken)

Abschlussbericht

Update zu dem Angriff auf Amazona am 18.02.:

Seit dem Vorfall vorgestern früh waren mehrere Leute aus verschiedenen Teams (Entwickler, Systemadministration, Datenschutz, Analyse) damit beschäftigt, den Angriff zu analysieren und herauszufinden, ob es dem Hacker dabei gelungen ist, in unsere Systeme einzudringen oder Daten zu entwenden.

Die gute Nachricht: Nein, es ist nichts Schlimmes passiert.

Es gab zwischen 23.55 Uhr und 06.19 Uhr früh knapp 200.000 Versuche, Sicherheitslücken
auf AMAZONA.de aufzuspüren und zu nutzen. Die Angreifer haben dazu anscheinend automatisierte Scripte oder automatisierte Hacker-Tools benutzt.

Dabei haben die Angreifer auch einen Bug in einem Plug-in, das auf AMAZONA.de für die Kleinanzeigen verantwortlich ist, ausgenutzt und es in drei Fällen auch geschafft, Inhalte auf AMAZONA.de zu überschreiben, die von anderen Autoren stammen.

Das ist sehr ärgerlich, aber zum Glück auch sofort unseren Usern aufgefallen. Die haben bei der Redaktion nachgefragt und diese hat sofort in der IT Alarm geschlagen. Nach kurzer Zeit wurde der Angriff erkannt, die Sicherheitslücke in dem Plug-in als Ursache erkannt und das Plug-in deaktiviert.

Um sicher zu gehen, dass bei dem Angriff keine weiteren Inhalte auf AMAZONA.de sabotiert wurden, haben unsere Systemadministratoren ein Backup von dem Zeitpunkt vor dem Angriff eingespielt.
Dadurch haben wir leider einige User-Kommentare aus der Nacht verloren. Das ist sehr ärgerlich, aber Sicherheit geht vor!

Ich habe mir laienhaft den Bug in dem WordPress Plug-in (WPAdverts) erklären lassen.
Im Prinzip ist’s vergleichbar mit einem Kino, bei dem die Kinokarte am Haupteingang
penibel geprüft wird, aber danach nicht mehr geschaut wird, in welchen Kinosaal
ich mich setze. Klar, das ist doof und theoretisch können auf die Art auch Kinder Zugang zu
Erwachsenenfilmen bekommen, aber trotzdem bekommt dadurch niemand Zugang zum Safe oder kann deswegen Filme mitnehmen.

Persönliche Informationen waren zu keiner Zeit in Gefahr. Der Angreifer hatte auch
keinen Zugriff auf unser Backend, die Datenbank oder irgendwelche sensible User-Daten.
Es wurden auch keine Dateien manipuliert oder Malware eingespielt, um z. B. auf unseren
Servern (oder auf euren Rechnern) Bitcoins zu schürfen.

Unser Dank geht an dieser Stelle an unsere Systemadministratoren und unsere
Wordpress-Entwickler, die nicht nur super schnell das Problem beseitigt haben,
sondern auch in akribischer Kleinstarbeit in den letzten Tagen megabyteweise Logs
nach Spuren der Angreifer durchforstet haben, bevor wir Entwarnung geben konnten.

Eure AMAZONA.de-Redaktion

Forum
      • Profilbild
        TobyB  RED

        Nur weil man was kann, macht man es nicht ;-) Ich könnte auch Schlager Musik machen. Ich lass es aber ;-)

          • Profilbild
            TobyB  RED

            Naja für Kommentare gilt si tacuisses ;) Selbstzensur ist beim Kommentieren nicht zielführend. :D Also, sprich dich aus.

    • Profilbild
      Henrik Fisch  

      Zum Beispiel Infektion des PCs der Website-Besucher (hier also AMAZONA.de) mit Malware. Damit kann man zum Beispiel den PC in ein Bot-Netz integrieren, was wiederum SPAM-Mails oder DoS-Attacken (»Denial of Service«) ermöglicht. Oder Ausspähen von Passwörtern und Zugangsdaten und Kontodaten. Oder Installation eines Verschlüsselungs-Trojaners mit anschließendem Erpresser-Meldung, bei der man Geld überweisen soll (Bitcoin), damit die Festplatte wieder entschlüsselt wird. Es gibt leider mannigfaltige Möglichkeiten, wie diese Verbrecher auf ihre Kosten kommen.

      Ich werde nur ungern politisch: Aber dass unsere Regierung so gar nichts unternimmt, nicht einmal den Versuch, um dessen Herr zu werden, sagt auch eine Menge über unsere Staatsorgane aus.

      Da diese Angelegenheit so gefährlich ist, kann ich AMAZONA.de gar nicht heftig genug loben, dass dieses sofort öffentlich gemacht wurde. Denn so kann jeder einfach mal eine komplette Malware-Suche auf seinem PC starten.

      • Profilbild
        S_Hennig  

        Nuja. Dann kann die Regierung auch gleich was gegen die üblichen Grippewellen unternehmen durch Impfpflicht und Handwaschkontrolleuren an jeder öffentlichen Toilette.

        Das ist die Aufgabe der Betreiber. Und wenn es Dir mit gesicherter E-Mail wichtig ist, dann einfach nur noch PGP verschlüsselte Mails senden und empfangen.

        Eben. Mache ich auch nicht.

        Jeder macht seins. Du und ich, wir kümmern uns um unsere Rechner und Amazona um ihre Server.

        Die Regierung lassen wir da mal außen vor. Sonst müssen wir über Dinge wie Klarnamenpflicht etc. sprechen und ich glaube nicht, dass das auch nur einem von uns gefallen wird.

        Überhaupt: Die Uni in der Nachbarstadt wurde im Dezember Opfer eines ähnlichen Angriffs. Da fängt in einigen Instituten erst _jetzt_ wieder normales Arbeiten an. Amazona mit einer Downtime, die in Minuten gerechnet werden kann: *R*E*S*P*E*K*T*

      • Profilbild
        Tyrell  RED 12

        Hi Henrik, der ging noch – nun aber nicht in Polit-Diskussionen verzetteln. Dein weitere Kommentar mit Politik-Bezug wurde daher gelöscht. Dafür gibts die Tagesschau-App ;-)

        • Profilbild
          Henrik Fisch  

          Kein Problem, ich halte mich schon zurück. Manchmal kann ich einfach nicht an mich halten, aber ich sehe ein, dass wir hier auf AMAZONA.de lieber über’s Musikmachen diskutieren sollten. 😉

      • Profilbild
        klaustrophil

        Die Regierung kann da so einfach nichts machen. Das Ganze ist ein sehr tief gehendes Systemproblem.

        Das ganze Cyber was Du auf der Welt siehst, sei es nun die Uni in der Nachbarschaft, Buchbinder oder Amazona funktioniert nur aufgrund der Unfähigkeit der Betreiber. Das klingt jetzt hart, ist aber leider so.

        Software hat Schwachstellen und das wird sich niemals ändern, das liegt in der Natur der Sache. Diese werden aber zwangsläufig irgendwann entdeckt, veröffentlicht und ausgenutzt. Wenn man die Software verwendet, muss man dafür Sorge tragen das man möglichst zeitnah Updates installiert welche die Schwachstellen beheben. Wenn man dies nicht tut, wird man früher oder später wahrscheinlich gehackt.

        Ja, es gibt theoretisch die Möglichkeit, dass man mithilfe von Schwachstellen angegriffen wird welche noch nicht öffentlich bekannt sind. Die Wahrscheinlichkeit dafür ist aber verschwindend gering, im Falle von Amazona erst recht. Sowas machen nur die ganz fiesen Hacker mit genug Zeit und Geld gegen sehr lohnende Ziele.

        Um den Kreis zu schließen: Die Regierung könnte z. B. Unternehmen zwingen ihre Software zu patchen. Und Unternehmen welche Software entwickelt könnte sie versuchen zu zwingen die eigenen Produkte möglichst sicher zu bauen. Beides wird niemals passieren, ehr werden wir keine Computer mehr verwenden.

    • Profilbild
      Coin  AHU

      Erfolgreiche Personen und Webseiten, oder Firmen von öffentlichem Interesse
      sind da immer wieder im Fokus.
      Verstehen tu ich es auch nicht, aber Prominente können da Lieder von singen.
      Und Amazona.de ist ja mit in Deutschland die erfolgreichste Seite,
      was das Thema Musikproduktion betrifft.

    • Profilbild
      Tyrell  RED 12

      Alle Gewinnspielteilnahmen zwischen 24 Uhr und 10.30 Uhr wurden gelöscht durch das Backup.

    • Profilbild
      chris  

      Was ist mit den Userdaten / Adressen die vorher eingegeben wurden?

      Hatten die Hacker darauf Zugriff?
      Das ist wichtig!

      • Profilbild
        Tyrell  RED 12

        Nein, soweit wir feststellen konnten, wurden keine Daten gezogen, sondern nur das Formular für die Registrierung unkenntlich gemacht.

        • Profilbild
          chris  

          Ok,
          ich werde trotzdem verstärkt auf eingehende Emails der Registrierungs Email Adresse achten.
          Sicher ist sicher!

  1. Profilbild
    hejasa  AHU

    schade, dass man solche Verbrecher nicht erwischen kann, die IP Adresse nutzt ja in den wenigsten Fällen etwas. Ich hatte vor es mal vor Jahren mit einem solchen Kriminellen zu tun. Die IP führte zu einem Internet Café in Polen. Mein RA drohte mit Klage gegen den Besitzer, seitdem habe ich Ruhe, weiß nur nicht wie lange, es ist ein stetiges Hoffen und Bangen:-(((
    Dieser Kriminelle macht mich außerdem doppelt sauer, ich kann die Weiterlesen Funktion der obigen Kommentare nicht nutzen:-(((

  2. Profilbild
    Larifari  AHU

    Ganz ehrlich…das lag doch sowas von in der Luft ! Die letzten 1-2 Monate wurde der Sequencer Talk und ein weiteres AudioPodcast massiv von Trolls belästigt und teilweise lahm gelegt.
    Auffällig – wie übrigens auch hier – sind die „geklonten User“ wie „moogilator“ oder „ziggy Bob“.

    Ich vermute also das eher eine Troll Motivation dahinter steckt.

    • Profilbild
      hejasa  AHU

      Wenn dem so ist mit einem Troll, sollten sämtliche Kommentare zum Hackerangriff unterbleiben, oder? Der hätte sonst seinen Spaß daran, uns alle verärgert zu haben!

    • Profilbild
      Willemstrohm  AHU

      Nein, die Motivation dieser Trolle ist eine andere. Die klappern alles ab, was gerade streamt. Hat nichts speziell mit Musikseiten zu tun. Diese Idioten gehen auf YT, Twitch und Co. täglich auf die“ Jagd“. Da geht es aber nicht speziell um das Abgreifen von allgemeinen User-Daten. Die suchen Opfer. Der User „Moogilator“ und „Ziggy Bob“ (wird wohl einer sein) nimmt eindeutig und konkret satirischen Bezug auf User, die hier aktiv sind. Würde ich nicht alle in einen Topf schmeißen. Unterschiedliche Leute, unterschiedliche Motivation.

      • Profilbild
        Tyrell  RED 12

        Hallo Larifari und Willemstrohm, danke für Eure zahlreichen Beiträge zu den Ereignissen im Sequenzerforum. Am Ende war das aber ein endloser Privat-Disput zwischen Euch beiden und wurde deshalb gelöscht. Bitte am pesten per PMs austragen, danke, Peter.

    • Profilbild
      anttimaatteri   1

      ich frag mich nur WARUM???

      wer hat was für ein interesse daran MUSIKwebseiten lahmzulegen?
      das sind doch maximal irgendwelche verblödeten bausatz-script kiddies und keine „hacker“.
      hacker haben ganz andere kaliber drauf und ziele im auge. da gibts auch dokus über begriff und thema „hacker“, deren selbstbild, und was der 0815-bürger (und seine scriptkids) nachdem ers von der bildzeitung gelernt hat, darunter versteht. aber das ist n anderes thema.
      jedenfalls machen solche aktionen meist besagte scriptkiddies oder ganz ordinäre kriminelle vereinigungen.

  3. Profilbild
    SimonChiChi  AHU

    Finde das aber lobenswert wie offen ihr damit umgeht. Hoffe bei euch ist sonst kein Schaden entstanden. Das die Kleinanzeigen zur Zeit nicht gehen, hat wohl auch damit zu tun, oder?

  4. Profilbild
    KrauTronicA  

    Hallo Peter & AMAZONA Redaktion,

    vielen Dank an Euch & alle Beteiligten für die zeitnahe, umfassende und nachvollziehbare Nachbereitung dieses Vorfalls!

    Wünsche Euch nach diesen sicher stressigen Tagen ein erholsames Wochenende.

    Grüße,

    KrauTronicA

Kommentar erstellen

Die AMAZONA.de-Kommentarfunktion ist Ihr Forum um sich persönlich zu den Inhalten der Artikel auszutauschen. Sich daraus ergebende Diskussionen sollten höflich und sachlich geführt werden. Haben Sie eigene Erfahrungen mit einem Produkt gemacht, stellen Sie diese bitte über die Funktion Leser-Story erstellen ein. Für persönliche Nachrichten verwenden Sie bitte die Nachrichtenfunktion im Profil.