Gema offenbar gleich mehrfach gehackt

Wie es aussieht hat bereits im Juli ein Unbekannter die Benutzerpasswörter des Gema-Servers entführt. Der spektakuläre Einbruch am Wochenende mit dem Defacement erfolgte über eine ähnliche Lücke.

In Pocket speichern vorlesen Druckansicht 283 Kommentare lesen
Lesezeit: 2 Min.

Es sieht ganz so aus, als sei der Gema-Server offen wie ein Scheunentor gewesen. Bereits am 13. Juli hat ein Hacker mit dem Pseudonym mssbyassg die Liste der Benutzerkonten und Passwort-Hashes des Servers veröffentlicht – einige davon auch gleich im Klartext. Am vergangenen Wochenende entdeckten Unbekannte dann eine weitere Lücke und schleusten darüber im Namen von Anonymous unter anderem die bekannte Fehlermeldung in die Seiten ein.

Der Gema-Hack (6 Bilder)

Diese Fehlermeldung erschien beim Aufruf der GEMA-Seiten. Sie dürfte den meisten Youtube-Nutzern bekannt sein.

Bei beiden Lücken handelte es sich offenbar um sogenannte SQL Injection Probleme, bei denen eine Web-Anwendung Parameter nicht ausreichend filtert und somit auch eingeschleuste SQL-Befehle an die dahinter liegende Datenbank durchreicht. Wie der heise online vorliegende Ausschnitt aus einem Chat-Mitschnitt nahe legt, entdeckten die Anon-Hacker die Lücke mit dem frei verfügbaren Open-Source-Tool sqlmap, das solche Probleme weitgehend automatisiert finden und dann auch ausnutzen kann.

Darüber hinaus verschafften sie sich unter anderem Zugang zum Administrations-Interface eines VMware ESX Servers und dessen "Integrated Dell Remote Access Controller" (iRAC6). Auf letzterem war anscheinend noch das von Dell dokumentierte Default-Passwort "calvin" aktiv. Der Server war großzügig ausgestattet: 96 GByte RAM und 35 TeraByte Festplattenspeicher verleiteten die Hacker zum spöttischen Kommentar, ob der wohl genutzt würde, um "torrentz zu seeden" – also Raubkopien in das Peer-to-Peer-Netz einzuspeisen.

Gema-Sprecherin Bettina Müller schloss gegenüber heise online definitiv aus, "dass sensible Daten gehackt worden sind". Außerdem seien "die angeblich gehackten Passworte, die im Internet kursieren [..] bereits seit mehreren Monaten veraltet und wurden bereits seit längerem nicht mehr verwendet". Die Sicherheitslücken im CMS Typo 3 seien bereits behoben, erklärte Müller weiter. Man lasse den Server nur weiterhin offline, weil "die Hackerangriffe unvermindert weitergehen." (ju)