StudiVZ: "Gegendarstellung" per Defacement [2. Update]
In der Nacht haben Unbekannte das Weblog des Studentenportals übernommen und dort eine Gegendarstellung veröffentlicht. Ein Vertreter des neuen Eigentümers hatte in einem Interview behauptet, der CCC habe vergeblich versucht, die Webseite zu hacken.
- Torsten Kleinz
Hacker sollte man nicht ärgern: In der Nacht haben Unbekannte das Weblog des Studentenportals StudiVZ übernommen und dort eine Gegendarstellung veröffentlicht. Ein Vertreter des neuen Eigentümers des Studentenportals hatte vorher in einem Interview verbreitet, der Chaos Computer Club (CCC) habe vergeblich versucht, die Webseite zu hacken. Dem widersprachen die Angreifer mit einem inoffiziellen Blogbeitrag.
Ende letzten Jahres war die Studentenplattform StudiVZ wegen zahlreicher Sicherheitslücken ins Gerede gekommen, die unter anderem auch den Zugriff auf privat markierte Daten öffneten oder sich für Cross-Site-Skripting-Attacken missbrauchen ließen. Nach einem öffentlichen Aufruf zum Melden von Sicherheitslücken und mehreren Umbauarbeiten am System schien das Portal wieder einigermaßen sicher zu sein. Sicher genug für neue Geschäftsentwicklungen: Die Verlagsgruppe Holtzbrinck übernahm das Portal zum Jahresanfang für einen zweistelligen Millionenbetrag.
In einem am gestrigen Mittwoch veröffentlichten Interview des Manager-Magazins zu der spektakulären Übernahme äußerte sich der Holtzbrinck-Manager Konstantin Urban auf die Frage nach der Datensicherheit des Portals: "Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil." In verschiedenen Weblogs stieß diese Aussage auf Unverständnis – zwar hatten sich mehrere Hacker aus dem CCC mit der Sicherheit des StudiVZ beschäftigt, von einem vergeblichen Hackversuch war jedoch nichts bekannt.
Die Antwort ließ nicht lange auf sich warten: In der Nacht zum Donnerstag verschafften sich Angreifer Zugang zum offiziellen Weblog des Unternehmens – wahrscheinlich über eine der in letzter Zeit entdeckten Wordpress-Lücken – und hinterließen dort eine Grundlektion in Sachen CCC: "Der Chaos Computer Club beteiligt sich nicht an solchen 'Hackt uns doch'-Mätzchen wie den von StudiVZ ausgerufenen Wettbewerb. Es kommt leider vor, dass einzelne Spinner von sich behaupten 'im Namen des CCC' zu handeln, wie wohl auch hier geschehen. Mit dem Chaos Computer Club hat das jedoch nichts zu tun", schrieben die offenbar verärgerten Hacker.
Offenbar konnten die Angreifer noch einige Zeit frei in dem Weblog walten: Kommentare auf diesen Eintrag wurden freigegeben und werden derzeit per Screenshot verbreitet. Erst eine gute Stunde nach dem Defacement verschwand der Eintrag samt dem gesamten Weblog wieder aus dem Internet. Wie genau der Angriff verlief und ob die Angreifer Zugriff auf Systeme außerhalb des Weblogs hatten, ist noch nicht klar.
[Update]:
CCC-Sprecher Frank Rosengart dementiert mittlerweile auf Anfrage von heise online eine direkte Verstrickung des CCC in das Defacement, geht aber sonst mit den Aussagen der Angreifer konform: "Wir sind nicht besonders überrascht von der Sicherheitsschwankung bei StudiVZ, möchten das aber nicht weiter kommentieren. Herr Urban sollte sich in Zukunft etwas zurückhaltender hinsichtlich der Systemsicherheit äußern."
[2. Update]:
Inzwischen äußerte sich auch das Unternehmen selbst zu dem Vorfall. Demnach war auf dem Server die neuste Wordpress-Version installiert und die Option "register_globals" deaktiviert. Deshalb erscheint es möglich, dass bei der Attacke ein noch unbekannter Wordpress-Exploit eingesetzt worden ist. Aber auch die Vermutung des PHP-Sicherheitsexperten Stefan Esser liegt im Bereich des Möglichen: Er gab gegenüber heise Security zu bedenken, dass sich die Angreifer bereits früher über eine Schwachstelle in Wordpress 2.0.5 Zugang verschafft haben könnten, das dort längere Zeit betrieben worden sei, und nur einen günstigen Zeitpunkt für das Defacement abgewartet hätten.
Die Kundendaten waren nach Angaben von StudiVZ nicht gefährdet. Ein Sprecher erklärte gegenüber heise online: "Wir können inzwischen sagen, dass es ein reiner Angriff auf das Wordpress-Blog und nicht auf das System war. Dieses Blog läuft auf einem isolierten System, es war also zu keiner Zeit ein Zugriff auf die StudiVZ-Infrastruktur selbst möglich." Gegen die Hacker will das Unternehmen keine rechtlichen Schritte ergreifen, da kein signifikanter Schaden verursacht worden sei.
Zu StudiVZ siehe auch:
- Holtzbrinck schluckt Studentenportal StudiVZ
- StudiVZ nach Attacken und Umbau wieder online
- Wartungspause und Hackerkindergarten
- Belohnung für Sicherheitslücken
- Verhaltenskodex für Mitglieder
- StudiVZ unter Beschuss
- Weiter Wirbel um StudiVZ
- Datenleck beim StudiVZ?
(Torsten Kleinz) / (jk)
