Gema offenbar gleich mehrfach gehackt
Wie es aussieht hat bereits im Juli ein Unbekannter die Benutzerpasswörter des Gema-Servers entführt. Der spektakuläre Einbruch am Wochenende mit dem Defacement erfolgte über eine ähnliche Lücke.
Es sieht ganz so aus, als sei der Gema-Server offen wie ein Scheunentor gewesen. Bereits am 13. Juli hat ein Hacker mit dem Pseudonym mssbyassg die Liste der Benutzerkonten und Passwort-Hashes des Servers veröffentlicht – einige davon auch gleich im Klartext. Am vergangenen Wochenende entdeckten Unbekannte dann eine weitere Lücke und schleusten darüber im Namen von Anonymous unter anderem die bekannte Fehlermeldung in die Seiten ein.
Der Gema-Hack (6 Bilder)
Bei beiden LĂĽcken handelte es sich offenbar um sogenannte SQL Injection Probleme, bei denen eine Web-Anwendung Parameter nicht ausreichend filtert und somit auch eingeschleuste SQL-Befehle an die dahinter liegende Datenbank durchreicht. Wie der heise online vorliegende Ausschnitt aus einem Chat-Mitschnitt nahe legt, entdeckten die Anon-Hacker die LĂĽcke mit dem frei verfĂĽgbaren Open-Source-Tool sqlmap, das solche Probleme weitgehend automatisiert finden und dann auch ausnutzen kann.
Darüber hinaus verschafften sie sich unter anderem Zugang zum Administrations-Interface eines VMware ESX Servers und dessen "Integrated Dell Remote Access Controller" (iRAC6). Auf letzterem war anscheinend noch das von Dell dokumentierte Default-Passwort "calvin" aktiv. Der Server war großzügig ausgestattet: 96 GByte RAM und 35 TeraByte Festplattenspeicher verleiteten die Hacker zum spöttischen Kommentar, ob der wohl genutzt würde, um "torrentz zu seeden" – also Raubkopien in das Peer-to-Peer-Netz einzuspeisen.
Gema-Sprecherin Bettina Müller schloss gegenüber heise online definitiv aus, "dass sensible Daten gehackt worden sind". Außerdem seien "die angeblich gehackten Passworte, die im Internet kursieren [..] bereits seit mehreren Monaten veraltet und wurden bereits seit längerem nicht mehr verwendet". Die Sicherheitslücken im CMS Typo 3 seien bereits behoben, erklärte Müller weiter. Man lasse den Server nur weiterhin offline, weil "die Hackerangriffe unvermindert weitergehen." (ju)