Meta-Hack stört hunderte Medien-Webseiten

Auf hunderten großen Websites, insbesondere Medienangeboten, störte Donnerstagnachmittag eine Einblendung das Lesevergnügen. "You've been hacked by the Syrian Electronic Army (SEA)", stand da zu lesen. In manchen Fällen wurde der Betrachter dann noch zur Darstellung eines SEA-Logos umgeleitet. Eine inhaltliche Botschaft ist nicht ersichtlich. Gehackt waren aber nicht die Server der Medienbetreiber.

Die Störenfriede nutzten den Umstand aus, dass die von den Medienseiten eingebettete Kommentarfunktion von Gigya über ein unverschlüsselt ausgeliefertes Script läuft (http statt https). Nachdem die Angreifer einen Domain-Eintrag beim Registrar GoDaddy verbogen hatten, konnten sie daher über einen anderen Server ein eigenes Script bereitstellen. Das wurde dann von den betroffenen Web-Seiten statt des Originals geladen und erzeugte die "You've been hacked" Meldungen.

Was noch ein Glück ist

Die gute Nachricht: Soweit bisher bekannt wurden weder bei Gigya noch bei den betroffenen Webseiten Server kompromittiert. Es gibt somit keine Hinweise darauf, dass etwa Userdaten kopiert wurden. Außerdem hat das Skript nach bisherigem Informationsstand die Systeme der Web-Seiten-Besucher nicht attackiert. Wer also auf eine solche Meldung stieß, muss jetzt nicht befürchten, dass sein Computer gehackt wurde. Der DNS-Eintrag wurde inzwischen korrigiert. Es wird aber einige Stunden dauern, bis sich das im gesamten Netz herum spricht. So lange können die Einblendungen und Umleitungen noch auftauchen.

Übrigens ist auch der Unternehmensblog von Gigya selbst betroffen. Das kalifornische Unternehmen übernimmt für Hunderte Webseiten die Registrierung der Nutzer samt Identitäts- und Zugangsmanagement sowie die Speicherung der Profildaten. Diese Informationen werden mit sozialen Netzwerken einerseits und Reklamediensten andererseits verknüpft. Gerade Letztere sind häufig inkompatibel mit https-Verschlüsselung. (ds)