Codeberg: Spam- und DoS-Angriffe auf nichtkommerzielle Entwicklungsplattform

Die gemeinnützige Software-Entwicklungsplattform Codeberg steht seit Tagen im Zentrum verschiedener Angriffe. Die ehrenamtlichen Initiatoren des Projekts vermuten eine politische Motivation hinter Hassbotschaften, Spam und dDoS.

Vor wenigen Tagen, also um den 10. Februar, begannen die Angriffe gegen den Codeberg e.V. mit Spam-Kampagnen gegen einzelne Projekte auf der Plattform. Dabei wurden etwa deren Bug-Tracker mit unsinnigen Fehler-Hinweisen überflutet. Zudem füllten sich die E-Mail-Konten der Vereinsmitglieder mit missbräuchlichen Newsletter-Anmeldungen.

Rassistische Botschaften im Postfach

Am Morgen des 12. Februar folgte dann der nächste Schritt: Die unbekannten Angreifer erstellten tausende Issues (also Fehler-Hinweise) mit einem ordinären rassistischen Begriff im Titel, verlinkten dort Nutzerkonten und erzeugten so massenhaft E-Mail-Benachrichtigungen. Die Störer änderten mehrfach ihr Vorgehen, um den zwischenzeitlich durch Codeberg getroffenen Gegenmaßnahmen zu entwischen.

Seit dem Mittag des 13. Februar verstopft ein volumetrischer Denial-of-Service-Angriff die Internetleitung des Vereins und sorgt immer wieder für Verbindungsprobleme.

Keine Nutzerdaten gestohlen

In ihrem Blog-Eintrag (Archivlink) erklären die Codeberg-Macher, dass keine persönlichen Daten von Nutzern und Repository-Betreuern abgegriffen wurden. Zwar seien über eine Benachrichtigungsfunktion massenhaft Spam-Mails mit beleidigenden Inhalten an die Mitglieder der Plattform versendet worden, die Angreifer hätten aber keinen Zugriff auf die Server oder auf E-Mail-Adressen der Nutzer gehabt. Das betonte ein Codeberg-Sprecher gegenüber heise security nochmals ausdrücklich.

Codeberg ist als europäische Alternative zu den großen Software-Entwicklungsplattformen wie Github oder GItlab gestartet und basiert auf Forgejo, einem Fork von Gitea. Der Verein finanziert sich über Spenden.

(cku)