Murks des Tages: Biete keine Dienste an, die Du nicht unter Kontrolle hast [Update]

In den letzten Tagen wurde das Forum forum-bananapi.de, auf dem ich selbst auch registriert war, gehackt. Naja, das kann passieren. Mit zunehmender Menge an Details, die durch die Betreiber veröffentlicht wurden, offenbarten sich Abgründe, die man an so einer Stelle nicht erwartet. > Ich will hier kein Bashing ggü. den Betreibern persönlich anfangen. Aber ich will diesen Artikel als Mahnung verstanden sehn. Als Mahnung, dass man vielleicht nicht jedes Projekt, sollte es auch so cool sein, trotz bloßer Überschätzung persönlicher Kompetenzen in Angriff nehmen sollte! Dieser Artikel ist anders als meine anderen „Murks des Tages“-Artikel. Ich bin offenkundig sehr enttäuscht und schockiert über das mangelnde administrative Vermögen, dass hier an den Tag gelegt wird. Daher könnte der Artikel z. T. (oder komplett) in einem hier doch ungewohnt „unblumigen“ Tonfall ausfallen.

Fassen wir zusammen: Was passierte? Ich muss erwähnen, dass ich in dem Forum schon seit Monaten nicht mehr wirklich aktiv war. Vor ein paar Tagen kam dann eine Mail „Your new password“. Was mich dann schon stutzig machte. Ich dachte zuerst, jemand hätte meinen Account geknackt (ohoh!), also hab ich meinen Hintern mal auf die Seite geschwungen. Zweiter „dafuq“-Moment: Mich begrüsste ein WordPress-Pluginbasiertes-Forum. Ich kann mir nicht vorstellen, wie so etwas funktionieren sollte, da solche Lösungen eigentlich nicht skalierbar sind. Okay, nicht mein Problem, ich schloss die Seite, Passwort-Reset hatte wohl seinen Grund. Kurze Zeit später gabs dann noch ne Mail mit einem erneuten Passwort. Okay, er ist wohl an der Konfiguration, dachte ich mir…. Am Tag darauf fand gleich mehrfach folgende Mail den Weg in mein Postfach: >

Liebe Mitglieder!
Das Forum "forum-bananapi.de" wurde ein weiteres mal übernommen.
Da der (bzw. die) Admins anscheinend kein Interesse an der Sicherheit eurer Daten haben, solltet ihr das Forum in Zukunft meiden. Das ist ein gut gemeinter Ratschlag.
Der Samariter aka Troll aka Kundendienst aka Hacker

Okay, jetzt war es klar, Forum wurde mehrfach von Dritten übernommen. Was ist mit meinen Daten? Ich war leider unterwegs, keine Chance direkt nachzuforschen, was los war. Im Nachhinein hab ich die Sache doch genauer betrachtet und wurde auf Folgendes aufmerksam gemacht (Screenshot von Archive.org). Offensichtlich verlor der Admin hier gleich mehr oder weniger die komplette Kontrolle über Datenbank und seine komplette Forensoftware. c74f6b0133da8c5e5d6b035a1e238c04

Die Menge an Details offenbarte mir leider ein nahezu erschreckend stümperhaftes Verhalten. So etwas ist für eine Plattform, die sich als zentrales deutsches Portal für den Bananapi profilieren will, leider inakzeptabel. Jean-Luc gibt die Antwort!

Kein Kommentar notwendig Wie gings weiter? Inzwischen wird wild am Forum gebastelt. Inzwischen zog es auf den Server eines „befreundeten Security Profi“ um. Natürlich kenne ich ihn nicht, aber ich vertraue inzwischen keiner Aussage mehr des Admins mehr. Die Admins sind übrigens minderjährig. Was die Erziehungsberechtigten wohl dazu sagen. Das Fass möchte ich übrigens zulassen… Das Desaster Management erscheint mir selbst auch nicht wirklich durchdacht . Im Gegenteil, es macht einen chaotischen Eindruck. Die Tatsache, dass der eigentliche Hack durch grob fahrlässiges Handeln ermöglicht wurde und die Gegenmaßnahmen wahllos erscheinen (komplett neues System (WordPress), dann noch ein neues System (WBB) und dann komplett neues System auf neuem Server macht für mich wenig Sinn und erinnert mich doch eher an einen Haufen aufgescheuchte Hühner. Das Forum wurde gestern mit folgendem Hinweis in den Wartungsmodus gesetzt. Worte wie „hoffen wir“ möchte ich nach einem Hack nicht lesen. Das klingt nach „ich hab keinen Plan wie das passiert ist“. Punkt. 6b67081110675b34c4215d402ed8af9c Das Verhalten des Hackers Ich will hier klar Position beziehen. Dieser „Hacker“ hat sich moralisch dermaßen daneben benommen, wie man es nur kann. Laut dem Verhalten (siehe Forenscreenshot) scheint es sich eher um einen Nutzer des Forums als einen „fremden“ Hacker zu handeln. Das Verhalten des Hackers kann ich nicht gutheißen

Leider konnte ich von den Betreibern keine Details darüber erhalten, was genau passiert ist. Ich gehe aber von einem „Hardcore Bedienungsfehler“ beim Update der damaligen Boardsoftware vor (MyBB) aus. > Bevor hier einer sagt, ich bashe hier rum: Ich habe den Betreibern angeboten, ihnen mit Ratschlägen zu helfen. Aber sich aus dem Schlamassel ziehen müssen die sich selbst.

Der Hacker hätte sich eher direkt an die Admins wenden sollen und die Sache wäre erledigt gewesen. Dieses Verhalten jedoch hat mehr den Charakter eines öffentlichen Bloßstellens der Admins. Okay, man könnte jetzt sagen „gut zu wissen, da lösch ich lieber meinen Account“, aber darum geht es an dieser Stelle nicht. Infolge des „Hacks“, wenn man überhaupt davon sprechen kann, muss jeder User für sich selbst entscheiden, ob er seinen Account löscht. (Meine) persönliche Konsequenzen Ich werde meinen Account, sobald die Systeme des Forums wieder stehen und eine Löschung sämtlicher meiner Datensätze in alten Dumps/ ReadOnly-Versionen des Forums verlangen. Für mich ist das Thema damit erledigt. Das offensichtliche Fehlen eines Notfallsplans in Verbindung mit derben Fehlern bei der Administration sind für mich inakzeptabel. Der Betreiber können froh sein, dass niemand sie niemand aufgrund der Fahrlässigkeit rechtlich belangt. Update vom 15.08.2015, 17:24 Das Forum wurde schon wieder gehackt m(. (Danke an @derjacboy für den Hinweis) > Hallo Freunde der Sonne! Eine kurze Mitteilung vom Kundendienst: Ich hab das Forum jetzt wieder zurück, ab sofort könnt ihr wieder auf meine prof. Beratung zählen. Grüße, Samarita aka Hacker aka Kundendienst

Christoph

Programmierer. Linuxuser. Blogger. Macher vom Distrochooser. Auch unter me@0fury.de erreichbar (PGP).

Das könnte Dich auch interessieren …