leider gibt es schlechte Nachrichten:
Wir hatten heute (21. Januar 2019) zwischen 17:18 und (bis jetzt) 21:28 ungebetenen Besuch eines russischen Hackers. Jedenfalls gehört die verwendete IP zu einem russischen Provider. Der Angreifer hat insgesamt ca. 69.000 Seitenaufrufe getätigt und dabei knapp 3GB an Daten gelesen. Daten umfasst hierbei mit wenigen Ausnahmen wie einige zum Board gehörende JavaScript und CSS Dateien nur die eigentlichen, textuellen Seiteninhalte, also das, was zum Beispiel viewtopic.php zurückliefert.
Enthalten in den ca. 69.000 Seitenaufrufen sind rund 22.000 Versuche, neue Inhalte zu posten. Nach gegenwärtigem Kenntnisstand sind alle Versuche Neues zu posten an mangelnden Rechten gescheitert. Insofern hat die Board-Software funktioniert, und der Angreifer keinen voll funktionsfähigen Zugang gehabt. Oder - auch eine mögliche Erklärung - er hatte einen vollen Zugang, aber das von ihm verwendete Programm zum Herunterladen der Boardinhalte und zum Posten neuer Daten hat nicht richtig funktioniert. Siehe unten zur aktuellen Vermutung.
Insgesamt verteilen sich die Zugriff wie folgt:
- Themenanzeige 27.184 (6256x "Rund uns Board", 1931x "Ankündigungen")
- Beitrag posten 21.219 (19217x "Rund uns Board", 2002x "Ankündigungen")
- Forenanzeige 143 (77x "Rund uns Board", 44x "Ankündigungen", 22x "Board-Zone" (Kategorie, enthält die beiden anderen))
- Suche 1975
- Profilanzeige via Mitgliederliste 1547 (136 verschiedene Profile, die meisten 11 mal)
- Gruppenmitglieder anzeigen via Mitgliederliste 22 (immer Gruppe 381 "Moderatoren")
- Sonstige Funktionen der Mitgliederliste 44
- Neuanmeldung (Registrierung) via ucp 22
- Passwort zurücksetzen via ucp 22
- Anmeldung (Login) via ucp 22
- Sonstige Funktionen des Profils (ucp) 66
Es fällt dabei auf, dass nur solche Foren besucht wurden, die auch Web-Bots wie den Suchmaschinen zugänglich sind. Davon abweichend hat der Hacker aber auch die eigentlichen Profilinhalte aller 136 versuchten Profile auslesen können. Dies können Web-Bots normalerweise nicht. Daher ist zu vermuten, dass der Hacker einen der automatischen Accounts für Suchmaschinen missbraucht hat und sich dabei auf noch ungeklärte Weise teilweise erweiterte Rechte beschafft hat, die zwar nicht ausreichten um in andere Foren als für Web-Bots freigegeben hineinzusehen, die jedoch reichten um die Profile anzusehen.
Gemäß DSGVO (GDPR) ist jeder Betreiber einer Website oder sonstiger Daten verarbeitenden Einrichtung verpflichtet, bei einem Datenleck die Betroffenen Nutzen zu informieren. Dies ist mit dieser Mitteilung geschehen. Eine weitergehende, d.h. individuellere Information ist nicht möglich, da wir von den meisten keine gültige E-Mail Adresse haben. Rückfragen können aber gern gestellt werden, entweder hier öffentlich oder privat per PM oder Mail.
Seneca