Domainsicherheit: Medien Domains gehackt
Diese Woche erschreckte eine ganz besondere Meldung viele Mediendomain-Inhaber. Beim Anwählen der jeweiligen Seite erschien die überraschende Meldung „You’ve been hacked by the Syrian Electronic Army (SEA)“.
Was die Hacker damit bezwecken wollten, ist unklar, denn die Meldung „Sie wurden von der syrischen Elektronikarmee gehackt“ war das Einzige, was dieser Hack offenbar produzierte. Die Domains selbst wurden nicht angegriffen, auch wurden keine Domaindatenbanken geplündert oder Userdaten entwendet.
Wer hinter diesem Domainhack steckt, ist noch nicht bekannt, wohl aber, dass es sich um die bravsten Hacker seit Jahren handeln muss, denn außer der Meldung auf den betroffenen Domains scheint nichts passiert zu sein. Man könnte mutmaßen, dass dahinter vielleicht eine Gruppe steckt, die ausprobieren wollte, ob der Hack klappt. Möglicherweise war dies nur ein Test und man wollte sehen, ob über diesen Weg schnell und problemlos auf vielen Domains gleichzeitig Meldungen angezeigt werden können. Meldungen, die im späteren Verlauf einen, den Hacker wichtigereren, Inhalt transportieren sollten?
Eine, in die Domain eingebettete, Kommentarfunktion von Gigya machte diesen Hack möglich. Oder zumindest der Umstand, dass das Script unverschlüsselt übertragen wurde. Die Hacker mussten nur hergehen und einen Eintrag bei GoDaddy, dem Registrar, umschreiben. Auf einem anderen Server wurde ein anderes Script bereitgestellt und dann geladen und schon war ihr Ziel erreicht. Anstatt des original beabsichtigten Scripts, wurde nun das von den Hackern geladen und angezeigt. Nicht nur für die Domainbetreiber ein Schreck, denn schließlich bekamen vor allen Dingen Besucher der betroffenen Seiten, unter anderem des CBC, des öffentlichen, kanadischen Rundfunks, diese Meldung angezeigt. Besucher können aber unbesorgt sein. Weder wurden ihre Computer gehackt, noch Server, noch wurde Gigya befallen.
Zwar war unter anderem der Blog von Gigya betroffen, mehr aber nicht. Ein Glück für Gigya, denn das Unternehmen aus Kalifornien übernimmt die Registrierung unzähliger Webseiten mit sämtlichen Zugangs- und Identitätsprofilen. Darunter viele Firmen. Unverschlüsselt, denn eine Verschlüsselung würde die Weiternutzung problematisch machen. Die Profildaten der Firmen werden unter anderem mit Reklamediensten und sozialen Netzwerken verknüpft. So sind dann Werbeeinblendungen bei Usern möglich. Gerade die Dienste, die für die Werbung zuständig sind, sind mit https, der Verschlüsselung, nicht kompatibel. Der DNS-Eintrag, der diesen Hack möglich machte, ist mittlerweile geändert worden.
Die letzte Frage bleibt aber bestehen und diese werden sich viele Inhaber von Domains, egal ob Mediendomains oder andere, stellen und das ist die nach der Sicherheit. Wieder einmal, denn es gibt ja nicht schon genug Schwachstellen und Unwägbarkeiten, mit denen man sich auseinandersetzen muss. Ob die Hacker auf diese Schwachstelle bei GoDaddy aufmerksam machen wollten, oder ob dies ein Testlauf für eine weit wichtigerere Mitteilung sein sollte, man weiß es nicht und Vermutungen anzustellen ist mühsam. Beides ist durchaus denkbar. Wäre dies ein Testlauf gewesen, hätte man die einzige Chance verspielt, dass solch ein Mega-Hack klappen könnte, denn die Schwachstelle ist beseitigt worden. Wenn es jedoch ein Hinweis auf eine Sicherheitslücke gewesen war, dann ist dieser schnell und mit viel Erfolg vermittelt worden. Die dritte Möglichkeit wäre, dass jemand durch Zufall auf diese Hintertür aufmerksam geworden ist und sich einfach nur einen Scherz erlauben wollte. Einen Scherz, der aber die nie endende Sicherheitsdiskussion im Domaingeschäft wieder angekurbelt hat. Fragt sich nur, ob Domainbesitzern damit geholfen ist, denn auch von hier kann keine hundertprozentig sichere Lösung präsentiert werden.
Autor:
Wolfgang Wild, Domainsmalltalk