Kodi-Forum gehackt – was passiert ist und was getan wurde

Kein Kommentar Autor: Jürgen (jdo)

Vor nicht allzu langer Zeit wurde bekannt, dass das Kodi-Forum gehackt wurde und damit Daten gestohlen wurden. Genauer gesagt wurde die User-DB zum Kauf angeboten. Die entsprechenden Websites sind weitgehend wieder online. Das Forum, das Wiki und die Paste-Seiten sind wieder in Betrieb.

Kodi-Forum wurde gehackt
Kodi-Forum wurde gehackt

Das Team hat die Sache laut eigenen Angaben gründlich untersucht, damit man aus der Vergangenheit lernen kann.

Was wurde untersucht?

Bekannt war bereits, dass für den Angriff ein altes Administrator-Konto benutzt wurde. Das Team kann allerdings nicht sagen, wie der Zugriff darauf erlangt wurde.

  • Die Zugriffsprotokolle aus dem fraglichen Zeitraum sind nicht mehr verfügbar. Deswegen kann das Team nicht sehen, wer wie und wann auf was zugegriffen hat.
  • Ein “Brute-Force”-Angriff auf das Konto ist unwahrscheinlich, da MyBB Konten schnell sperrt, wenn es zu viele Anmeldeversuche gibt.
  • Die eingesetzt Version von MyBB hat keine bekannten Sicherheitslücken auf.
  • Vom Besitzer des Kontos gab es nur wenige Informationen, allerdings gibt es keinen Grund zur Annahme, dass er mitschuldig ist.
  • Es ist sehr wahrscheinlich, dass Anmeldedaten aus einer anderen Datenschutzverletzung verwendet wurden. Je nachdem, wie oft die Person ihr Passwort geändert hat (und da sie inaktiv war, ist das wahrscheinlich schon einige Zeit her), kann das Jahre her sein.
  • Es ist möglich, dass der Browser kompromittiert wurde, aber uns ist nicht bekannt, dass andere Zugangsdaten gestohlen wurden.
  • Es ist auch möglich, dass eine laufende Sitzung gekapert wurde, aber eine solche sollte schon lange beendet und die Verbindung unterbrochen worden sein. Eine aktive Sitzung sollte es also nicht mehr geben.
  • Es könnte auch eine XSS-Schwachstelle im Forum ausgenutzt worden sein (die es tatsächlich gab), um die Sitzung eines Administrators zu kapern.

Auf jeden Fall gibt das Team zu, dass ein Beweis sehr schwer ist. Man will aber weitere Untersuchungen anstellen.

Was wurde getan?

Das Team erzählt im Anschluss, was bisher getan wurde. Da sich nicht sagen lässt, was genau die Ursache ist, kann man nur begrenzt Maßnahmen ergreifen. Auf jeden Fall hat das Team versucht, so viele Angriffs-Vektoren wie möglich zu eliminieren – das sollte man ohnehin immer tun:

  • Die Hosting-Server wurden alle von Grund auf neu installiert. Es gibt neue Betriebssysteme und alle Patches wurden eingespielt. Das OS wurde auch entsprechend gehärtet.
  • Die Server-Software (MyBB für das Forum) wurde von Grund auf neu installiert. Auch hier gibt es neueste Software- sowie Plug-in-Versionen.
  • Ebenfalls wurden bestehende Konfigurationsdateien überprüft. Das Team wollte damit sicherstellen, dass es keine offensichtlichen unerlaubten Änderungen oder Schwachstellen gibt.
  • Nicht mehr gewartete oder veraltete Foren-Plug-ins wurden entfernt. Das kann sich in einigen Fällen allerdings auf die Funktionalität auswirken.
  • Das Hashing von Passwörtern wurde aktualisiert, sodass nun ein moderner Algorithmus und nicht mehr der ältere MD5-Mechanismus verwendet wird.
  • Es wurden die Empfehlungen und Best Practices von MyBB befolgt und umgesetzt.

Ferner wurde die Registrierung neuer Benutzer für ein paar Tage deaktiviert. Deswegen konnte man testen. Für bestehende User wurden alle Passwörter zurückgesetzt und sichergestellt, dass alle aktiven Sitzungen angemeldet. Du musst die Funktion Passwort verloren mit Deiner registrierten E-Mail-Adresse nutzen, um wieder Zugang zu erhalten.

Auch außerhalb des Forums wurden diverse Maßnahmen getroffen. Dazu zählen:

  • Wir haben den Sicherheitsverstoß bei den zuständigen Behörden und der nationalen Polizei angezeigt, in deren Zuständigkeitsbereich die Datenschutzverletzung und der Diebstahl stattgefunden hat.
  • Es wurden die Administratorrechte überprüft und sichergestellt, dass es keine weiteren inaktiven, aber privilegierten Konten gibt.
  • Die Gelegenheit wurde zudem genutzt, um die Anzahl der privilegierten Konten zu reduzieren, wo es möglich war.
  • Ferner wurde das Verfahren inaktive Mitglieder verbessert. Die Open-Source-Mitarbeiter wechseln ständig und einfach ist das laut eigenen Angaben nicht.
  • Wir haben MFA für alle Administratorkonten eingeführt, wo es sinnvoll ist.
  • Es wurden alle betroffenen E-Mail-Adressen an haveibeenpwned.com weitergegeben. Interessant ist, dass sich die meisten Adressen bereits in der Datenbank von haveibeenpwned.com befanden, da sie bereits auf anderen Websites kompromittiert wurden. Deswegen ist es wichtig, die Passwörter regelmäßig zu ändern, sichere Kennwörter zu nutzen und nicht immer das gleiche Passwort. Da Du Dir nicht viele verschiedene Passwörter merken kannst, ist der Einsatz eines Passwort-Managers empfehlenswert.

Das Team schreibt, dass der größte Teil geschafft ist. Dennoch wird es weitere Optimierungen, Anpassungen und Bugfixes geben, bis die neue Infrastruktur auf einen akzeptablen Standard gebracht ist. Es kann in den kommenden Tagen als zu Ausfällen kommen. Siehst Du selbst ein Problem, darfst Du das auch gerne melden.

Auch Interessant?

  1. Kodi Forum – Datenschutzverletzung – User-DB wird verkauft
  2. Gimp 2.8.20 unter Linux Mint / Ubuntu installieren, Fairphone 2 mit Ubuntu Touch und Security-Lücke in WordPress aktiv ausgenutzt
  3. Firefox 52 ist da / WikiLeaks enthüllt mit Vault 7 die Hacking-Methoden der CIA – auch Linux im Fokus
  4. Elf Prozent aller WordPress-Installation unsicher, Cinnamon 3.4 getaggt und uXDT ist auf dem Vormarsch
  5. Untertitel machen Kodi, VLC und Computer verwundbar, Slimbook 13″ und zwei Humble Bundles

 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.