Abo
  • Services:
Anzeige
4chan.org auf Twitter-Account umgeleitet
4chan.org auf Twitter-Account umgeleitet (Bild: 4Chan)

UGNazi: 4Chan durch Einbruch in Cloudflare-Server gehackt

4chan.org auf Twitter-Account umgeleitet
4chan.org auf Twitter-Account umgeleitet (Bild: 4Chan)

Angreifer sind in das System von Cloudflare eingedrungen und haben Zugriffe auf das Imageboard 4Chan auf ihren eigenen Twitter-Account umgeleitet. Laut Cloudflare erfolgte der Einbruch über eine Sicherheitslücke bei Google.

Eine Hackergruppe namens UGNazi brüstet sich mit einem erfolgreichen Angriff auf das Imageboard 4Chan. Den Hackern gelang es, Zugriffe auf die Domain 4chan.org auf ihren eigenen Twitter-Account umzuleiten, was sie in einem Video dokumentierten.

Anzeige

4Chan sei eine Spielwiese für Pädophile und ermögliche ihnen, Kinderpornografie auszutauschen, begründen die Hacker ihren Angriff. Die Website werde zu lasch überwacht, so dass Kinderpornografie dort viel zu lange abrufbar sei.

4Chan sichert seine Seite über Cloudflare ab. Das Unternehmen bietet einen Cloud-basierten Proxy-Dienst für Websitebetreiber an. Darüber ausgelieferte Websites sollen beschleunigt und besonders gegen DoS-Angriffe geschützt sein, da sie über ein weltweites Netz an Servern ausgeliefert werden. Doch offenbar gelang es den Hackern, in das System von Cloudflare einzudringen und die für 4chan.org dort hinterlegen DNS-Einträge zu ändern.

Hacker nutzten Schwachstelle bei Google aus

Matthew Prince, einer der Gründer von Cloudflare, erläutert in einem Blogeintrag, wie es aus Sicht von Cloudflare zu dem Einbruch kommen konnte. Demnach verschafften sich die Hacker Zugriff auf seine private Gmail-Adresse, wobei sie eine Schwachstelle in Googles Zwei-Faktor-Autorisierung nutzten. Prince schließt aus, dass sein Passwort erraten oder anderweitig ausspioniert wurde, da es zufällig und mehr als 20 Stellen lang sei und er es nur für diesen einen Account nutze.

Laut Prince gelang es den Angreifern, Googles System davon zu überzeugen, eine zweite E-Mail-Adresse zum Zurücksetzen des Accounts zu hinterlegen. Diese wurde dann genutzt, um das Passwort zurückzusetzen.

Cloudflare nutzt Google Apps, um seine E-Mails abzuwickeln und Prince hat bei der Erstellung des Accounts seine private E-Mail-Adresse zum Zurücksetzen des Accounts hinterlegt. Da die Hacker diese aber kontrollierten, konnten sie so das Passwort für die Cloudflare-Adresse von Prince zurücksetzen. Das funktionierte, obwohl Cloudflare dazu Googles Zwei-Faktor-Authentifizierung nutzte.

Nachdem die Angreifer seine E-Mail-Adresse unter Kontrolle gebracht hatten, konnten sie damit auf das Administrationsinterface von Google Apps zugreifen. Sie lösten dann ein Zurücksetzen des Cloudflare-Passworts von 4Chan aus und da Cloudflare die entsprechenden Mails in Kopie an einen eigenen Account sendet, um Missbrauch erkennen zu können, konnten sie darüber das Passwort von 4Chan erfolgreich zurücksetzen und den Account kontrollieren.

Keine weiteren Kunden betroffen

Google hat laut Cloudflare mittlerweile einen Fehler in seiner Zwei-Faktor-Authentifizierung gefunden und behoben, der einige wenige Accounts betreffen soll. Cloudflare hat sämtliche Anfragen zum Zurücksetzen von Passwörtern sowie alle DNS-Änderungen in seinem System manuell kontrolliert. Es seien aber keine weiteren Kunden betroffen. Zudem wurden alle ausstehenden Vorgänge zum Zurücksetzen von Passwörtern deaktiviert und der Versand von Kopien entsprechender E-Mails an einen internen Cloudflare-Account abgestellt.

Cloudflare hat nach eigenen Angaben keine Anzeichen dafür, dass die Angreifer Zugriff auf die Datenbank von Cloudflare hatten.


eye home zur Startseite
laZee 04. Jun 2012

Jo jedoch das beste was man wohl tun kann. Da posted ja jeder anonymous.

Salzbretzel 03. Jun 2012

Demnach werden die Foren bald mit Bildern der eigenen Mitgliedern verziert sein ;-) Lass...

Anonymer Nutzer 03. Jun 2012

What the fuck is wrong with you? Wegen einem flaw macht ihr einen auf "Sicherheit!" und...

shazbot 03. Jun 2012

Wer auf Kinderseiten wie /b/ geht hat eh nix besseres verdient. Wie langweilig muss einem...

derats 02. Jun 2012

...nur um 4chan für ein paar Stunden niederzulegen? Im Ernst? Da gibt es doch viel...



Anzeige

Stellenmarkt
  1. Deutsche Rückversicherung AG Verband öffentlicher Versicherer, Düsseldorf
  2. STRENGER Bauen und Wohnen GmbH, Ludwigsburg
  3. operational services GmbH & Co. KG, Frankfurt, Berlin
  4. T-Systems International GmbH, München, Darmstadt, Bonn, Leinfelden-Echterdingen


Anzeige
Spiele-Angebote
  1. 44,99€
  2. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  2. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Hype Biometrie - brandgefährlicher Unfug

    cpt.dirk | 17:03

  2. Re: Ist doch billiger

    Sharra | 17:03

  3. Gibt es einen Lagerarbeitsplatz, wo es einem...

    Lord Gamma | 17:02

  4. Re: 30 Stunden auf Abruf ?!?

    demon driver | 17:00

  5. Re: 10 bis 14 Uhr?

    demon driver | 16:55


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel