• IT-Karriere:
  • Services:

Überwachungssoftware: Finfisher-Hersteller in großem Stil gehackt

Hinter den jüngsten Veröffentlichungen zur Spähsoftware Finfisher steht offenbar ein umfangreicher Hack. 40 Gigabyte an Daten sind im Netz aufgetaucht, darunter Quellcode von Finfly Web sowie mögliche Belege für die Nutzung durch autoritäre Staaten.

Artikel veröffentlicht am ,
"Phineas Fisher" hat 40 Gigabyte an Daten von Finfisher kopiert.
"Phineas Fisher" hat 40 Gigabyte an Daten von Finfisher kopiert. (Bild: Twitter.com/Screenshot: Golem.de)

Ein bislang unbekannter Hacker ist offenbar in einen Server des Spähsoftware-Herstellers Finfisher eingedrungen und hat umfangreiches Material öffentlich gemacht. Dazu gehört unter anderem eine Bittorrent-Datei im Umfang von 40,5 Gigabyte, die anscheinend das komplette Material enthält, das der Hacker kopieren konnte. Der Hacker mit den Pseudonym Phineas Fisher veröffentlichte inzwischen auszugsweise weitere Daten, darunter den Quellcode des Tools Finfly Web auf Github. In mehreren Beiträgen auf Reddit.com bittet er darum, den Torrent zu verteilen sowie die Daten zu analysieren. Zudem verteidigt er sein Vorgehen, das Material zu veröffentlichen.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. ING-DiBa AG, Nürnberg

Die Daten stammen möglicherweise von dem Server finsupport.finfisher.com. Darauf deutet ein Tweet auf dem Account von Phineas Fisher hin, in dem es parodistisch heißt: "Wir haben unsere Website auf http://finsupport.finfisher.com vom Netz genommen. Wir gehen Gerüchten nach, dass sie möglicherweise gehackt wurde." Die Spähsoftware wurde von der deutsch-britischen Firma Gamma Group entwickelt, die Firma Gamma International Sales GmbH in München wurde Ende vergangenen Jahres in Finfisher GmbH umbenannt. Seit 2011 wurden zahlreiche Dokumente über das Spähprogramm veröffentlicht, das nach Recherchen von Medien und Aktivisten auch von autoritären Staaten zur Überwachung von Regimegegnern eingesetzt wird.

Zugriff aus Bahrain auf Kundenserver?

Auf Reddit schreibt der Hacker: "Das ist das Ende der Geschichte, bis ich vor ein paar Tagen in das Netzwerk von Gamma eingedrungen bin und 40 GB an Daten mitgenommen habe. Ich habe stichhaltige Beweise dafür, dass sie wissentlich ihre Software an Leute verkauft haben (und es weiter tun), die damit Aktivisten aus Bahrain angreifen." Ein Beleg dafür könnte eine Zugriffsstatistik auf die Kundenserver sein, die inzwischen veröffentlicht wurde. Demnach stammten im März 2010 vier Prozent der Zugriffe aus Bahrain. Auch Staaten wie die Vereinigten Arabischen Emirate, Uganda und Jordanien zählen demnach zu den Kunden von Finfisher. Deutschland steht regelmäßig weit oben in der Statistik, wobei es keinen Beleg für die Authentizität der Daten gibt.

Aus einem weiteren Dokument soll hervorgehen, dass Finfisher seine Zero-Day-Exploits auch von dem französischen Unternehmen Vupen bezieht. Dessen Geschäftsführer Chaouki Bekrar behauptet seit Jahren, nur mit Strafverfolgungsbehörden und Geheimdiensten aus Nato-Mitgliedsstaaten oder deren Partnerländern zusammenzuarbeiten. Noch am Dienstag twitterte er, seine Ergebnisse nur an Behörden als Endkunden zu verkaufen, nicht an Firmen wie Gamma, Finfisher oder Hacking Team. In einer Frage-Antwort-Liste des jüngsten Hacks zu Exploits heißt es jedoch: "Können wir den Lieferanten nennen? - Ja, Sie können erwähnen, dass wir dabei mit Vupen zusammenarbeiten."

Eine enge Verbindung zwischen beiden Firmen zeigen auch Fotos, die Bekrar jüngst twitterte. Sie zeigen ihn mit dem Gamma-Entwickler Martin Johannes Münch während der Fußballweltmeisterschaft. Auf Netzpolitik.org wird spekuliert, dass Münch inzwischen nicht mehr für Gamma/Finfisher arbeite. Die Seite spiegelt zudem die Dokumente komplett auf ihren Servern. Auf Dropbox sind die bereits Anfang der Woche veröffentlichten Dokumente wegen hoher Zugriffszahlen nicht zugänglich.

Es ist schwer abzuschätzen, welche Details aus den 40 Gigabytes noch hervorgehen werden. Der Imageschaden für Finfisher dürfte bereits jetzt beträchtlich sein, nicht bei Menschenrechtsgruppen, von denen das Unternehmen ohnehin kritisch betrachtet wurde, sondern eher bei den zahlungskräftigen Kunden wie den Ermittlungsbehörden, die allein 1,5 Millionen Euro für ein Finfisher-Paket zahlen sollen. Bislang hat Finfisher auf Anfragen von Golem.de keine Stellungnahme zu dem Hack abgegeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 52,99€
  2. 4,99€
  3. 6,63€
  4. (-79%) 5,99€

w4verider 07. Aug 2014

Fuer solch edle absichten greift doch das #superdupergrundrecht

Anonymer Nutzer 07. Aug 2014

Germany 818 Japan 769 Korea (South) 239 Thailand 184 France 152 Brazil 118 Taiwan 112...

ploedman 06. Aug 2014

Nein, bis zur Eröffnung der Wiesen, dauert es noch...

MisterProll 06. Aug 2014

Einfach das Torrent saugen Kompilieren und dann dei Webcam von ihm anwerfen, der übt...

0xLeon 06. Aug 2014

https://wikileaks.org/spyfiles/files/0/296_GAMMA-201110-FinFly_Web.pdf Web-Exploit-Kit...


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

    •  /