Abo
  • Services:

UGNazi: 4Chan durch Einbruch in Cloudflare-Server gehackt

Angreifer sind in das System von Cloudflare eingedrungen und haben Zugriffe auf das Imageboard 4Chan auf ihren eigenen Twitter-Account umgeleitet. Laut Cloudflare erfolgte der Einbruch über eine Sicherheitslücke bei Google.

Artikel veröffentlicht am ,
4chan.org auf Twitter-Account umgeleitet
4chan.org auf Twitter-Account umgeleitet (Bild: 4Chan)

Eine Hackergruppe namens UGNazi brüstet sich mit einem erfolgreichen Angriff auf das Imageboard 4Chan. Den Hackern gelang es, Zugriffe auf die Domain 4chan.org auf ihren eigenen Twitter-Account umzuleiten, was sie in einem Video dokumentierten.

Stellenmarkt
  1. Dataport, Altenholz bei Kiel
  2. Wirecard Service Technologies GmbH, Aschheim

4Chan sei eine Spielwiese für Pädophile und ermögliche ihnen, Kinderpornografie auszutauschen, begründen die Hacker ihren Angriff. Die Website werde zu lasch überwacht, so dass Kinderpornografie dort viel zu lange abrufbar sei.

4Chan sichert seine Seite über Cloudflare ab. Das Unternehmen bietet einen Cloud-basierten Proxy-Dienst für Websitebetreiber an. Darüber ausgelieferte Websites sollen beschleunigt und besonders gegen DoS-Angriffe geschützt sein, da sie über ein weltweites Netz an Servern ausgeliefert werden. Doch offenbar gelang es den Hackern, in das System von Cloudflare einzudringen und die für 4chan.org dort hinterlegen DNS-Einträge zu ändern.

Hacker nutzten Schwachstelle bei Google aus

Matthew Prince, einer der Gründer von Cloudflare, erläutert in einem Blogeintrag, wie es aus Sicht von Cloudflare zu dem Einbruch kommen konnte. Demnach verschafften sich die Hacker Zugriff auf seine private Gmail-Adresse, wobei sie eine Schwachstelle in Googles Zwei-Faktor-Autorisierung nutzten. Prince schließt aus, dass sein Passwort erraten oder anderweitig ausspioniert wurde, da es zufällig und mehr als 20 Stellen lang sei und er es nur für diesen einen Account nutze.

Laut Prince gelang es den Angreifern, Googles System davon zu überzeugen, eine zweite E-Mail-Adresse zum Zurücksetzen des Accounts zu hinterlegen. Diese wurde dann genutzt, um das Passwort zurückzusetzen.

Cloudflare nutzt Google Apps, um seine E-Mails abzuwickeln und Prince hat bei der Erstellung des Accounts seine private E-Mail-Adresse zum Zurücksetzen des Accounts hinterlegt. Da die Hacker diese aber kontrollierten, konnten sie so das Passwort für die Cloudflare-Adresse von Prince zurücksetzen. Das funktionierte, obwohl Cloudflare dazu Googles Zwei-Faktor-Authentifizierung nutzte.

Nachdem die Angreifer seine E-Mail-Adresse unter Kontrolle gebracht hatten, konnten sie damit auf das Administrationsinterface von Google Apps zugreifen. Sie lösten dann ein Zurücksetzen des Cloudflare-Passworts von 4Chan aus und da Cloudflare die entsprechenden Mails in Kopie an einen eigenen Account sendet, um Missbrauch erkennen zu können, konnten sie darüber das Passwort von 4Chan erfolgreich zurücksetzen und den Account kontrollieren.

Keine weiteren Kunden betroffen

Google hat laut Cloudflare mittlerweile einen Fehler in seiner Zwei-Faktor-Authentifizierung gefunden und behoben, der einige wenige Accounts betreffen soll. Cloudflare hat sämtliche Anfragen zum Zurücksetzen von Passwörtern sowie alle DNS-Änderungen in seinem System manuell kontrolliert. Es seien aber keine weiteren Kunden betroffen. Zudem wurden alle ausstehenden Vorgänge zum Zurücksetzen von Passwörtern deaktiviert und der Versand von Kopien entsprechender E-Mails an einen internen Cloudflare-Account abgestellt.

Cloudflare hat nach eigenen Angaben keine Anzeichen dafür, dass die Angreifer Zugriff auf die Datenbank von Cloudflare hatten.



Anzeige
Top-Angebote
  1. 4,95€ anstatt 9,95€ pro Monat
  2. 188€ (Vergleichspreis 214,49€)
  3. 144,90€ (Vergleichspreis 173,90€)
  4. 319€ + Versand (Vergleichspreis 357,47€)

laZee 04. Jun 2012

Jo jedoch das beste was man wohl tun kann. Da posted ja jeder anonymous.

Salzbretzel 03. Jun 2012

Demnach werden die Foren bald mit Bildern der eigenen Mitgliedern verziert sein ;-) Lass...

Anonymer Nutzer 03. Jun 2012

What the fuck is wrong with you? Wegen einem flaw macht ihr einen auf "Sicherheit!" und...

shazbot 03. Jun 2012

Wer auf Kinderseiten wie /b/ geht hat eh nix besseres verdient. Wie langweilig muss einem...

derats 02. Jun 2012

...nur um 4chan für ein paar Stunden niederzulegen? Im Ernst? Da gibt es doch viel...


Folgen Sie uns
       


Apple Watch 4 - Fazit

Die neue Apple Watch bleibt für uns das Maß aller Smartwatch-Dinge.

Apple Watch 4 - Fazit Video aufrufen
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Flexibles Display Samsungs faltbares Smartphone soll im März 2019 erscheinen
  2. Samsung Linux-on-Dex startet in privater Beta
  3. Infinity Flex Samsung zeigt statt Smartphone nur faltbares Display

Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

    •  /