Fur Affinity fällt ImageTragick Lücke zum Opfer

fa_hacked_again_01.jpg

Eine der größten Furry Webseiten im Internet wurde während der Biggest Little FurCon (BLFC) von einem unbekannten Hacker angegriffen. Im Zuge des Angriffs wurde Fur Affinity offline geschalten und war für mehr als 24 Stunden nicht erreichbar. Besucher müssen sich nach der Wiederaufnahme des Betriebs für die kommenden Tage auf eine langsamere Seite einstellen. Der Datenbestand von sechs Tagen ging verloren, darunter Bilder, Accounts und Account-Einstellungen und gewatchte User.

Was war passiert?

Am 4. Mai 2016 wurde bekannt, dass es in der beliebten und großflächig im Internet eingesetzten Programmbibliothek „ImageMagick“ eine Sicherheitslücke gibt, die es Angreifern ermöglicht Code auszuführen. ImageMagick ermöglich es auf Server-Seite Bilder nach dem Hochladen zu bearbeiten. Fur Affinity benutzt ImageMagick z. B. dafür zu hoch aufgelöste Bilder auf kleinere Abmessungen zu schrumpfen und zu komprimieren.

Die Lücke lässt sich recht trivial ausnutzen: Der Angreifer lädt eine präparierte Bilddatei hoch, die keine Bilddaten sondern ausführbaren Code enthält. Die Sicherheitslücke ergibt sich aus der mangelhaften Prüfung seitens ImageMagick, ob es sich auch wirklich um eine Grafik handelt (technische Details gibt es auf „ImageTragick“).

Einer der USB Sticks, auf denen der Quellcode von Fur Affinity verteilt wurde

Einer der USB Sticks, auf denen der Quellcode von Fur Affinity verteilt wurde

Laut einer Meldung auf Fur Affinity selbst ereignete sich der Zugriff bereits einen Tag nach Bekanntwerden der Lücke, am 5. Mai 2016, bei welchem der komplette Quellcode der Seite heruntergeladen wurde. Am darauffolgenden Tag wurde der Patch für ImageMagick auf die Systeme von Fur Affinity eingespielt. Während der BLFC am 17. Mai 2016 wurde ein USB Stick mit dem vermeintlichen Quellcode sichergestellt und analysiert.

Auswirkungen des Hacks

Während der BLFC ermöglichte die Erlangung des Quellcodes dem Angreifer Zugriff auf die Datenbanksysteme von Fur Affinity. Submissions, Benutzerkonten und Watches wurden komplett gelöscht. Als die Betreiber sich des Angriffs gewahr wurden schalteten sie die Seite komplett offline, um den eigenen Code einer Sicherheitsprüfung zu unterziehen.

Am 18. Mai 2016 ging Fur Affinity wieder online, jedoch lag das letzte Backup sechs Tage zurück. Hochgeladene Bilder, neue Watcher und Benutzerkonten sind betroffen. Änderungen an Benutzerkonten (Änderung der E-Mail-Adresse, Passwortänderung, neue Watches, blockierte Benutzer, gefavte Bilder, etc.) haben in der Folge der Wiederherstellung aus Backups wieder den Stand vom 11. Mai 2016. Neue Benutzerkonten, die nach diesem Datum registriert wurden, müssen erneut angelegt werden. Journals und Notes waren von dem Angriff nicht betroffen.

Zur Sicherheit wurden sämtliche Benutzer von Fur Affinity ausgeloggt. Ein erneutes Anmelden ist ohne Probleme möglich, aus Sicherheitsgründen empfiehlt Fur Affinity jedoch jedem Benutzer sein Passwort zu ändern.

Es bleibt unklar, wer der Angreifer gewesen ist. Indes bittet Fur Affinity um Mithilfe bei der Aufklärung, wer den Angriff durchgeführt und die USB Sticks in Umlauf gebracht hat. Hinweise hierzu direkt an dragoneer[at]furaffinity.net.

Wie geht es weiter?

Fur Affinity arbeitet schon seit längerem an einer von Grund auf neu entwickelten Seite, die Arbeiten hierzu seien bereits zu 80% abgeschlossen.

Ebenfalls nahm man der Frage nach täglichen Backups vorweg: diese seien mit der derzeitigen Kapazität nicht machbar und es müsste zusätzlicher Platz geschaffen werden, da die Backup-Server an ihre Kapazitätsgrenzen stoßen. In den nächsten Wochen sollen zusätzliche Kapazitäten implementiert sein.

Derzeit ist beim Besuch von Fur Affinity noch mit langsamen Reaktionszeiten zu rechnen, da die Betreiber vorerst noch länger anhaltende Tests laufen lassen und den Verkehr auf der Seite genau im Auge behalten, um nach verdächtigen Bewegungen Ausschau zu halten.

Andere Reaktionen

Im Zuge des Hacks hat Weasyl unter anderem den Quellcode seiner Seite als Open Source veröffentlicht. Interessierte können sich bei Furry Network nun ohne Einladung und ohne Zusendung eines Beta-Codes bei der Seite anmelden.

Sowohl Inkbunny als auch Weasyl erlebten nach der Offline-Schaltung durch Fur Affinity einen Anstieg der Nutzeraktivität um 40%. In den einschlägigen sozialen Medien wird wie nicht anders zu erwarten erneut für andere Furry Seiten geworben.

Auch wir berichteten bereits über Alternativen zu Fur Affinity und Fur Affinitys geschichtsträchtige Laufbahn sollte zuweilen zu Genüge herausgestellt haben, dass es nicht wirklich eine Ausrede gibt bei keiner anderen Seite mind. eine Zweitgallerie zu pflegen.

Update, 20. Mai 2016 21:38 Uhr:

Es häufen sich Berichte, dass in andere Online-Konten eingebrochen wurde. Die Ursache dafür liegt wahrscheinlich in gleich lautenden Passwörtern. Es ist erneut dringlich dazu geraten auch von anderen Online-Accounts die Passwörter zu ändern!

Update, 21. Mai 2016 11:23 Uhr: Fur Affinity ist seit heute morgen im Read-Only Modus um weitere Optimierungen an der Sicherheit der Webseite und dem Passwort-Rücksetz-Tool vorzunehmen. Zusätzlich werden sämtliche Passwörter aller User zurückgesetzt. Denkt euch schon mal ein neues aus.

(sbn)

(via Flayrah)

Werbeanzeigen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.