Zahlreiche MyBB Foren via Github gehackt

Am 15. November wurden zahlreiche MyBB Foren gehackt. Ermöglicht wurde der Hack durch einen kompromittierten MyBB Entwickleraccount auf Github. Mit diesem wurde der Versionscheck, den MyBB Foren normalerweise automatisch ausführen, verändert. Statt der aktuellen Version übertrug der Angreifer einen Javascript Schadcode. Mit diesem Schadcode gelang es dem Angreifer, zahlreiche Datenbanken von Foren herunterzuladen. Insbesondere die Entwendung der user Tabelle ist kritisch, weil dort Login-Keys und verschlüsselte Passwörter gespeichert sind.

Weder Zaiendo.de noch MybbAddons.com waren von diesem Hack betroffen. Unsere Plugins lassen keinen solchen Angriff zu. Auch weitere von mir betreute Foren konnten die Angriffe erfolgreich abwehren.

Forenbetreiber, die in der Zeit zwischen 0:00 und 16:30 Uhr am 15.11.2014 in ihrem Admin CP waren und keine zusätzlichen Sicherheitsplugins aktiviert hatten, wurden aber vermutlich Opfer des Angriffs. Nachsehen können Sie das im Admin AP unter dem Menüpunkt Tools & Verwaltung -> Administrator-Log. Wenn dort in dem Zeitraum steht, dass ein Backup heruntergeladen wurde, wurde das Forum gehackt.

Als Administrator eines gehackten Forums sollte man sofort sein eigenes Passwort ändern und die eigenen Cookies löschen. Anschließend sollte man alle Nutzer zur Wahl eines neuen Passworts auffordern und den update_check Cache erneuern.

Die Nutzer müssen unbedingt über den Vorfall informiert werden, damit sie sich schützen können – gerade wenn sie das gleiche Passwort auf mehreren Plattformen benutzen.

Nutzern von Internetdiensten empfehle ich, nur ein Passwort pro Internetdienst zu haben und dieses regelmäßig zu ändern. Andernfalls können Angreifer schnell über mehrere Internetdienste hinweg Zugriff auf die Accounts erhalten.
Besonders wichtig ist dabei das Passwort des E-Mail Accounts über den sich Passwörter meistens zurücksetzen lassen, wenn sie vergessen oder verloren wurden.

Für Entwickler lässt sich daraus die Lehre ableiten, dass stets auch von einem Datenleck im eigenen System ausgegangen werden sollte. Wäre dieser Fall bedacht worden, hätten die Foren bei dem Versions-Check geprüft, ob es sich um einen Integer oder etwas anderes handelt und alles verworfen, was kein Integer ist. Dann wäre ein Hack dieses Ausmaßes nicht möglich gewesen.
Mittlerweile nutzt der betroffene Entwickler die 2-Faktor-Authentifizierung von Github, so dass ein solcher Hack nicht mehr möglich sein sollte. Das empfehle ich auch allen anderen Entwicklern auf Github.

Offizielle Erkärung von MyBB

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *