MangaDex-Website nach Hacking-Vorfall offline

Cyber Security News

Ein Cyberangreifer spottete über offene Sicherheitslücken auf der Site und veranlasste eine Codeüberprüfung.

MangaDex, das Online-Repository für Manga-Animationscomics, wird nach einem Hacking-Vorfall bis auf weiteres geschlossen.

Letzte Woche berichtete die Website, dass ein Cyberangreifer Zugang zu einem administrativen Konto erlangt hatte, “durch die Wiederverwendung eines Session-Tokens, das in einem alten Datenbankleck gefunden wurde, durch eine fehlerhafte Konfiguration der Sitzungsverwaltung.”

Nachdem das Problem behoben war, indem alle Sitzungen global gelöscht wurden, haben die Entwickler der Website einen Blick auf den Code geworfen, der MangaDex betreibt, und versucht, alle Schwachstellen zu beheben, auf die sie dabei gestoßen sind. Während der Überprüfung des Codes gelang es demselben Angreifer, auf einen der Entwickler-Accounts von MangaDex zuzugreifen und den Quellcode der Seite in Version 3 zu stehlen. Die wahrscheinliche Motivation des Angreifers war es, laut MangaDex “maximale Störungen” auf der Seite zu verursachen.

“Während der Angreifer Zugriff auf Informationen erlangte, die normalerweise nicht aus dem Kontext eines normalen Benutzers sichtbar sind, konnten wir nicht bestätigen, dass ein kompletter Host kompromittiert wurde oder eine aktuelle Datenbankverletzung vorliegt”, gab die Website bekannt. “Als Nutzer möchten wir Sie dazu ermutigen, davon auszugehen, dass Ihre Daten verletzt wurden, und sofortige Vorsichtsmaßnahmen zu ergreifen, wie z.B. das Ändern der Passwörter aller Konten, die das gleiche Passwort wie Ihr MangaDex-Konto haben könnten. Als allgemein gute Sicherheitspraxis werden Passwort-Manager sehr empfohlen, um Ihre Online-Identität sicher zu halten.”

Mehrere Site-Schwachstellen

Der Angreifer verhöhnte die Betreiber der Seite auch mit dem Wissen über Sicherheitslücken in der Codebasis, was der Hauptgrund dafür ist, dass MangaDex offline ging, hieß es.

“Der Angreifer hatte das Git-Repository, das das Quellcode-Leck enthielt, aktualisiert und behauptet, dass wir zwei von drei möglichen CVEs erfolgreich gepatcht hätten”, heißt es in einer Mitteilung der Website, die am Sonntag veröffentlicht wurde. “Ohne irgendeine Möglichkeit, die Behauptungen zu bestätigen, haben wir das Worst-Case-Szenario angenommen und die Website heruntergefahren, um weiter zu untersuchen.”

MangaDex, das von Freiwilligen betrieben wird, plant, sich die Zeit zu nehmen, die es braucht, um eine Überarbeitung der Website abzuschließen, die auf Version fünf des Quellcodes basieren wird. Das könnte bis zu drei Wochen dauern, schätzte sie.

MangaDex plant, seine Rückkehr zu beschleunigen, indem es online geht, sobald die Grundfunktionen der Version fünf fertig sind: Nämlich Lesern zu erlauben, Manga-Titel zu lesen und zu verfolgen und Gruppen zu erlauben, “Scanlations” von Comics hochzuladen.

“Anstatt eine wahrscheinlich anfällige Website aufrechtzuerhalten und unsere Zeit und Bemühungen damit zu verschwenden, Katz und Maus mit ständigen Angriffen von [distributed denial of service] DDoS bis Hacking zu spielen, haben wir beschlossen, diese Gelegenheit zu nutzen, um uns neu zu konzentrieren und unsere geplante Überarbeitung der Website zu beschleunigen”, heißt es in der Mitteilung. “Im Gegensatz zu unseren ursprünglichen Plänen werden wir jedoch diese v.5 einführen, sobald die minimal notwendigen Funktionen fertig sind.”

Die Seite hat in der Zwischenzeit ethische Hacker eingeladen, bei der Suche nach den vom Angreifer behaupteten Sicherheitslücken in der Codebasis sowie nach anderen Fehlern zu helfen.

Potentielles Bug-Bounty-Programm

Während MangaDex sich im Moment auf Freiwillige verlässt, um Sicherheitslücken zu finden und zu beheben – die Seite sagte, dass diese Helfer bereits “eine gute Anzahl” von Fehlern identifiziert haben – könnte ein formelleres Programm in der Mache sein.

“Wir sind immer noch offen für Vorschläge oder verantwortungsvolle Enthüllungen von Sicherheitslücken, die im durchgesickerten v.3-Quellcode gefunden wurden”, heißt es in der Mitteilung. “Während wir zum Zeitpunkt des Schreibens zahlreiche gefunden haben und die meisten davon gepatcht haben, schätzen wir alle Versuche, uns zu helfen, mehr zu finden.”

Weiter heißt es, dass, sobald die neue Seite live ist, sie möglicherweise Kopfgelder für die Funde implementieren.

“Wir haben die aufrichtige Absicht, die Sicherheit der bestehenden und zukünftigen Infrastruktur zu verbessern, und obwohl einige unserer Entwickler Erfahrung im Sicherheitsbereich haben, haben wir entschieden, dass eine Art Bug-Bounty-Programm für v.5 nur von Vorteil für MangaDex sein kann”, heißt es in der Mitteilung. “Als Mittel, um das zu unterstützen, beabsichtigen wir, Auszahlungen in Abhängigkeit von der Schwere der gemeldeten Bugs in Betracht zu ziehen. Weitere Details werden in naher Zukunft bekannt gegeben.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com