Hacks: Town of Salem-User-Daten und deutsche Politiker

Zum Wochenstart eine kleine Zusammenfassung zweier Hacks, die gerade aktuell sind. Es gibt einige Nachträge zum Hack deutscher Politiker und 'Prominenter'. Aber es ist ein neuer Hack der Town of Salem Benutzerkonten bekannt geworden.

7,6 Mio. Town of Salem-User-Benutzerdaten abgeflossen

Das Online-Rollenspiel 'Town of Salem' von BlankMediaGames (BMG) ist seit 2014 am Markt und recht populär. Es ist auf Steam auch für deutsche Nutzer verfügbar. Ein Wiki hält einige Details zum Spiel bereit. Am Wochenende berichteten Medien (z.B. hier), dass die Plattform wohl gehackt wurde und die Daten von 7,6 Millionen Spielerkonten  abgezogen wurden.

Der Hack wurde am 28. Dezember 2018 entdeckt, als eine Kopie der gehackten Datenbank von Town of Salem anonym an DeHashed, eine Suchmaschine für gehackte Datenbanken, gesendet wurde. Die Datenbank legte nahe, dass der Server kompromittiert wurde und die Hacker Zugriff auf die komplette Gamer-Datenbank haben. Die Datenbank enthält 7.633.234 eindeutige E-Mail-Adressen (die meisten der E-Mail-Anbieter sind Gmail, Hotmail und Yahoo.com).

Nach der Analyse der gesamten Datenbank gab DeHashed bekannt, dass die kompromittierten Daten die folgenden Informationen über die Spieler enthielten:

• E-Mail-Adressen und Benutzernamen
• gehashte Passwörter (in den Formaten phpass, MD5(WordPress) und MD5(phpBB3))
• IP-Adressen sowie Spiel- und Forumsaktivitäten
• Einige Zahlungsinformationen (einschließlich vollständiger Namen, Rechnungs- und Lieferadressen, IP-Informationen und Zahlungsbeträge)

Es wurden aber wohl keine Kreditkartendaten abgezogen. Einige zusätzliche Informationen werden in dieser Steam-Ankündigung diskutiert. Dort bin ich auf einen Link mit zusätzlichen Informationen gestoßen. So scheint es sich um ein 'Hacker-Kollektiv' zu handeln, von denen sich am 13. Dezember 2018 jemand unter einem Admin-Konto des phpBB-Forums anmeldete, wie jemand bei reddit.com schreibt. Ein Administrator kann per phpBB-Dashboard wohl auch die Nutzerdatenbank exportieren.

Dem Angreifer gelang das nicht, weil ein Bug im Theme das verhinderte. Es wurden mehrere Themes probiert und irgendwann gab 'jemand' dem Hacker Infos, wie der Datenbank-Export klappen würde. Das verwendete Theme blieb ungewollt aktiv. Der Administrator bemerkte dies, setzte dieses zurück und änderte seine Anmeldedaten. Ein zweiter Hacker hatte das einige Tage vorher ebenfalls gemacht und ein modifiziertes Theme mit Backdoor installiert.

Lange Rede kurzer Sinn: Der Admin oder der Seitenbetreiber scheint seine Anmeldedaten wohl mehrfach verwendet zu haben. Dem Hacker gelang es, Zugriff auf den Server zu erhalten und die gesamte Datenbank zu exportieren. Ob das alles stimmt, werden die Computer-Forensiker herausfinden – denn der reddit.com-Nutzer gibt an, dass man über den Admin-Panel keine Log-Dateien für Datenbank-Exports löschen könne.

Laut dem reddit.com-Beitrag wurde die Datenbank mehrfach verkauft. Der anonyme reddit.com-Poster schreibt, dass er die Datenbank als Kopie vorliegen habe und dass dort keine MD5-Hashes, sondern phpass-Hashes gespeichert seien. Diese lassen sich aber entschlüsseln – der Poster will 2 Millionen Datensätze entschlüsselt haben.

Nachträge zum deutschen 'Politiker-Hack'

Am 4. Januar hatte ich im Blog-Beitrag Hunderte deutsche Politiker gehackt darüber berichtet, dass Unbekannte die persönlichen Daten (Handynummern, Adressen, Briefe und Kreditkarteninfos) deutscher Politiker erbeutet und diese wohl seit Wochen auf Twitter veröffentlicht haben. Missbraucht wurde wohl das gehackte Twitter-Konto eines YouTubers (siehe). Ergänzend dazu: Die Daten wurden häppchenweise im Stil eines Adventskalenders veröffentlicht. In den 'ersten Türchen' waren Links zu Daten von 'Prominenten' wie YouTubern, Moderatoren von Nachrichtenredaktionen etc. Nur die letzten Einträge des Adventskalenders enthielten Verweise auf geleakte Daten von Politikern der im deutschen Bundestag vertretenen Parteien (mit Ausnahme der AfD). Der von Bloomberg hier behauptete Sachverhalt, dass auch Daten der Bundeskanzlerin dabei seien, konnte ich sonst nirgends vernehmen.

Inzwischen ist bekannt, dass die Datensätze nicht nur Politiker des deutschen Bundestages, sondern auch Personen aus dem politischen Leben bis auf Ebene des Bürgermeisters herunter umfassen. Es kristallisiert sich inzwischen heraus, dass diese Daten wohl über längere Zeit aus verschiedenen Quellen gesammelt worden sein mussten. Es wird davon ausgegangen, dass auch private Online-Konten von Betroffenen oder deren Bekannten gehackt sein müssen. Stichwörter sind Facebook-Messenger, Freemail-Konten etc. Als Außenstehender beschleicht mich beim Durchlesen der Medienberichte, dass einige der Betroffenen äußerst sorglos mit ihren Online-Aktivitäten umgehen (Politiker sind ein Spiegel unserer Gesellschaft).

Von der Politik wurde sofort ein 'schwerer Angriff auf die Demokratie' beklagt, wie man z.B. in diesem heise.de-Beitrag nachlesen kann. Das reicht von Aussagen des Fraktionsvorsitzenden der Linkspartei, Dietmar Bartsch, über Statements des SPD-Generalsekretär Lars Klingbeil bis hin zur Justizministerin. In einem Tweet schreibt Frau Katharina Barley, Justizministerin Deutschlands, zum Thema:

Die Veröffentlichung persönlicher Daten ist ein schwerwiegender Angriff auf das Recht auf Privatsphäre und damit einen Grundpfeiler unserer Demokratie. Die Urheber wollen Vertrauen in unsere Demokratie und ihre Institutionen beschädigen.

— Katarina Barley (@katarinabarley) 4. Januar 2019

Klar, jeder Hack ist einer zu viel und für die Betroffenen unangenehm. Aber eine solche Stellungnahme auf Twitter unter Ministerin für Justiz lässt mich doch fassungslos zurück.  Überwachung der Bürger per Vorratsdatenspeicherung, Forderungen aus der Regierung, den Datenschutz im Gesundheitswesen zu lockern (siehe Elektronische Patientenakte: Bär will Datenschutz schleifen), die Ansätze der EU in Sachen Fahrzeugdaten (siehe EU-Kidnapping: Autonome Fahrzeugdaten gehören dem Hersteller?) – auch dort sind Angehörige der deutschen Politik mit beteiligt – das alles dürfte 'das Vertrauen in unsere Demokratie und ihre Institutionen' mehr beschädigen als der aktuelle Hack. Die Reaktionen der Twitter-Nutzer gehen daher auch ausnahmslos in diese Richtung.

Wer sich über weitere Artikel zum Thema informieren möchte, hier einige Medienberichtet mit Informationen:

• Zusammenstellung bei Spiegel Online, was über den Hack bzw. die Hacker bekannt zu sein scheint.
• Die Süddeutsche hatte vor Tagen ein Interview mit einem YouTuber, der angeblich Kontakt zum 'Hacker' hatte, diesen aber persönlich nicht kennt (siehe auch bei Golem – das Erst-Interview scheint auf T-Online erschienen zu sein). Lesart: Der 'Hacker' ist ein YouTuber, der Aufmerksamkeit wollte und die Daten aus diversen Quellen, wohl auch wegen digitaler Sorglosigkeit, zusammen führen konnte.
• Heute liest man von einer Durchsuchung bei einem 19-jährigen als Zeugen und dass dessen Hardware beschlagnahmt wurde. Dürfte der Interviewpartner der Süddeutschen gewesen sein.
• Momentan geht auch die Diskussion, wer, wann von dem Hack vorab gewusst habe, los (siehe z.B. hier und hier).

Neuester Schwank, den ich gerade gelesen habe: Laut dem US-Medium Bloomberg sucht Deutschland nun Unterstützung bei der NSA. Der Hebel: Twitter ist eine US-Firma und US-Benutzer könnten vom Hack betroffen sein. Momentan herrscht Aufregung und Aktionismus im 'politischen Digitalien' – in einigen Tagen fallen alle in den gleichen alten Trott zurück. Einen schönen Kommentar zur 'Nachrichtenlage aus der Politik' bezüglich des Hacks hat Heribert Prandl in der Süddeutschen verfasst. Digitale Nachhilfe findet sich in vielen Artikeln wie hier oder hier. Und damit einen schönen Start in die Woche.