Kurz noch was nachgetragen: Das Forum der kostenlosen und quelloffenen Media-Player-Anwendung Kodi wurde vor einigen Tagen gehackt. Dritte hatten die Möglichkeit, die Datenbank mit Nutzerdaten als Dump abzuziehen. Der Betreiber des Kodi-Forums (kodi.tv) hat derzeit das Kodi-Forum offline genommen. Sofern jemand bei diesem Forum angemeldet war, sollte er aktiv werden und seine Zugangsdaten für das Benutzerkonto ändern. Danke an den Benutzer für den Hinweis.
Anzeige
Was ist Kodi?
Kodi ist eine kostenlose und quelloffene Media-Player-Anwendung (Home Theater Software), die von der Kodi Foundation, einem gemeinnützigen Technologiekonsortium, entwickelt wurde. Die betreffenden Funktionen lassen sich auf der Webseite kodi.tv nachlesen.
Hack des Forums eingestanden
Zum 8. April 2023 haben die Betreiber des Forums in einer Meldung den Hack der Forensoftware eingestanden. Bemerkt wurde der Hack wohl nicht, vielmehr wurden die Administratoren auf einen Dump der Kodi-Benutzerforum-Software (MyBB) aufmerksam, die in Internetforen zum Verkauf angeboten wurde. Der Beitrag der Kodi-Forenbetreiber bestätigt dann, dass ein Einbruch in das System stattgefunden hat.
Die Betreiber geben an, dass die MyBB-Administrationsprotokolle zeigen, dass das Konto eines vertrauenswürdigen, aber derzeit inaktiven Mitglieds des Forum-Administrationsteams verwendet wurde, um zweimal auf die webbasierte MyBB-Administrationskonsole zuzugreifen: Diese Zugriffe fanden am 16. Februar 2023 und erneut am 21. Februar 2023 statt.
Über dieses Konto wurden Datenbank-Backups erstellt, die anschließend heruntergeladen und gelöscht wurden. Außerdem wurden nächtliche Voll-Backups der Datenbank heruntergeladen. Der Kontoinhaber hat bestätigt, dass er nicht auf die Verwaltungskonsole zugegriffen hat, um diese Aktionen durchzuführen. Das Verwaltungsteam des Kodi-Forums hat das Konto, das bei dem Verstoß verwendet wurde, deaktiviert und eine erste Überprüfung der Team-Infrastruktur durchgeführt, auf die das Teammitglied Zugriff hatte.
Anzeige
Die nächtlichen Vollbackups, die heruntergeladen wurden, enthalten laut Mitteilung alle öffentlichen Forenbeiträge, alle Beiträge im Teamforum, alle Nachrichten, die über das Nachrichtensystem von Benutzer zu Benutzer gesendet wurden, sowie Benutzerdaten einschließlich des Forumsbenutzernamens, der für Benachrichtigungen verwendeten E-Mail-Adresse und eines verschlüsselten (gehasht und salted) Passworts, das von der MyBB-Software (v1.8.27) generiert wurde.
Die Administratoren haben bis zum 8. April 2023 keine Hinweise auf einen unbefugten Zugriff auf den zugrunde liegenden Server gefunden, auf dem die MyBB-Software läuft. Die Forenbetreiber gehen davon aus, dass, obwohl die MyBB-Passwörter der Nutzer in einem verschlüsselten Format gespeichert sind, dass alle Passwörter kompromittiert sind. Dies erfordert Maßnahmen seitens des Teams und der Forenbenutzer:
- Das Admin-Team untersucht, wie man am besten ein globales Passwort-Reset durchführt und wie man am besten die Integrität des Server-Hosts und der zugehörigen Software sicherstellt.
- Für Benutzer der Kodi-Software, die im Forum ein Konto besitzen, heißt dies, dass sie davon ausgehen müssen, dass ihre Anmeldedaten für das Kodi-Forum und alle privaten Daten, die sie mit anderen Benutzern über das Benutzer-zu-Benutzer-Nachrichtensystem ausgetauscht haben, gefährdet sind.
- Wer denselben Benutzernamen und dasselbe Passwort auf einer anderen Website verwendet habt, sollte dort das Verfahren zum Zurücksetzen/Ändern des Passworts für diese Website befolgen.
Der Kodi-Forumsserver wurde von den Verantwortlichen zeitnah offline genommen, um den Vorfall in Ruhe zu klären. Dies hat auch Auswirkungen auf die Kodi-Pastebin- und Wiki-Seiten.
Weitere Schritte
Zum 11. April 2023 gab es dann die Meldung, dass das Admin-Team dabei sei, einen neuen Forumsserver in Betrieb zu nehmen. Die Verantwortlichen haben zwar keine Anzeichen für eine Kompromittierung oder andere Gründe gesehen, die die Integrität des bestehenden Systems in Frage stellen. Aber der Vorfall hat dazu geführt, dass eine bereits geplante Migration vorgezogen wird.
Dabei wird das Forum auf die neueste Version der MyBB-Software umgestellt, was aber zahlreiche funktionale Änderungen und rückportierte Sicherheitskorrekturen samt Überprüfungen beinhaltet. Dies ist keine einfache Aufgabe, und das Forum wird laut dem betreffenden Team bis zu seiner Fertigstellung offline bleiben. Es wird geschätzt, dass dies noch einige Tage dauern wird. Als Teil der Umstellung will das Teamn wir den Zugriff auf die MyBB-Administrationskonsole einschränken und abhärten, die Administratorrollen überarbeiten, um Privilegien zu reduzieren, wo immer dies möglich ist, und die Audit-Protokollierung und Backup-Prozesse verbessern.
Der derzeitige Forenserver wurde in Großbritannien gehostet. Daher wurde das UK Information Commissioner's Office über den Verstoß informiert und man hat einen Bericht bei der britischen Polizei eingereicht. Es ist nicht geplant, Behörden anderer Länder zu benachrichtigen.
Die Betreiber sind dabei, die Daten der gefährdeten E-Mail-Adressen an die Website haveibeenpwned weiterzugeben, so dass Jeder anhand der benutzten E-Mail-Adresse diese auf eine Kompromittierung prüfen kann. Derzeit untersuchen die Verantwortlichen auch, wie sie am besten eine Benachrichtigung und eine E-Mail mit Hinweisen zum Zurücksetzen des Passworts an die Benutzer des Forums senden können, sobald das Forum wieder online ist.
Das Wiki wird auf einen anderen Server umgezogen. Eine Überprüfung der Codedateien ist abgeschlossen, und es wird mit der neuesten MediaWiki-Version neu eingerichtet. Da das Wiki für viele Benutzer die wichtigste Informationsquelle zu Kodi ist, wollen die Betreiber dieses vorrangig wieder online stellen. Der Paste-Server wird ebenfalls verschoben und wiederhergestellt, aber das wird weniger dringend angesehen.
Anzeige
Wie ich dem Bericht entnehmen kann, wurde in diesem Fall keine Software-Schwachstelle ausgenutzt, sondern einfach administrative gültige Zugangsdaten verwendet. Der Datenabzug erfolgte dann ganz normal mit den zu Verfügung stehenden Admintools der MyBB-Software. Wahrscheinlich hat keine MFA stattgefunden und der Benutzername + Kennwort des betroffenen administrativen Kontos hat ausgereicht.
Hier zeigt sich, dass die Gruppe der administrativen Benutzer regelmäßig geprüft und möglichst klein gehalten werden sollte. Wenn möglich noch eine zusätzliche Absicherung (MFA) für privilegierte Konten.
wäre halt fraglich ob ne MFA was genützt hätte … wenns kein Hack sondern jemand mit Zugangsdaten war hätte der ja wahrscheinlich auch die MFA!
Da hat man halt jemanden vertraut dem man nicht vertrauen hätte sollen.
Das kann natürlich auch sein, wenn die inaktive Person !bewusst! die Zugangsdaten + die MFA Bestätigung weitergegeben hat. Natürlich kann die zweite Authentifizierung ja noch was anderes sein als nur eine MFA-App, beispielsweise nur der IP-Adressraum des Firmenbüros (hat Kodi soetwas überhaupt?). Dann hätte man eine weitere Mauer die auch schützt, wenn der MFA-Bestätigungscode mündlich an Dritte Weitergegeben wird oder wenn eine ausgeschiedene Person dies an einem nicht verifizierten Ort tut.