Letzte Nacht ging bei Twitter gar nichts mehr und die Seite sah für ein paar Stunden so aus:

Offensichtlich war also ein Hack die Ursache des Ausfalls und die Seite wurde defaced.

Aktuell gibt es kaum Informationen zu dieser Aktion, der Service wurde allerdings inzwischen wiederhergestellt. Es ist allerdings noch unbekannt, ob über das Defacement hinaus weitere Services von Twitter angegriffen wurden. Demzufolge ist es angeraten, schleunigst die Passwörter zu ändern, denn ein Zugriff auf die Datenbanken kann nicht ausgeschlossen werden.

Selbst wenn Passwörter nicht im Klartext in der Datenbank gespeichert wurden (üblicherweise findet man dort anstelle des Passwortes einen Hash-Wert), können „simple“ Passwörter relativ schnell gefunden werden: Der Hash-Algorithmus ist bekannt, somit lässt man eine Wortliste hashen und vergleicht die Ergebnisse mit den Hashs in der Datenbank. Ist schnell gescriptet und außer ein wenig Geduld braucht man dann nicht mehr viel.

Update: Scheinbar handelt es sich nicht um einen direkten Hack der Twitter-Dienste, sondern die DNS-Einträge wurden manipuliert. Sagt zumindest Twitter. In so einem Fall würden alle Zugriffe auf twitter.com nicht auf dem gewohnten Server landen, sondern umgeleitet zu einem Server, auf dem sich die oben abgebildete Seite befindet. Ob an diesen DNS-Manipulationen etwas dran ist, kann aktuell noch niemand bestätigen.

Update 2: Inzwischen hat es sich bestätigt, dass das Defacement auf DNS Hijacking zurück zu führen war. Die Seite selbst war offenbar zu keiner Zeit direkt im Zugriff der Angreifer, lediglich DNS-Anfragen zur Auflösung der Domain twitter.com wurden falsch beantwortet und Besucher somit umgeleitet.

Sven Kubiaks Blog wurde vorgestern Opfer eines Defacements. In seinem Beitrag beschreibt er recht detailliert die Ursachen und die Auswirkungen dieser Attacke und kommt zu einem wichtigen Schluss: Es ist enorm wichtig, regelmäßig Updates der installierten WordPress-Version sowie auch aller genutzten Plugins einzuspielen.

Die Lücke, über die es den Angreifern gelungen ist, das Defacement auszuführen, saß im Plugin MyGallery. Diese Lücke war durchaus nicht unbekannt, Sven hatte lediglich versäumt, die Updates einzuspielen.

Natürlich ist es zeitweise etwas nervig, permanent zu überprüfen, welche Updates verfügbar sind, welche Sicherheitslöcher in der eingesetzten Software bekannt wurden und hier dann regelmäßig Hand anzulegen, um das Blog, den Shop oder die WebSite so sicher wie möglich zu halten. Die Klagen über die häufigen WordPress-Updates sind ja kaum zu überhören. Aber jeder Webmaster/Blogger sollte sich des Risikos bewusst sein, im Ernstfall alle Arbeit zu verlieren, die man in die Gestaltung und die Inhalte gesteckt hat. Sind dann nicht einmal Backups vorhanden, kann so etwas unter Umständen die Existenz bedrohen, wenn beispielsweise der WebShop betroffen ist, auf Basis dessen vielleicht das eigene Unternehmen Geld verdient.

Sven hat Glück gehabt, es wurde augenscheinlich lediglich ein Defacement durchgeführt, die Datenbanken scheinen nicht betroffen zu sein. Es hätte aber auch ganz anders laufen können.

Eine regelmäßig aktualisierte Liste bekannter Sicherheitslücken in WordPress und Plugins findet ihr im übrigen bei BlogSecurity. Sollte m.E. in keinem Feedreader fehlen.