Comretix Blog

Um derzeit laufenden Attacken ein Schnippchen zu schlagen, sollten Admins Solarwinds Web Help Desk (WHD) umgehend auf den aktuellen Stand bringen. Nur so können sie unbefugte Zugriffe und die Manipulation von Daten vorbeugen.

Anzeige

Vor den Attacken warnt die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) in einem aktuellen Beitrag. Die "kritische" Sicherheitslücke (CVE-2024-28987) ist seit August dieses Jahres bekannt. Seitdem gibt es auch die abgesicherte Version WHD 12.8.3 Hotfix 2.

Aufgrund von hartcodierten Zugangsdaten verschaffen sich Angreifer Zugriff auf die Kundensupport-Software und modifizieren Daten. Was die Angreifer konkret anstellen und in welchem Umfang die Attacken derzeit ablaufen, ist unbekannt. Die CISA führt auch nicht aus, wie Angriffe ablaufen. Unklar bleibt auch, wie Admins bereits attackierte Systeme erkennen können. Da helfen leider auch die Informationen aus der offiziellen Warnmeldung nicht weiter.

Admins, die Github-Instanzen mit Github Enterprise Server selbst hosten, sollten die zugrundeliegende Software zügig auf den aktuellen Stand bringen. Andernfalls können Angreifer unter anderem an einer "kritischen" Sicherheitslücke ansetzen.

Anzeige

Um Server abzusichern, stehen die abgesicherten Versionen 3.11.16, 3.12.10, 3.13.5 und 3.14.12 zum Download bereit. Ältere Ausgaben befinden sich nicht mehr im Support und an dieser Stelle ist ein Upgrade notwendig, um auch in Zukunft noch Sicherheitsupdates zu bekommen. Die kritische Schwachstelle (CVE-2024-9487) hat den Release Notes zufolge ihren Ursprung in einem Fix für eine ähnliche Lücke (CVE-2024-4985 "kritisch") aus Mai dieses Jahres.

Betroffen sind ausschließlich Instanzen, die zur Authentifizierung auf SAML SSO setzen. Außerdem muss die Funktion Encrypted Assertions aktiv sein, was den Entwicklern zufolge standardmäßig nicht der Fall ist. Obendrein benötigen Angreifer Netzwerkzugriff und eine signierte SAML Response. Sind diese Voraussetzungen erfüllt, können Angreifer aufgrund von unzureichenden Zertifikatsüberprüfungen die Authentifizierung umgehen. So sind unbefugte Zugriffe möglich.

Darüber hinaus haben die Entwickler noch eine zweite Sicherheitslücke (CVE-2024-9539 "mittel") geschlossen. Wenn Opfer auf eine präparierte URL klicken, können Informationen leaken.

In der Politik wird die Chatkontrolle derzeit intensiv diskutiert, immer wieder bringt die ungarische Ratspräsidentschaft Vorschläge für eine Neuauflage der EU-Regelungen ein. Unter anderem die deutsche Regierung lehnt diese vehement ab, Justizminister Buschmann konstatierte gar, sie habe "in einem Rechtsstaat nichts zu suchen".

Anzeige

Das Bundesamt für Informationssicherheit (BSI) hat zusammen mit der Münchner Firma MGM Security Partners zwei Passwort-Manager im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 3.0) auf mögliche Mängel überprüft. Die Tester wurden dabei vor allem bei Vaultwarden fündig. Bei der Lösung zum Speichern von Passwörtern identifizierten die Experten zwei Sicherheitslücken und stuften sie als "hoch" ein. Die Untersuchungen, die zwischen Februar und Mai stattfanden, bezogen sich auf die Version 1.30.3. Mit der Version 1.32.0 vom 11. August behoben die Entwickler auf Basis der Hinweise die wichtigsten Bugs. Administratoren sollten daher ein entsprechendes Update durchführen.

Anzeige

Vaultwarden unterstützt das Frontend und die Anwendungen der Alternative Bitwarden, gilt durch eine Implementation in Rust aber als schneller und ressourcensparender. Eine direkte Verbindung zwischen beiden Projekten gibt es nicht. Der Ergebnisbericht von MGM stammt vom 11. Juni, das BSI hat ihn aber erst am Montag veröffentlicht. Die Vaultwarden-Serveranwendung weist demnach in der inspizierten Version insbesondere zwei Sicherheitslücken mittlerer beziehungsweise hoher Kritikalität auf, mit denen ein Angreifer gezielt Nutzer und die Anwendung kompromittieren kann.

"Vaultwarden sieht keinen Offboarding-Prozess für Mitglieder vor", die eine Organisation wie ein Unternehmen oder eine Behörde verlassen, schreiben die Autoren. "Das bedeutet, dass die für den Datenzugriff notwendigen Master-Schlüssel in diesem Fall nicht ausgetauscht werden." Folglich besitze die ausscheidende Person, der eigentlich der Zugang entzogen werden sollte, weiterhin den kryptografischen Schlüssel zu den Daten der Organisation. In Kombination mit einer weiteren Schwachstelle, über die unberechtigt auf verschlüsselte Daten anderer Einrichtungen zugegriffen werden könne, behalte das ehemalige Mitglied so weiterhin unberechtigten Zugriff auf alle – auch später erzeugten – Geheimnisse der entsprechenden Organisation im Klartext.

Zudem werde beim Ändern der Metadaten eines eingerichteten Notfallzugriffs die Berechtigung des entsprechend ausgerüsteten Nutzers nicht überprüft, erklären die Tester. Über den Endpunkt könnten die Bedingungen für das Notfallszenario einschließlich der Zugriffsebene und der Wartezeit nachträglich geändert werden. Ein Angreifer, dem ein Admin auf diesem Wege Zugriff auf ein Konto gewährt habe, wäre damit in der Lage, auf die Daten des Accounts mit einer höheren Zugriffsstufe zugreifen. Ferner könnte er die durch den Besitzer festgelegte Wartezeit, die standardmäßig 7 Tage beträgt, beliebig verkürzen.

Mit einer neuen Spezifikation will die FIDO Alliance den Import und Export von Passkeys vereinfachen und sicherer machen. Konkret führt sie das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF) ein. Nutzer können mit ihnen ihre Passkeys von einem Passwort-Manager verschlüsselt zu einem anderen kopieren, ohne wie bisher auf den unsicheren Umweg über CSV-Dateien auszuweichen. Die Spezifikation soll sich ebenfalls mit anderen Authentifizierungsinformationen nutzen lassen, worunter unter anderem herkömmliche Kennwörter fallen.

Anzeige

Offiziell erscheint der Working Draft am 18. Oktober. Eng an der Entwicklung beteiligt ist unter anderem 1Password. Deren Software soll laut Ankündigung das neue CXP und CXF so schnell wie möglich unterstützen. Laut Working Draft trugen ferner Bitwarden, Dashlane, Google und NordPass zur neuen Spezifikation bei. Die Ankündigung der FIDO Alliance nennt ferner Apple, Enpass, Microsoft, Okta, Samsung und TK Telekom. Auch wenn sich diese Unternehmen selbst noch nicht zu den Änderungen geäußert haben, verspricht das breite Bündnis, dass sich Passkeys bald einfach und sicher zwischen unterschiedlichen Anbietern kopieren lassen.

Wann genau die neue Spezifikation jedoch fertig sein wird, ist unklar. Nach dem Erscheinen des Working Draft können interessierte Nutzer in einem eigens eingerichteten GitHub-Repository Rückmeldung geben.

API Tokens, Geschäftsdokumente und private Schlüssel: Im Darkent stehen Interna von Cisco zum Verkauf, die angeblich aus einer Cyberattacke stammen sollen

Anzeige

Die Daten bietet der Leaker IntelBroker im BreachForums an. In der Vergangenheit hat er bereits Daten aus anderen Cyberattacken, etwa auf AMD, zum Verkauf gestellt. Die Interna sollen aus einer IT-Attacke durch ihn und zwei weitere Komplizen aus Juni dieses Jahres stammen. Bislang hat der Netzwerkausrüster den Vorfall nicht bestätigt, führt aber derzeit eine Untersuchung durch, erläutert ein Sprecher gegenüber heise security.

Als Beweis hat der Leaker Auszüge aus dem Datensatz veröffentlicht. Darunter finden sich unter anderem Datenbanken, Kundeninformationen und Screenshots von Kundenmanagementportalen. Ob die Daten echt sind, ist bislang nicht bekannt. Auch wie die Cyberkriminellen konkret an die Daten gekommen sind, ist noch unklar. Berichten zufolge sollen die Daten aus einer Attacke auf einen Dienstleister im DevOps-Bereich stammen. Aber auch dafür gibt es zurzeit keine Bestätigung.

Im zum Verkauf stehenden Datenpaket finden sich viele interne Informationen. Unter anderem Screenshots von Kundenportalen.

Admins von Unternehmen, die Telerik Report Server zum Erstellen von unter anderem Geschäftsberichten nutzen, sollten die Reportmanagementlösung aus Sicherheitsgründen auf den aktuellen Stand bringen.

Anzeige

Andernfalls können Angreifer an mehreren Sicherheitslücken ansetzen und im schlimmsten Fall Schadcode ausführen, um Systeme zu kompromittieren. Davon sind verschiedene Versionen bedroht. In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins konkrete Angaben zu verwundbaren und reparierten Ausgaben von Telerik Report Server.

Am gefährlichsten gilt eine "kritische" Schwachstelle (CVE-2024-4358) durch deren erfolgreiche Ausnutzung Angreifer ohne Authentifizierung auf eigentlich abgeschottete Funktionen von Telerik Report Server zugreifen. Wie so ein Angriff ablaufen könnte, führen die Entwickler derzeit nicht aus.

Um Systeme zu schützen, müssen Admins die Ausgabe 2024 Q2 (10.1.24.514) installieren. Alle vorigen Versionen sollen angreifbar sein. Ist die Installation nicht unmittelbar möglich, können Admins Server durch einen in der Warnmeldung beschriebenen URL-Rewrite-Workaround temporär schützen.

Angreifer können das Netzwerkanalysetool Wireshark ins Visier nehmen und nach erfolgreichen Attacken abstürzen lassen.

Anzeige

In einem Beitrag zur aktuellen Version Wireshark 4.4.1 versichern die Entwickler, die beiden Sicherheitslücken (CVE-2024-9780 "hoch", CVE-2024-9781 "hoch") geschlossen zu haben. Bislang gibt es ihnen zufolge noch keine Hinweise auf bereits laufende Attacken.

In beiden Fällen können Angreifer durch das Versenden von präparierten Paketen dafür sorgen, dass bestimmte Komponenten (AppleTalk, ITS, Reload framing) im Zuge einer DoS-Attacke abstürzen.

Weiterhin haben die Entwickler mehrere Bugs aus der Welt geschafft. Den Angaben im Changelog zufolge wurden unter anderem Bluetooth-Probleme gelöst. Zusätzlich gibt es Aktualisierungen für Protokolle wie BT L2CAP und TWAMP.

Penetrationstests (Pentests) sind effektive Maßnahmen, um Schwachstellen und Lücken in der eigenen IT-Infrastruktur aufzudecken. Dabei werden IT-Systeme und Netzwerke mit Methoden und Techniken, die auch von echten Angreifern oder Hackern eingesetzt werden, auf ihre Angriffssicherheit überprüft und mögliche Schwachstellen identifiziert.

Anzeige

In der Regel entscheiden Unternehmen, ob sie Penetrationstests selbst durchführen oder einen externen Experten damit beauftragen. Grundlage für die Durchführung ist eine Ausschreibung, in der Umfang und Schwerpunkte des Tests definiert werden. Die Parameter richten sich nach der individuellen Infrastruktur des Unternehmens, den spezifischen Anforderungen und dem Bedarf.

Im iX-Workshop Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten erweitern Sie Ihr Verständnis für Penetrationstests und lernen, worauf es ankommt, wenn Sie Ihre IT-Systeme und Anwendungen professionell durchleuchten lassen wollen.

Die nächste Schulung findet vom 5. bis 6. November 2024 statt und vermittelt an zwei Vormittagen Methodenkompetenz für Testbereiche wie Port- und Vulnerability-Scans, Webanwendungen und Endgeräte. Sie hilft Ihnen, klassische Fallstricke zu erkennen - nicht nur bei der eigentlichen Durchführung von Penetrationstests, sondern auch bei der Analyse und Bewertung der gewonnenen Ergebnisse.

Die "Wayback Machine", das wohl bekannteste Angebot des Internet Archive, ist wieder verfügbar. Wie die Internet-Chronisten auf ihrer Homepage sowie verschiedenen sozialen Netzwerken ankündigten, haben sie die Webseiten-Zeitmaschine wieder freigeschaltet, wenn auch im "nur lesen"-Modus. Alle anderen Dienste der digitalen Bibliotheken sind derzeit noch vom Netz, während die Aufräum- und Reparaturarbeiten andauern.

Anzeige

Wie Brewster Kahle, der Gründer des Internet Archive, auf Mastodon berichtete, schalten Techniker die Dienste Stück für Stück frei, sobald das sicher erscheint. Auch erste Crawling-Aktivitäten haben sie wieder aufgenommen – wenn auch im sehr begrenzten Umfang und nur für die Nationalbibliothek der Vereinigten Staaten. Die restlichen Dienste bleiben aus Sicherheitsgründen zunächst noch offline.

Die "Wayback Machine" ist nun wieder für Nutzer zugänglich und enthält historische Website-Daten bis einschließlich 10. Oktober dieses Jahres. Neue Daten werden, so Kahle, derzeit nicht hinzugefügt und sollten weitere Reparaturarbeiten notwendig werden, könne das Archiv auch erneut vom Netz gehen. "Bitte seid behutsam", bittet er die Nutzer.

Wenig behutsam waren Angreifer, die in den vergangenen Wochen das Internet Archive mehrfach unter Beschuss nahmen. Neben dem Abfluss von Millionen Nutzerkonten hatten sie in der zweiten Oktoberwoche das Archiv mittels Supply-Chain-Angriff defaced und mit mehreren dDoS-Angriffen überzogen. Eine Aktivistengruppe übernahm die Verantwortung für die Angriffe, hat sich zwischenzeitlich jedoch wieder anderen Zielen zugewandt.

Online-Betrüger ködern derzeit Kunden des Hosting-Anbieters Host Europe. Davor warnt das Unternehmen selbst, aber auch das LKA Niedersachsen sieht sich zu einer Warnung der Bevölkerung genötigt.

Anzeige

Das Landeskriminalamt Niedersachsen erklärt in einer aktuellen Mitteilung auf dem Portal polizei-praevention.de, dass die Phishing-Mails optisch den originalen E-Mails, die Host Europe versendet, stark ähneln. Wer nicht genau hinschaue, erkenne die Fälschung im ersten Moment nicht und könne dadurch möglicherweise in die Falle tappen.

Die betrügerischen E-Mails enthalten echte Daten, erklärt das LKA Niedersachsen. Wo dieser herstammen, sei unklar. In den von heise online gesichteten Mails waren insbesondere die Domain-Namen korrekt, an die die Mails gerichtet waren; insbesondere eine info@-Sammeladresse sollte zudem jede Domain vorhalten, die sich an die RFCs hält, die die Basis des Internets definieren.

Die Mails behaupten, es stünden Rechnungen offen. Bei ausbleibender Zahlung würden die Domain und die gespeicherten Inhalte umgehend gelöscht. Dem LKA Niedersachsen zufolge verschicken die Cyberkriminellen mehrere E-Mails, die aufeinander aufbauen. Sie beziehen sich teils auf zuvor bereits versendete Phishing-Mails und bieten etwa eine Wiederherstellung an.

Eine Sicherheitslücke in Veeam Backup & Replication steht aktiv unter Beschuss durch Cyberkriminelle. Sophos warnt, dass das Unternehmen eine Reihe an Attacken beobachtet habe, bei denen Ransomware installiert werden sollte.

Anzeige

Auf Mastodon erörtert das IT-Sicherheitsunternehmen, dass Cyberkriminelle mit kompromittierten Zugangsdaten und einer bekannten Sicherheitslücke (CVE-2024-40711) versuchen, ein Konto auf verwundbaren Systemen anzulegen und darin Ransomware zu installieren. In einem Fall hätten die Angreifer eine Ransomware namens Frog verankert. Im gleichen Zeitraum sei bei einer weiteren Attacke versucht worden, die Akira-Ransomware zu verteilen.

Sophos hat bis zur Meldung auf Mastodon vier Angriffe auf die Sicherheitslücke beobachtet – es dürften jedoch viele nicht erkannte Angriffe auf die Schwachstelle erfolgen. In den belegten Fällen sei die Akira- und Frog-Ransomware zum Einsatz gekommen.

Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten. Einige Gateways hätten zudem nicht mehr unterstützte Software-Versionen eingesetzt. In allen vier Fällen haben die Angreifer die URI /trigger auf dem Port 8000 der Veeam-Instanz missbraucht. Das führt dazu, dass Veeam.Backup.MountService.exe den Befehl net.exe aufruft. Der Exploit erstellt damit das lokale Konto "point" und fügt es den Gruppen der lokalen Administratoren und Remote Desktop Users hinzu.

Der Videospielentwickler Game Freak hat eine Cyberattacke vermeldet. Das Studio ist vor allem für seine Titel der Pokémon-Serie bekannt. Beim IT-Sicherheitsvorfall hatten dem Entwicklerstudio zufolge unbekannte Angreifer Zugriff auf Personaldaten. Es gibt aber auch Berichte über geleakte Informationen zu bisher nicht veröffentlichten Pokémon-Spielen.

Anzeige

Im offiziellen Statement führt Game Freak aus, dass die Cyberattacke im August 2024 stattfand. Im Zuge dessen konnten Angreifer auf Personaldaten von 2606 Mitarbeitern zugreifen. Die persönlichen Daten umfassen dem Unternehmen zufolge unter anderem Namen und dienstliche E-Mail-Adressen. Die Betroffenen werden derzeit kontaktiert.

Game Freak gibt an, dass sie die Server-Sicherheit mittlerweile wiederhergestellt haben. Außerdem versichern sie, dass sie, um künftige Attacken zu erschweren, ihre Systeme gehärtet haben. Wie die Angreifer sich konkret Zugriff verschafft haben, ist bislang nicht bekannt.

Medienberichten zufolge, unter anderem von Comicbook.com, gibt es Hinweise darauf, dass neben den Personaldaten auch Interna aus der Spielentwicklung geleakt sind. Demzufolge sollen im Internet Informationen zum kommenden Pokémon-Spiel mit dem Codenamen "Gaia" und einem Massively Multiplayer Online Role-Playing Game (MMORPG) für die bislang nicht veröffentlichte Spielkonsole Nintendo Switch 2 kursieren. Obendrein soll Quellcode von älteren Pokémon-Titeln geleakt sein.

Sonicwall warnt vor Sicherheitslücken in SSL-VPN-Appliances der SMA1000-Serie und dem Connect-Tunnel-Client für Windows. Angreifer können dadurch ihre Rechte ausweiten, unbefugt Anfragen umleiten oder Denial-of-Service provozieren.

Anzeige

In einer Sicherheitsmitteilung listen Sonicwalls Entwickler drei Schwachstellen auf. Im Connect-Tunnel-Client für Windows der Appliances aus der SMA1000-Baureihe können bösartige Akteure mit Standard-Rechten beliebige Ordner und Dateien löschen. Dadurch können sie ihre Rechte im System ausweiten (CVE-2024-45316, CVSS 7.8, Risiko "hoch"). Ursache ist eine unzureichende Auflösung von Links vor dem Zugriff auf Dateien ("Link Following").

Im Connect-Tunnel-Client der SMA1000-Appliances führt zudem eine weitere "Link-Following"-Lücke dazu, dass Nutzerinnen und Nutzer mit Standard-Rechten beliebige Dateien und Ordner anlegen und so einen Denial-of-Service auslösen können (CVE-2024-45315, CVSS 6.1, mittel).

Aufgrund einer sogenannten Server-Side-Request-Forgery (SSRF) können Angreifer aus dem Netz ohne vorherige Authentifizierung die serverseitige App dazu bringen, Anfragen an eigentlich nicht gewünschte IP-Adressen zu stellen (CVE-2024-45317, CVSS 7.2, hoch). Das ermöglicht weitere Angriffe und oftmals auch unbefugte Zugriffe auf eigentlich geschützte Netzwerkbereiche.

OpenAI hat sich ausführlich dazu geäußert, wie Cyberkriminelle in der Vergangenheit das ChatGPT-Modell zur Entwicklung von Malware und zur Vorbereitung von Cyberangriffen genutzt haben. Das KI-Unternehmen veröffentlichte einen Bericht, in dem es über 20 Fälle aus 2024 dokumentierte, bei denen Cyberkriminelle ChatGPT für Cyberangriffe oder zur Malware-Entwicklung verwendeten.

Anzeige

Der Bericht mit dem Titel "Influence and Cyber Operations: An Update" offenbart, dass staatlich geförderte Hackergruppen aus Ländern wie China und dem Iran die Fähigkeiten von ChatGPT einsetzten, um vorhandene Malware zu verbessern und neue Schadsoftware zu entwickeln. Sie nutzten ChatGPT dabei in erster Linie dazu, neuen Malware-Code zu debuggen, Inhalte für Phishing-Kampagnen zu generieren und Desinformation in sozialen Medien zu verbreiten.

Eine etwas anders ausgerichtete Bedrohung ging dem Bericht nach von der iranischen Gruppe "CyberAv3ngers" aus, die mit den Islamischen Revolutionsgarden in Verbindung stehen soll. Diese setzten ChatGPT nicht direkt zur Malware-Entwicklung ein. Vielmehr nutzten Sie die KI, um Schwachstellen in industriellen Steuerungssystemen zu erforschen und dann zielgerichtet Skripte für potenzielle Angriffe auf kritische Infrastrukturen zu programmieren.

In anderen Fällen wurde das KI-Modell dafür eingesetzt, Phishing-Malware zu entwickeln, um damit Benutzerdaten wie Kontakte, Anrufprotokolle und Standortinformationen zu entwenden. Obwohl diese Ergebnisse alarmieren, betonte OpenAI, dass die Cyberkriminellen durch ChatGPT keine signifikanten Durchbrüche bei der Erstellung von Malware erzielten. Auch sei kein Anstieg von erfolgreichen Malware-Attacken durch den missbräuchlichen Einsatz von ChatGPT zu erkennen.

Der IT-Sicherheitstag in Gelsenkirchen steht am 21. November unter dem Motto "Cybersicherheit: Komplexität managen". Er bietet Sicherheitsverantwortlichen, IT- und Security-Experten ein abwechslungsreiches Programm aus Vorträgen und Diskussionrunden rund um die vielschichtigen Themen moderner Informationssicherheit.

Anzeige

Die Vorträge decken eine breite Palette der Fragestellungen ab, denen sich Sicherheitsverantwortliche stellen müssen. Die Titel der einzelnen Vorträge lauten:

Die Veranstalter lassen ausreichend Raum zur Vernetzung der Teilnehmer untereinander und mit den Referenten. In Diskussionsrunden, aber auch abseits des Programms in Kaffeepausen und dem abschließenden Get-Together bleibt reichlich Zeit, um fachzusimpeln und offene Fragen zu komplexen IT-Sicherheitsthemen zu vertiefen.

In einer Panel-Diskussion tauschen sich zudem CISOs und Sicherheitsmanager zum Thema "IT Sicherheit in Deutschland – wie komplex ist die gesetzliche und technische Situation im internationalen Vergleich?" aus.

Dystopische Szenen spielten sich unlängst in US-amerikanischen Wohnzimmern ab: Innerhalb weniger Tage gelang es Cyberangreifern wiederholt, aus der Ferne die komplette Kontrolle über Saugroboter in mehreren Städten zu erlangen. Die Täter überzogen daraufhin die Bewohner über die eingebauten Lautsprecher schreiend mit Obszönitäten und rassistischen Beschimpfungen inklusive des F- und des N-Wortes. Das Problem betrifft laut einem Bericht des US-Senders ABC insbesondere das Modell Deebot X2 des chinesischen Herstellers Ecovacs, dessen Geräte seit Längerem als notorisch unsicher gelten.

Anzeige

Neben den Sicherheitslücken steht der Hersteller in der Kritik, angeblich mit vom Saugroboter erfassten Daten die KI des Unternehmens zu trainieren. Selbst von Nutzern gelöschte Aufnahmen sollen im Unternehmen gespeichert und genutzt worden sein. Diese Möglichkeiten zur Audio- und Bilddatenerfassung der Geräte haben nun offenbar auch die Cyberkriminellen entdeckt und genutzt.

Zu den Betroffenen gehört laut ABC die Familie des Anwalts Daniel Swenson aus Minnesota. Er sah demnach an einem Tag im Mai fern, als sein Saugroboter seltsame Geräusche von sich gab. "Es klang wie ein unterbrochenes Funksignal oder so etwas", sagte er dem Sender. "Man konnte vielleicht Stimmfetzen hören." Über die Ecovacs-App sah er, dass ein Fremder auf die Live-Kameraübertragung und die Fernsteuerungsfunktion zugegriffen hatte. Swenson hielt es für eine Panne, setzte sein Passwort zurück, startete den Bot neu und setzte sich wieder neben seine Frau und seinen 13-jährigen Sohn auf die Couch. Doch das Gerät regte sich sofort wieder und diesmal waren die rassischen Beleidigungen unüberhörbar.

Trotz der lautstarken Ansprache war Swenson dem Bericht zufolge froh, dass die Angreifer ihre "Anwesenheit" zumindest deutlich ankündigten. Es wäre viel schlimmer gewesen, gab er zu bedenken, wenn sie beschlossen hätten, seine Familie heimlich in ihrem Haus zu beobachten. Der Saugroboter landete dann abgeschaltet in der Garage.

Nach einem Angriff auf das Gedächtnis des Internets bleibt Internet Archive vorerst offline. Das ist eine bewusste Entscheidung und kein Hinweis auf eine durch die Attacke hervorgerufene Fehlfunktion. Das geht aus Postings des Gründers der Plattform, Brewster Kahle, auf Social-Media-Diensten hervor.

Anzeige

Auf X etwa schreibt er, die Dienste seien offline, um "untersucht und gestärkt" zu werden. Die archivierten Daten seien dabei sicher. Dieser Hinweis ist besonders wichtig, weil bei dem digitalen Einbruch in die Systeme von archive.org auch rund 30 Millionen gehashte Passwörter von Benutzerkonten erbeutet wurden. Es war nicht auszuschließen, dass auch Inhalte des Archivs geändert worden sein könnten.

Kurz nachdem die Attacke bekannt geworden war, gab es einen DDoS-Angriff auf die Plattform, sodass viele Nutzer nicht unmittelbar ein neues Passwort setzen konnten. Der Einbruch sowie eine zwischenzeitlich vom Archiv dargestellte merkwürdige Fehlermeldung und die DDoS-Attacke scheinen nicht unmittelbar zusammenzuhängen. Den gesamten Ablauf schildert eine frühere Meldung.

Laut Brewster Kahle sollen die Reparaturarbeiten noch einige Tage, nicht aber Wochen andauern. Derzeit zeigt die Startseite von archive.org nur einen Hinweis auf den Offline-Zustand des Projekts samt Verweis auf die Postings von Kahle. Klickt man einen der zahlreich im Internet verfügbaren Direktlinks zu Inhalten der Seite an, gibt es jedoch eine Timeout-Fehlermeldung des Browsers ohne weiteren Hinweis. Für viele Nutzer dürfte der auch als "Wayback Machine" bekannte Dienst damit von außen schlicht als defekt erscheinen.