NSA-kritische Microsoft-Website gehackt

Der Angriff scheint aber nicht politisch motiviert. Vielmehr wurde Kasino-Spam in die Artikel eingebaut. Digital Constitution lief noch unter Wordpress 4.0.5 mit mehreren inzwischen gepatchten XSS-Anfälligkeiten - aktuell ist Version 4.2.2.

Microsofts Website digitalconstitution.com, die sich gegen NSA-Überwachung und für Transparenz engagiert, ist gehackt worden. ZDNet.com beobachtete dort über Stunden hinweg offenbar in den Code eingebaute Verweise auf Online-Casions, einschließlich Schlüsselwörtern, wie die typischerweise der Suchmaschinenoptimierung dienen – etwa „casino“, „blackjack“, „roulette“.

Kasino-Spam auf digitalconstitution.com (Screenshot: ZDNet.com)Kasino-Spam auf digitalconstitution.com (Screenshot: ZDNet.com)

Die Hacker deponierten auch PDF-Dateien auf dem Webserver und legten neue Seiten an, die sie verlinkten. Die Änderungen wurden inzwischen rückgängig gemacht. Es finden sich dort nur noch reguläre Inhalte und keine Werbelinks mehr.

Digital Constitution war Mitte 2013 als Reaktion auf die Enthüllungen Edward Snowdens entstanden. Microsoft beschäftigt sich dort mit politischen Fragen rund um sein Geschäft, unter anderem der Legitimität von US-Behördenanfragen nach in Irland gespeicherten Daten von Microsoft-Kunden, also dem Geltungsbereich des Patriot Act. Der Kasino-Spam lässt aber kaum vermuten, dass die Hacker politische Ziele verfolgten.

Denkbar ist vielmehr, dass diese Site einfach deshalb angegriffen wurde, weil dies technisch leicht möglich war: Nach Recherchen von ZDNet.com setzte sie das Content-Management-System WordPress in Version 4.0.5 ein. Aktuell ist WordPress 4.2.2. Seit Version 4.0.5 wurden mehrere schwere Cross-Site-Scripting-Lücken behoben, die unter anderem für solche Defacements genutzt werden könnten.

Bisher liegt weder eine Stellungnahme von Microsoft noch eine Erfolgsmeldung einer Hacktivisten-Gruppierung vor.

Im Mai war bekannt geworden, dass chinesische Hacker Microsofts Technet nutzten, um ihr Botnetz zu tarnen. Im Januar 2014 war es zudem der Syrian Eletronic Army gelungen, E-Mail- und Twitter-Konten von Microsoft sowie eine Woche später auch einen Office-Blog des Unternehmens zu kompromittieren.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Hacker, Microsoft, Sicherheit, WordPress, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu NSA-kritische Microsoft-Website gehackt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *