Post Reply Der große Crunchyroll Hack
_cliff 
13216 cr points
Send Message: Send PM GB Post
M
Offline
Posted 11/4/17 , edited 11/6/17
Wie viele sicher wissen wurde Crunchyroll gegen Samstag mittag attackiert.

Da es sich laut CR um DNS Hijacking handelt, kommen eigentlich nur folgende Ursachen in Betracht.

1. BGP-Hijacking.
2. DNS-Spoofing.
3. Social Engineering.

Ersteres ist eigentlich auszuschließen, weil BGP-Router mittlerweile nur noch Announces von vertrauenswürdigen Servern akzeptieren. Im BGP kann daher absichtlicher Schaden nur noch durch die Internetanbieter selbst stattfinden. Beim DNS-Spoofing werden DNS Server mit falschen Announces zugemüllt und durch das anschließende Cache Poisoning die Namensauflösung manipuliert. Das ist durchaus realistisch und lässt sich relativ einfach bewerkstelligen, wenn man an der richtigen Stelle sitzt. Meiner Meinung nach am Wahrscheinlichsten - weil der Angriff in letzter Zeit häufiger vorkommt - ist, dass die Angreifer einen Antrag zur Übernahme der Domain gestellt haben. Dabei hätten dann sowohl Crunchyroll selbst, als auch der Domain-Registrar gepatzt.

Welche Konsequenzen hat der Angriff für die User?
Defacto konnten sich die Angreifer als Man-in-the-Middle platzieren. Schadsoftware konnte ausgeliefert werden und mit Session Riding wurde auch eine effektive CSRF-Attacke möglich. D.h. die Angreifer konnten sich auf dem Original-CR mit euren Login-Informationen anmelden und Accountinformationen einsehen. Ob bei dem Angriff auch ein DB-Dump gezogen worden ist, kann ich nicht beurteilen, aber eher nicht.

Ich habe übrigens noch am Mittag meine Kreditkarte sperren lassen. Damit ist bei mir leider sehr viel Aufwand verbunden. Auch wenn Crunchyroll sagt, dass alle Daten sicher seien, so lässt sich nach der Art der Attacke und der ausgelieferten Schadsoftware auf einen semi-professionellen Angriff schließen. Das alles - und vereinzelte Berichte über gekaperte Accounts - sind immerhin so beunruhigend, dass ich die Sicherheit der Zahlungsinformationen im Zweifel sehe.

Auch wenn ich es für sehr unwahrscheinlich halte, dass Kreditkarteninformationen entwendet worden sind.

Ich hoffe CR informiert transparent über den Angriff. Der Schaden ist ja jetzt schon da...

14048 cr points
Send Message: Send PM GB Post
Offline
Posted 11/4/17 , edited 11/5/17
Bachelor of Löwenfüttering
18157 cr points
Send Message: Send PM GB Post
M
Offline
Posted 11/5/17 , edited 11/5/17
Danke euch beiden erst mal.

Da "gekaperte Accounts" angesprochen wurden, möchte ich dazu kurz was sagen, was zwar nichts mit dem "Hack" jetzt zu tun hat, aber da es ein generelles Problem überall im Internet ist, kann es nicht schaden, es noch mal auszuführen. Vielleicht lesen das ja einige wegen dem Vorfall jetzt:

Man loggt sich ja bei den verschiedenen Diensten meist mit seiner E-Mail und einem Passwort ein. Was gerne gemacht wird, und gefährlich ist: über viele bis alle Seiten dieselbe Kombination von E-Mail und Passwort zu benutzen. Gelangen diese Kombinationen nun nach außen, sei es durch einen Hack oder einfach weil die Seite eh zwielichtig ist und direkt abgreift, dann werden diese Kombination stumpf auf allen möglichen anderen Seiten durchprobiert, ob man dort einen Treffer landet. Interessant sind da natürlich besonders kostenpflichtige Dienste, die man dann zB weiterverkaufen kann.
So weit ich das durch die Arbeit hier im Support beurteilen kann, waren Accountübernahmen nie "Hacks" hier bei uns, sondern immer eine kompromittierte E-Mail-Passwort-Kombination.

Heißt: Nutzt nicht dasselbe Passwort mit derselben E-Mail-Adresse über verschiedene Seiten hinweg. Das gilt generell und ist nicht spezifisch Crunchyroll.
Wenn ihr zu den Leuten gehört, die gerne überall dieselbe Kombi nutzen - ändert die mal. Wenn ihr euch nicht so viele Passwörter merken wollt, nutzt einen Passwort-Manager dafür. Es sieht zwar derzeit nicht danach aus, als wäre bei dem "Hack" gerade irgendwas in der Hinsicht betroffen, aber die Gelegenheit ist so gut wie jede andere, das endlich mal zu tun ^^

Ob eure Mail schon mal irgendwo betroffen war (und es auch bekannt ist), könnt ihr übrigens hier prüfen: https://haveibeenpwned.com/

Edit: Ach, und was eigentlich selbstverständlich sein sollte: Kauft bitte auch keine geklauten Accounts oder Premiumzugänge auf irgendwelchen dubiosen Seiten (generell nicht). Nicht nur unterstützt ihr damit wenig freundliche Menschen - wir, wie jeder andere Anbieter auch, werden solche Sachen sperren bzw zurückgeben. Da habt ihr nicht viel von. Und der freundliche Kriminelle wird euch sicherlich kein Geld zurückerstatten. (Handel mit Premiumpässen und Accounts ist eh untersagt. Ihr könnt von ausgehen, dass die geklaut sind, wenn ihr sie irgendwo angeboten bekommt)
_cliff 
13216 cr points
Send Message: Send PM GB Post
M
Offline
Posted 11/5/17 , edited 11/5/17
Nochmal als Info an alle CR-Nutzer:

Nach aktuellem Stand der Kenntnisse müsst ihr weder eure Passwörter ändern, noch eure Kreditkarten sperren lassen.


Gestern mittag war natürlich nicht klar, ob die CR-Server kompromittiert waren oder nur ein Redirect auf eine Fake-Seite eingerichtet wurde. Daher war zu diesem Zeitpunkt das Sperren der Kreditkarte die einzige richtige Entscheidung. Das ihr mit Cloudfare die Kontrolle über euren Reverse-Proxy verloren habt, ist natürlich mehr als bedauerlich und alle Antworten auf die Frage, wie das passieren konnte, lassen CR alles andere als gut aussehen. Da ist schon eine gewisse Ironie dahinter, dass ausgerechnet euer Security as a Service Dienstleister als Angriffsvektor missbraucht worden ist

Im Worst-Case wurde nur E-Mail Adressen von Nutzern geleakt, die sich im Zeitraum des Angriffs auf Crunchyroll eingeloggt hatten. Sowas ist aber im Grunde schon allen großen Internetdienste-Anbietern passiert...

CRs Reaktion auf den Angriff war eigentlich vorbildlich. Ich persönlich hätte mir eine E-Mail an alle Nutzer gewünscht, in der vor der Schadsoftware gewarnt worden wäre, kann aber auch verstehen, dass damit der Image-Schaden deutlich größer gewesen wäre. Viele Nutzer haben schlicht und ergreifend gar nichts von dem Angriff mitbekommen.

Alle anderen sollten die sehr gute Anleitung von CR nutzen und eine möglich Infektion prüfen:
http://www.crunchyroll.com/anime-news/2017/11/04-1/wichtig-informationen-fr-alle-nutzer-unserer-webseite

PS: Mit Stand gestern abend wurde nach einer kurzen Analyse von github die Schadsoftware auf min. 3000 PCs installiert.
103 cr points
Send Message: Send PM GB Post
15 / M / Germany
Offline
Posted 11/22/17 , edited 11/22/17
Ich hatte sie zwar runtergeladen aber heilige Scheiße, Windows SmartScreen hat mich davor gerettet, das Teil zu starten. Puh.
You must be logged in to post.