Vom gefeierten Vegankoch zum von den deutschen Behörden per Haftbefehl gesuchten Verschwörungserzähler: Die Karriere von Attila Hildmann hat in der Covid-19-Pandemie eine rasante Wendung erfahren. Ganz so viel Einfluss wie früher hat er zwar infolge seiner Flucht aus Deutschland nicht mehr, aus seinem – mutmaßlichen – Exil in der Türkei beliefert er die Covid-Leugner-Szene aber weiterhin mit rechtsextremen und antisemitischen Botschaften. Bereits vor einigen Wochen hat ihm das einen Angriff durch Hacktivisten des Anonymous-Kollektivs eingebracht, nun folgt der zweite Streich.

Offline

Die Website von Attila Hildmann ist derzeit nicht mehr zu erreichen. Verantwortlich dafür zeichnen nach eigenen Angaben Anonymous-Aktivisten. Doch dieses Mal haben sie sich nicht einfach nur die Seite des Verschwörungskochs vorgenommen, sondern gleich dessen Hoster übernommen, also die – in diesem Fall kleine – Firma, die die Infrastruktur zur Verfügung stellt.

Dabei sparen die Hacker nicht mit Hohn und Spott für die betroffene Firma namens Prosite. Diese sei "ein Nudelsieb, aber kein Hoster". Welche Lücken man dabei für den Angriff ausgenutzt hat, wird zwar nicht verraten, die Beschreibungen geben aber gewisse Hinweise. So dürfte die installierte Instanz des Content Management Systems (CMS) Joomla nicht ordentlich gewartet worden sein, wodurch sich einfach auszunutzende Lücken fanden. Über eine weitere Lücke scheint man dann aber auch noch einen Vollzugriff auf die Administrationswerkzeuge des Hosters bekommen zu haben, was man mit Screenshots aus dem verbreiteten Datenbank-Tool PHPMyAdmin untermauert.

Vollständiger Einblick

Doch das scheint nur der Anfang gewesen zu sein. Den Angreifern ist es damit nämlich nach eigenen Angaben ebenfalls gelungen, Zugriff auf die Datenbank des von Prosite genutzten Gruppen-Chat-Tools Mattermost zu bekommen und so die gesamten internen Diskussionen nachzuverfolgen. Zudem soll man selbst die im Rechenzentrum angebrachten Webcams sowie die Klimaregelung unter die eigene Kontrolle gebracht haben.

Vor allem aber sind die Angreifer nach eigenen Angaben an die Kundendaten von Prosite gekommen – und zwar neben Name und Adresse auch vollständige Kreditkartendaten, also inklusive des CVC-Codes. Dieser sei nämlich gemeinsam mit den restlichen Daten einfach in einer Datenbanktabelle abgelegt worden – eine grobe Fahrlässigkeit aus einer Sicherheitsperspektive. Die Angreifer empfehlen dem Hoster in diesem Zusammenhang eine Selbstanzeige, stellte dies doch einen Verstoß gegen die Datenschutzgrundverordnung dar.

Alles weg

Die ganze Erklärung liest sich so, als hätten die Hacktivisten sehr viel Spaß mit Prosite gehabt, bei dem Hoster sieht man das wohl anders. Immerhin haben die Angreifer nach eigenen Angaben die Systeme von Prosite komplett durcheinandergebracht. So sollen die Betreiber selbst gerade keinen Zugang zum eigenen Verwaltungstool haben, auch die Kundenlogins und der Zugang zum Rechenzentrum wurden blockiert. Quasi zum Drüberstreuen haben die Hacker auch noch interne Mails veröffentlicht, in denen es unter anderem um mangelnde Hygiene auf den Toiletten des Unternehmens geht.

Dass sich Hildmann für seine Websites einen kleinen – und offenbar technisch nicht sonderlich versierten – Hoster suchen muss, liegt daran, dass größere Anbieter mit ihm nichts mehr zu tun haben wollen. Ähnliche Effekte konnte man in der Vergangenheit immer wieder bei rechtsextremen Internetdiensten beobachten. Oftmals kommen diese dann selbst bei einschlägigen Betreibern unter. Das scheint auch hier der Fall zu sein. Jedenfalls finden sich auf der Facebook-Seite des Geschäftsführers von Prosite einige Postings, die auf eine ausgeprägte Impf- und Maskengegnerschaft hinweisen. (Andreas Proschofsky, 9.11.2021)