"Der Crack-Hack": zweifel.ch gehackt

Ein Wettbewerb von zweifel.ch (Screenshot).
Exklusiv! Wie Hacker auf 157'000 Personendaten zugriffen, warum und was Zweifel dazu sagt.
 
Hacker verschafften sich Zugang auf eine Datenbank der Webseite des Lebensmittelherstellers Zweifel Pomy-Chips. Dabei erlangten sie Zugriff auf 157'000 Daten von Wettbewerbsteilnehmern, dies bestätigt die Firma auf Anfrage von inside-it.ch.
 
Inside-it.ch hat Daten aus dem Hack erhalten von einer Gruppe, die sich "Secure Crew" nennt. Die verfügbaren Informationen zeigen: Die Gruppe verschaffte sich den Zugriff via ein Online-Teilnahmeformular für einen Wettbewerb. Die Angriffsmethode war eine SQL-Injection. Die Methode ist laut einem Security-Experten, der nicht genannt sein will, "uralt". Sie sei seit mindestens zehn Jahren bekannt und werde möglich, wenn ein Online-Formular unsorgfältig programmiert sei.
 
Die Gruppe hat inside-it.ch kontaktiert, weil sie bei Zweifel innerhalb eines Monates kein Gehör für die Meldung der Lücke erhalten hatte.
 
Zugriff erhielt die "Secure Crew" laut den vorliegenden Dokumenten auf Vorname, Name, E-Mail sowie teilweise auf Username und Passwort der Wettbewerbsteilnehmer. Die Passworte waren verschlüsselt, doch wird aus den Dokumenten nicht klar, womit. So ist auch nicht klar, ob man sie mit genügend Rechenpower in Klartext hätte umwandeln können oder anderswie ausnutzen.
 
Warum sind überhaupt Passworte vorhanden? "Die Login-Daten der User werden nur für Wettbewerbsteilnahmen an Zweifel-Promotionen benötigt. Die Passworte sind dabei einseitig verschlüsselt abgelegt und werden benötigt, damit die Web-Applikation bei einer Wettbewerbsteilnahme überprüfen kann, ob der User eingeloggt ist", so Anita Binder, Medienverantwortliche bei Zweifel.
 
Was man mit den Daten anstellen könnte
Die vorliegenden Zweifel-Kundendaten reichen nicht aus, um einen Wettbewerbsteilnehmer zweifelsfrei zu identifizieren. "Es fehlt beispielsweise eine postalische Adresse in der Datenbank", so der erfahrene Security-Experte. "So haben die Hacker keine komplette Benutzer-ID erbeutet."
 
Allerdings gaben einige der Wettbewerbsteilnehmer, das zeigen die vorliegenden Daten, vermutlich ihre Haupt-Email-Adresse mit [email protected] für die Wettbewerbsteilnahme an und auch ihren echten Namen als Usernamen. "Das könnte auf naive Menschen schliessen lassen, die überall dasselbe Passwort einsetzen", so der Security-Experte.
 
Das heisst, Hacker könnten mit diesen Daten zumindest versuchen, ein anderes Login zu knacken.
 
"Secure Crew" selbst schreibt: "Wir haben in ein paar Jahren schon das erste Viertel des 21. Jahrhunderts hinter uns und das Thema 'Sicherheit im und um das Internet' scheint immer noch nicht bei allen Leuten angekommen zu sein. Dies fängt schon bei der Passwortwahl der Kunden an. Viele benutzen immer noch überall dieselben Passwörter, was in der heutigen Zeit einfach sehr zu denken geben sollte."
 
Wurde die Firma selbst gehackt?
Zweifel-Vertreterin Binder sagt, "wir haben die Lücke gleichentags nach der Kontaktaufnahme durch inside-it.ch geschlossen. Die Lücke betraf ein Wettbewerbsformular unter Dutzenden. Es waren keinerzeit Lieferanten- oder Zahlungsinformationen zugänglich."
 
Haben die Hacker also eine Applikation der Website von Zweifel gehackt, oder haben sie die Firma selbst gehackt? Zweifel-Sprecherin Binder präzisiert: "Der Web-Server und die Web-Datenbank (für die Website und die Online-Wettbewerbe) befinden sich bei einem externen Hosting-Partner. Dabei ist diese Website-Umgebung vollständig (also auch örtlich) getrennt von allen internen Zweifel-Servern oder -Applikationen wie ERP, SAP und so weiter."
 
"Basierend auf den vorliegenden Informationen wurde nicht die Firma an sich gehackt", so der Security-Experte. "Aber peinlich ist es für Zweifel schon."
 
Die Hacker selbst schreiben in einer E-Mail: "Auf die Firma Zweifel sind wir gekommen, da jeder von uns die Chips gerne isst und da haben wir bei einer gemütlichen Runde gedacht, wieso nicht einfach mal die Seite anschauen und mussten dann natürlich schon ein wenig schmunzeln als wir eine Lücke entdeckten."
 
Die "Secure Crew" sieht sich selbst als "White-Hat-Hacker". "Wir sind eine kleine geschlossene Gruppe, die es sich zur Aufgabe gemacht hat, die Welt im Internet sicherer zu machen. Es ärgert uns immer wieder, wie leichtsinnig so manche Firmen mit Kundendaten umgehen und oft schadet es nicht nur der Firma, sondern auch den Kunden."
 
Sie hätten Zweifel mit ihren Hack-Ergebnissen konfrontiert, aber nie eine Reaktion erhalten. "Wir sind nicht unbedingt an Geld interessiert, da wir dies ja nebenbei sozusagen als 'Hobby' machen", so die "Secure Crew" in einem Mail an inside-it.ch.
 
Hacker sind enttäuscht
Warum hat Zweifel nicht reagiert? "Der Absender war anonym und wir haben die Anfrage als nicht seriös eingestuft", antwortet Marc Brändli, Digital Marketing Manager bei Zweifel Pomy-Chips. Dies sei der Rat ihres Security-Experten gewesen.
 
Was sagt Melani zu diesem Rat? "Man kann keine generelle Empfehlung abgeben", antwortet Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung beim Bund. "Dies hängt vom Einzelfall ab". Eine Firma solle bei einem solchen Vorfall in jedem Falle mit den zuständigen Behörden Kontakt aufnehmen und die Einreichung einer Anzeige gegen Unbekannt erwägen, so Klaus.
 
"Secure Crew" zeigt sich enttäuscht darüber, dass Zweifel nicht reagiert hat. "In der Vergangenheit haben wir auch schon etwas für unser 'Aufdecken' bekommen, was wir natürlich auch schätzen." Zumindest ein Dankeschön, hätte die Gruppe erwartet, aber: "Wir finden es immer wieder schade, dass grosse Firmen nicht so dankbar sind wie eher kleinere". (Marcel Gamma)