Unsere Webseite wurde gehackt (Patreon)

Liebe Unterstützerinnen und Unterstützter!

Ein paar von euch werden es mitbekommen haben: Unsere Website wurde gehackt. Entsprechend wollen wir euch hier möglichst flott einen ersten Zwischenstand mitteilen, damit sich keiner unnötig Sorgen macht.

Betrifft euch das irgendwie?

Dazu ein “vermutlich nicht, aber…”:

Wir speichern von euch bekanntlich nur die nötigsten Daten. Nämlich: Euren Usernamen bei Steady oder Patreon, eure Email-Adresse, die höhe eurer Unterstützung.

Es gibt keine Hinweise, dass diese Daten bei dem Hack abgegriffen wurden (wir konnten keine entsprechenden Download-Bewegungen o.ä. feststellen) und die Indizien sprechen dagegen, dass dies Ziel des Angriffs war (siehe unten: Es ging um SEO-Spam und vermutlich wurde dieser automatisiert durchgeführt). Aber: Es wäre möglich gewesen, diese Daten einzusehen und abzugreifen und wir können es nicht 100% ausschließen.

Das heißt, meine Zahlungsdaten und Passwörter sind sicher?

Ja. Die bekommen wir nie zu sehen. Die liegen nur bei Patreon / Steady.

Was ist passiert?

Wir wurden Opfer eines SEO-Spam-Hacks. Dabei fügen die Angreifer neue Seiten zur Webseite hinzu, die Werbung für das von ihnen gewünschte Objekt machen. Diese werden aber durch entsprechende Kennzeichnung nie dem End-User angezeigt, sondern nur dem Google-Bot. Dadurch scheint die Webseite von außen normal, aber in der Google-Suche erscheint sie als Werbung für das gewünschte Objekt und treibt so dessen Suchranking nach oben (in unserem Fall übrigens der Film:  “Masked Ninja Akakage Teil 3” - als hätte Andre dafür nicht freiwillig Werbung gemacht, hätten sie nur mal gefragt!).

Wann ist das passiert?

Nach derzeit bestem Wissen und Gewissen am 21.9. Das passt auch zu den ersten Usermeldungen, die uns am 23.9. / 24.9. erreichten und aus auf seltsame Ergebnisse in der Google-Suche hinwiesen. Gegen Abend des 24.9. hatten wir dann das Problem in erster Instanz beseitigt. Aber weitere Aufräumarbeiten müssen zur Sicherheit noch folgen.

Wieso ist das passiert?

Das wissen wir nicht genau und können es vielleicht nie wirklich 100% rausfinden. Wir haben eine veraltete Wordpress-Version in Verdacht. Hier ist bei uns durch einen Wechsel im Webdev eine Lücke von mehreren Monaten entstanden.

Was machen wir, damit das nicht wieder vorkommt?

Wir werden in Zukunft ein automatisches Update-System verwenden, so dass sich niemand mehr um  die Updates kümmern muss. Dafür mussten wir zuerst sicherstellen, dass all unsere Plugins so unabhängig von Wordpress sind, dass sie in jedem Fall weiter funktionieren. Das war sowieso geplant und die Arbeiten hatte Dominik im Grunde schon abgeschlossen. Wird also recht unverzüglich geschehen.

Wir werden außerdem ein besseres Monitoring des Servers verwenden, damit solche Angriffe in Zukunft früher auffallen. Wie ihr euch erinnert, haben wir Zwecks einer besseren Performance unsere Server erst vor kurzem umgezogen. Auch hier sind viele der nötigen Arbeiten bereits fast fertig.

Vor allem aber: Da wir zu klein und zu wenig finanzkräftig sind, um unsere Technik wirklich stark abzusichern, ist unser Plan vor allem auch noch die letzten lokal gespeicherten Daten zu eliminieren, so dass wir schlicht gar keine Daten von euch mehr auf dem Server haben.

Unterm Strich: Ein großes Sorry, dass sowas passieren konnte und wir euch damit am Wahlsonntag behelligen. Wir melden uns mit weiteren Updates, sobald wir ein klareres Bild haben!

Falls ihr noch Fragen habt, schreibt uns gern an feedback@gamespodcast.de!

Eure Pod-Crew