Heute ging durch sämtliche Medien die Geschichte vom großen „Hack gegen Politiker“. In Wahrheit hat irgend ein Scriptkiddie schon im Dezember täglich auf Twitter abgefischte Daten verbreitet. Das wurde aber erst gestern zu einer großen Sache, nachdem er auch den Twitter-Account des Trash-YouTubers „unge“ zeitweise übernommen und seine Tweets nochmal beworben hat.
Schaut man sich die veröffentlichten Daten an, so ist das Angriffsmuster leicht nachvollziehbar: Knacke oder phische das Passwort eines Politikers, YouTubers oder Journalisten und werte dann die darüber abgreifbaren social media Nachrichten, Mails und Adressbücher aus. Bereite die Inhalte entsprechend auf und liefere so auch vertrauliche Daten von Dritten (wie eben Handynummern).
Am Beispiel der „ARD“-Daten erkennt man sehr gut, dass letztlich eine Redakteurin ihre Datenhoheit verloren hat und in ihrem Adressbuch dann die Mobilfunknummern der ganzen ARD-Aktuell-Kollegen standen und jetzt auch geleaked wurden. Der Angreifer hat hier vermutlich also nur Wenke Börnsen erfolgreich überlistet, nicht jedoch die Kollegen und den Chef Kai Gniffke. Trotzdem wurde laufend darüber berichtet, dass „tausende“ Leute „gehackt“ worden seien.
Bei den Grünen sieht man unter anderem bei Konstantin von Notz eine große Zahl an geleakten Daten, sodass auch hier die Person selbst wohl das Primärziel war (oder eine Vertrauensperson, welche das Passwort kannte und auf Phishings hereingefallen ist, zB persönliche Assistenten).
Eine Erklärung für die Personalausweis-Scans und auch tlw auch Impfpässe könnte z.B. eine Werksbesichtigung oder Visa-Beantragung sein, für die vorab Teilnehmer angemeldet oder eben der Impfstatus nachgewiesen werden muss. Auch hier reicht es, einen Account der Fraktion, Partei, Kreisverband oder wem auch immer aufzumachen, der diese Daten gesammelt hat. Verschickte Mails werden üblicherweise von Mail-Clients nicht nur per SMTP versendet, sondern eben auch per IMAP in ein „Sent“-Folder gespeichert und bleiben dann dort für immer liegen. Deshalb sind vermutlich auch viele Daten schon älter.
Letztlich zeigt uns dieser Vorfall mal wieder, dass:
- Absolut kein Politiker Ahnung von Internet oder IT-Sicherheit hat, wenn selbst „Netzpolitiker“ sich so nacktmachen lassen. Keine 2FA, keine Passwort-Manager die vor Phishing schützen, sorgloser Umgang mit diversen Drittdiensten.
- Journalisten die bis heute nicht begriffen haben, wie das Internet, das Web und halbwegs ordentliche Datensicherheit funktioniert. Es wurden selbst in größeren Medien wie N-TV wieder absolut miserable Ratschläge hinsichtlich Passwörter verbreitet. Es scheint auch keine Redaktion in der Lage gewesen zu sein, sich in 10 Minuten mal eines dieser `.rar`-Archive anzuschauen und die Datenlage zu bewerten. Das führt neben gruselig inkompetenter Berichterstattung auch dazu, dass grober Unfug wie die von einem CSU-Typen verbreitete „hackback“-Forderung unkritisch verbreitet werden:
Man könnte auch sagen:
Wer nichts will und wer nichts kann, wird Politiker oder Journalist.
Alle anderen verdienen 100.000€+ im Jahr in der IT-Branche.
Ich habe es satt, in einem Land zu leben, zu arbeiten und unfassbar viele Steuern und Abgaben zahlen zu müssen, die solchen inkompetenten Menschen weiterhin ein sorgloses Auskommen ermöglichen. Von jedem Abiturienten erwartet man realitätsfernes Wissen inkl. zweier Fremdsprachen, aber Politiker und Journalisten dürfen heute noch immer Positionen besetzen, ohne die minimalsten Grundlagen unseres digitalen Lebens zu begreifen oder gestalten zu können (z.B. eine Progammiersprache beherrschen).
Anderswo im Netz:
http://anonbin3jjh5uc63.onion//?2375fccab855f8aa#5XXGWRBFk6Qp8iKqhqVqzP/2ENxaST0g1WTZP4X7wbs=
Fefe:
Danisch: „Der großen Datenhack“
Auf die eigentliche Ursache kommt keiner: Nämlich dass wir seit 30 Jahren völlig verpennt haben, uns um IT-Infrastruktur zu kümmern und mit einem Müllhaufen aus gammeligen Windows-Rechnern, unbeherrschbaren Kleingeräten, miserabler Murkssoftware und „wunderbaren kostenlosen Internetdiensten”.
Als ich klein war, hat man mir noch beigebracht, keine geschenkte Schokolade von fremden Leuten anzunehmen. Die hätten Böses vor. Seltsamerweise hat man das den Leuten bezüglich geschenkter Internetdienste nie beigebracht.
Wie dämlich muss man eigentlich sein, um erst in Abhängigkeit von Microsoft und ähnlichen Molochen zu geraten und dann von Google und ähnlichen, die einem erzählen, das wäre alles so kostenlos?
Und wie dämlich erlaubt man sich zu sein, wenn man sich von Parteien regieren lässt, die alle irgendwelche Laien zu ihren „Digitalexperten” erklären?
und:
Könnt Ihr Euch noch an diese dämliche Enquete erinnern, die unsere digitale Zukunft gestalten sollte, mit Clowns besetzt war und exakt gar nichts zustandegebracht hat? Merkel hat doch neulich wieder einen Digitalrat oder sowas ähnliches ins Leben gerufen, der wieder nur so eine Witzveranstaltung ist.
Könnte gut sein, dass das Ergebnis all dessen ist, dass wir einfach im Ganzen zu blöd sind, um IT einzusetzen.
Ich gehe mittlerweile auch davon aus, dass die Unfähigkeit hier auch genetisch bedingt ist. Deutschland hat nach 1848 so viele Intellektuelle und progressive Unternehmer verloren. Und durch Monarchie, Nazi-Diktatur, Sozialismus, zwei Weltkriege und den Holocaust Millionen Menschen umgebracht, deren überlebende Verwandte nachweislich heute zu dem wirtschaftlich und wissenschaftlich erfolgreichsten Menschen der Welt gehören. Mehr als ein Jahrhundert hat in Deutschland der Michel profitiert sich treudoof unterzuordnen und gleichzeitig die schlauen Leute umzubringen, zumindest aber zu enteignen und zu vertreiben. Schaut man sich Dieselgate an, sieht man auch sehr gut, wie auch heute noch gelogen und betrogen wird, selbst wenn die eigenen Kinder unter den gesundheitlichen Belastungen zu leiden haben. Es läuft noch immer nach dem Motto: „Du bist nichts, dein VW-Werk ist alles!“. Und genau deshalb wird das hier mit progressiver IT auch nichts.