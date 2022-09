Es war im Grunde nur eine Frage der Zeit: Das Hater-Forum Kiwi Farms ist gehackt worden. Der Betreiber warnte die Nutzer, dass sich Eindringlinge Zugang zu seinem Administrator-Account verschafft hätten - mit den entsprechenden Folgen.

Session-Cookie geklaut

Kiwi Farm ist ein Forum, in dem sich vor allem Menschen tummeln, die heftige Hetzkampagnen gegen Transmenschen durchführen wollen beziehungsweise dies auch tun. Das geht so weit, dass man sich in der Community dafür feierte, bereits mehrere Personen in den Suizid getrieben zu haben. Das Treiben auf der Seite ging selbst Unternehmen wie Cloudflare, die eigentlich jeden vor Attacken schützen, viel zu weit.Die Seite hatte zuletzt bereits Probleme, da sie selbst in Russland nicht geduldet wurde. Ursprünglich sprach der Betreiber Joshua Moon davon, die Seite ganz aufzugeben. Nun ist das Forum allerdings nicht mehr online und die Besucher werden darüber informiert, dass das Angebot gehackt worden sei. Die registrierten User sollten davon ausgehen, dass ihre hinterlegten E-Mail-Adressen, die Passwort-Datenbank und die IP-Adressen, über die man die Plattform in den letzten Wochen besuchte, in die Hände der Angreifer gefallen sind.Der Administrator kündigte nun an, dass er das Forum aus Backups wiederherstellen wolle. Allerdings nannte er noch keinen Termin, ab dem die Seite wieder online gehen soll. Besonders schnell werde dies aber wohl nicht geschehen, da er die Security von Grund auf neu durchdenken wolle - immerhin soll solch ein Vorfall nicht noch einmal stattfinden.Der Hack selbst wurde allerdings auch nicht durch einen Fehler des Betreibers verursacht. Der Sicherheitsforscher Kevin Beaumont bestätigte, dass Moon wohl recht genau wisse, was er tut. "Dummerweise für ihn, gilt dies aber nicht für die Unternehmen, mit denen er zusammenarbeiten, und ebenso nicht für die Nutzer", führte der Experte aus.Den Angreifern gelang es letztlich, eine manipulierte Datei auf einen externen Dienstleister hochzuladen und im Forum einzubetten. Über diese konnten dann Session-Cookies entführt werden. So gelangte der Angreifer auch an den aktuell gültigen Token des Administrators und konnte dessen Konto übernehmen.