25. Oktober 2013 0 Kommentare ThrowbacksRetro HotelsTechnik
Es ist eine Gefahr, die jedem Retro unentdeckt bevorstehen könnte. Und doch kann man nichts dagegen machen. Der unbefugte Zugriff auf die Datenbank eines Retros oder gar ein gestohlener Staffaccount können vielerlei Schaden anrichten – kein Retro Hotel ist wirklich sicher, viel mehr ist es nur eine Frage der Zeit, bis das nächste Hotel mit einem Angriff konfrontiert wird und das Management zum handeln gezwungen ist. Doch was machen, wenn es einem Hacker (also jemandem, der eine Lücke im CMS ausnutzen kann), gelingt, einen Staffaccount zu entwenden? Die Folgen sind radikal – Hotelalerts, massenhaft Taler/Pixel oder entwendete Rares sind keine Seltenheit.
Nur einige Tage vor Anbruch der Wartungsarbeiten im HabboST ereignete sich ein Vorfall, den man sonst selten mitbekommt. Schließlich ist es gut ein Jahr her, als HabboST das letzte mal mit den Folgen einer Sicherheitslücke zu tun hatte. Einem nach wie vor “anonymen” Angreifer ist es vor 4 Wochen gelungen, sich mittels einer Lücke Zugriff zu einem Staffaccount zu verschaffen – hierfür war eine XSS-Lücke von Bedeutung, bei der das Opfer nur eine Seite aufrufen musste, welche unentdeckt im Hintergrund ein Script ausführte und es dem Täter ermöglichte, sich in den Account einzuloggen. Mit dem entwendeten Konto der Eventmanagerin Describle wurden massenhaft Hotelalerts verschickt, so um für das Retro Kubbo zu werben – zu einem Zeitpunkt, in dem mehr als 400 Spieler aktiv waren. 8 Minuten hat es gedauert, bis ein zuständiger Administrator reagieren konnte und den Account bannte. 8 Minuten. So ziemlich das selbe lief ebenfalls erst vergangene Woche im HabboST 2 – es ist erneut einem anonymen Angreifer, höchstwahrscheinlich dem selben, gelungen, mittels einer XSS-Lücke den Staffaccount des Besitzers Sentux zu entwenden. Auch in diesem Fall wurde für das Retro Kubbo geworben und eine angebliche Fusion angekündigt. 3-4 Minuten hat es gedauert, bis zunächst der Account gebannt und anschließend ebenfalls das ganze Hotel in den Wartungsmodus gesetzt wurde.
Hubba Hotel – vor etwa 5 Monaten konnte sich ein User mittels einer XSS-Lücke Zugang zu einem Moderatoraccount verschaffen. Hierbei wurde das Opfer ebenfalls ahnungslos aufgefordert, eine Seite aufzurufen, die im Hintergrund einen Script ausführte. Im Mai 2013 wurden Bilder des Hubba Housekeepings auf RetroTimes Leaks veröffentlicht. Der Täter sendete sich selbst eine Masse von Taler und Pixel. Das sind nur wenige Beispiele, von den derweil größten Hotels, um ein anschauliches Bild darzustellen. War man dabei, fällt auf, dass sich kein Retro wirklich Gedanken darüber gemacht hat, wie in solch Fällen zu reagieren ist. Die Angriffe kommen überrascht und können jederzeit auftreten, umso wichtiger ist es, seine interne Abwehr vorzubereiten und Pläne auszuschmieden, gegen solch Bedrohungen, wenn nicht sogar rechtzeitig, vorzugehen.
Eine Lücke an sich ist nie direkt gefährlich – es gibt immer mindestens eine weitere potenzielle Gefahr, die die Lücke überhaupt gefährlich für das Retro Hotel macht. Und das ist in den meisten Fällen schlicht und ergreifend die Dummheit der Mitarbeiter, mit solch möglichen Situationen nicht zu rechnen. Würde man sich vorher darüber Gedanken machen, so können aus einer 8-Minütigen Reaktionszeit ganz schnell nur noch 20 Sekunden werden. Die wahre Lücke ist nicht etwa eine XSS- oder SQL-Injection, sondern die Staffs der Hotels selbst. Mit diesen Worten ist anzudeuten, dass genau dein Retro, falls du eines hast, schon morgen das nächste sein könnte, welches mit einer unangenehmen Situation konfrontiert wird. Bist du vorbereitet oder schaltest du planlos den Emulator aus? Auf diese Frage würden 99% aller Retrobetreiber die zweite Option wählen. Das ist nicht die Kunst der Sicherheit.
Tut es für die User, tut es für euch selbst. Kein Retro ist 100% sicher. Man kann nur die Risiken senken – genau durch diesen Weg. Sicherheitsvorkehrungen können nie weit genug gehen, das haben in Vergangenheit bereits weitgehend viele Retro Hotels bewiesen.
Hinterlasse einen Kommentar