Am Samstag, den 6. November 2021, lieferte unsere Website ein bösartiges Skript aus, das in manchen Fällen versucht hat, durch Drive-By-Angriffe Nutzer:innen zur Installation von Schadsoftware zu bringen. Wir wollen euch so gut es geht darüber informieren, was passiert ist. Es ist das erste Mal, dass so etwas in den siebzehn Jahren, in denen wir das aktuelle System fahren, passiert ist.
Wir gehen derzeit davon aus, dass das Problem im Laufe des späten Nachmittags aufgetreten ist. Nachdem uns Hinweise von Leser:innen erreicht haben, nahmen wir unsere Seite vorübergehend offline. Es gab ein bösartiges Skript, das manchen Leser:innen beim Besuch der Seite ein Fenster anzeigte, dass sie vermeintlich ihren Browser aktualisieren sollen. Diese Fenster haben auf Websites weitergeleitet, auf denen Schadsoftware verteilt wird. Soweit wir wissen, betraf das Windows-Nutzer:innen, die Seiten waren auf die jeweils verwendeten Browser Chrome und Firefox angepasst.
Falls ihr gestern unsere Seite besucht und aktiv ein solches Fake-Update heruntergeladen und installiert habt: Checkt schnellstmöglich euer System! Laut Hinweisen von Leser:innen haben übliche Virenscanner vor der Datei beim Besuch der Seite gewarnt. Ob noch weitere Schritte notwendig sind, können wir erst angeben, wenn wir mehr über die Schadsoftware wissen. Wir nehmen auch gern Hinweise entgegen.
Vorübergehend offline genommen
Nach unserem aktuellen Erkenntnisstand konnte das Skript durch ein Plugin unseres Redaktionssystems WordPress auf die Seite gelangen. Wir arbeiten weiter daran, die genaue Ursache zu finden. Soweit wir das momentan erkennen können, wurden keine personenbezogenen Daten wie E-Mail-Adressen von Artikel-Kommentator:innen ausgelesen oder verändert. In unserem WordPress werden die beim Kommentieren angegebene Mailadresse und eine gekürzte, pseudonymisierte IP-Adresse der kommentierenden Person vorgehalten. Wir untersuchen das aber näher und werden euch entsprechend informieren.
Das bösartige Skript war auf das WordPress-System begrenzt, das bei uns von anderen Systemen strikt getrennt ist. Es sind keine Daten von Spender:innen oder von anderen Systemen abgeflossen.
Auf WordPress begrenzt
Die Seite ist seit Sonntag 1:30 Uhr wieder online, das bösartige Skript ist entfernt. Wir suchen weiter nach den genauen Ursachen, werden unsere Sicherheitsmaßnahmen evaluieren und halten euch auf dem Laufenden. Wir wollen auch mit solchen unangenehmen Vorfällen so transparent wie möglich umgehen. Wir haben ihn außerdem sowohl der Berliner Datenschutzbehörde als auch dem BSI gemeldet.
Wir danken unseren aufmerksamen Leser:innen, die uns schnell Hinweise geschickt haben, dass etwas nicht in Ordnung ist. Besonders danken wir unseren IT-Menschen Mark und Jocca für ihren Einsatz und die schnelle Reaktion am Samstagabend!
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires