Carding-Forum Carders.cc gehackt (Update)

powered by Gulli.com

Update 25.05.2010 – Carders.cc ist wieder online.

Das Carding-Forum Carders.cc fiel kürzlich einem Hackerangriff zum Opfer. Dabei gingen die Angreifer sehr gezielt vor – und brachten damit zahlreiche Foren-Nutzer in die Gefahr eines Busts.

Das sogenannte Carding, also der Handel mit gestohlenen Kreditkartendaten und ähnlichen Datensätzen, ist eine recht verbreitete Unterkategorie der IT-Kriminalität. Im Forum Carders konnten derartige Daten in großem Stil gehandelt werden; alles drehte sich um geeignete Tools, das Verhindern strafrechtlicher Verfolgung und den eigentlichen Handel. Das Blog mYNews, das ebenfalls über den Angriff berichtet, bezeichnet Carders als das „größte Deutsche Carder&Hacking-Board“ und berichtet, Carders sei nach dem Aus des Forums „1337crew“ der Anlaufpunkt für viele Nutzer dieses Boards gewesen.

Die Angreifer, die sich nun mit Carders befassten, verfügten offenbar über ein erhebliches technisches Wissen. „Das erstaunliche, die Hacker knackten nicht nur das Forum, sondern schalteten das IP-Logging wieder an – ohne das es die Administration gemerkt hat. Als genug Daten gesammelt waren, wurde das Board gelöscht und die Datenbank mit den Benutzern samt IP-Adressen für alle zum Download angeboten,“ berichtet mYNews.

Diese Datenbank, die im Netz zum Download verfügbar ist, hat es in sich. Sie enthält nicht nur sämtliche Postings, Umfragen, Private Messages und ähnliches. Daneben gibt es unter Anderem auch eine Benutzerliste mit PW-Hashes plus der beim Berechnen des Hashes verwendeten Pseudozufallszahl („Salt„). Aus beiden Informationen ließe sich das Passwort berechnen – gefährlich bei Benutzern, die das selbe Passwort für mehrere Accounts benutzen, was, wie die Vergangenheit gezeigt hat, alles andere als selten ist.

Den Carders-Benutzern droht jedoch von dieser Datenbank auch eine weitaus ernstere Gefahr: Auch Daten, die womöglich deutliche Rückschlüsse auf die Identität einiger Personen zulassen, sind in dem Dump vorhanden. Unter anderem lassen sich in der Benutzerliste zahlreiche E-Mail-Adressen und Messenger-Daten finden. Als besondere Gefahr für die Besucher des Forums dürfte sich aber die Tatsache erweisen, dass die Angreifer das – normalerweise deaktivierte – IP-Logging des Forums wieder eingeschaltet haben. In Verbindung mit den ebenfalls archivierten Login-Zeiten könnten die hinterlegten IP-Adressen durchaus Hinweise auf die reale Identität zahlreicher Carding-Interessierter zulassen. Zwar scheinen viele der Adressen zu gehackten Servern – darunter einem der US-Weltraumbehörde NASA – zu führen. Andere Besucher dürften Anonymisierungsdienste wie Tor oder kommerzielle VPNs benutzt haben, um ihre Identität zu schützen. Es scheint aber, als seien nicht alle Besucher so vorsichtig gewesen. Einige der geloggten IPs sind offensichtlich ADSL-IPs und somit vermutlich zuzuordnen, wenn die Ermittlungsbehörden sich mit der Angelegenheit befassen.

Es ist also durchaus denkbar, dass dieser Hack zahlreiche „Busts“ in der Carding-Szene nach sich ziehen könnte. Ob dies die Intention der Angreifer war, ist unklar – es liegen keine Hinweise auf Identität oder Motiv der Verantwortlichen vor.

Das Forum ist derzeit offline.

Vielen Dank an s0ny, der uns auf dieses Thema hingwiesen und bei der Recherche unterstützt hat.

Bild: „Computer Hacking“ by newt42 @ DeviantArt

Update:

Mittlerweile gibt es eine Stellungnahme von „THANAT0S“, einem der Admins des Forums. Dieser schreibt, der Hack sei „ein dunkler Tag für die Szene, auch wenn sich jetzt viele schadensfroh im Keller einen ablachen. Leider wissen, oder verstehen diese Menschen nicht was für Konsequenzen so etwas haben kann.“ THANAT0S erklärt, das IP-Logging sei nicht, wie zunächst angenommen, durch die Hacker aktiviert worden, sondern aufgrund eines Fehlers durch einen der Administratoren aktiviert gewesen. Der fragliche Administrator wurde angeblich aufgrund des Fehlers suspendiert. „An dieser Stelle ein großes Entschuldigung an die User, die vom IP Logging betroffen waren. Dieser Vorfall sollte euch jedoch daran erinnern, dass ihr immer mit einem VPN / Socks5 / VicSocks, wie auch immer, unterwegs sein solltet,“ heißt es in der Stellungnahme. Ferner ruft THANAT0S alle User dazu auf, ihre „Passwörter ihrer E-Mails, anderen Accounts, ICQ Nummern etc.“ zu ändern!

Einen Bust hält der Carders-Admin für möglich, behauptet aber, dies sei „nach dem deutschen Gesetz eigentlich verboten“. Womöglich bezieht er sich dabei auf ein Verwertungsverbot für illegale Beweise. THANAT0S betont, selbst im Falle von Ermittlungen hätten „die größten Teil der User NICHTS zu befürchten. Von diesen Ermittlungen wird größtenteils das Team betroffen sein.“

Zudem scheint das Team entschlossen zu sein, sich von den durch THANAT0S als „ein paar vorpubertäre Hackerkinder“ bezeichneten Angreifern nicht stoppen zu lassen. Bereits in „einigen Tagen“ soll das Board wieder online und besser abgesichert sein und dann bei Heihachi gehostet werden.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s