Wahl der Top 10 Web Hacks

aus dem Wiki des Entropia e.V., CCC Karlsruhe

Die Top 10 Web Hacks

Auf der GPN6 wollen wir die "Top 10 Web Hacks" küren. Dabei sollen die 10 technisch interessantesten, lustigsten oder elegantesten Defacements, Einbrüche auf Webservern gefunden werden. Zuerst einmal sammeln wir Vorfälle und werden vor der Veranstaltung die wirklich für die Wahl in Frage kommenden vorsortieren. Bitte die Liste erweitern!

Übersicht von in Frage kommende Hacks (sortiert nach Zeit)

1996

  • Ein schwedischer Hacker bricht in die CIA-Webseite ein und ändert den Namen in 'Central Stupidity Agency'.

1999

  • Wohl eines der ersten XSS-Probleme bei eBay die ausgenutzt wurden, wobei der Begriff damals nicht existierte
  • Der Russe "Maxim" bricht bei CDUniverse Web Store ein und kopiert 300.000 Kreditkartennummern

2000

  • Durch einen Fehler in Katalog auf der IKEA-Webseite ermöglicht ein Link zur Datenbank, dass die Daten runter geladen werden können.
  • Defacement von 325 verschiedenen Webseiten der amerikanischen Regierung.

2001

  • Der Wurm "Code Red" nutzt einen Buffer Overflow im Indexing Service des IIS 4 und 5 aus.
  • Gehackte japanische Webseite serviert Nutzern des IE 4/5 JavaScript-Schadcode, der die PC-Konfiguration ändert.
  • Der Wurm "Nimda" ist in der Lage, Microsoft Client und Server neben anderen Wegen über HTTP zu infizieren.

2002

  • Advogato XSS Virus

2003

  • Diebstahl von 55.200 Sozialversicherungesnummern bei Einbruch in die UT Austin über eine txClass-Datenbank.
  • Mann versucht von Best Buy 2,5 Million US$ zu erpressen, damit er die Firmenwebseite nicht angreift.
  • Die Bestellungen bei Victorias Secret können per Enumeration ausgelesen werden.

2004

  • Gateway lässt Zugriff auf Kundendaten nur über ID zu.
  • Auf der MyChannel von Peter Huth ist ein Dump mit Kundendaten öffentlich einsehbar.
  • Bei dem Provisionierungssystem OBSOC der Telekom werden schwere Mängel entdeckt, die noch weitgehenden Zugriff auf weite Teile der Kunden-Konfigurationen zulässt.
  • Hack von CardSystems, bei dem 263.000 Kreditkartennummern kopiert werden und ein Schaden von 40 Millionen US$ durch Ausnutzung dieser Karten verursacht wird. CardSystems wird daraufhin liquidiert.
  • Spanische Hacker entwenden durch einen Twiki-Exploit auf einem CCC-Server die Anmeldedaten inklusive Kreditkartennummern des Camps 2003.
  • SCO Webste teilweise defaced. Auf der Seite ist ein Banner mit dem Spruch 'SCO - We own all your code' zu bewundern.
  • SunTrust-Seite wird durch XSS-Problem für Phishing missbraucht.
  • "Santy"-Wurm benutzt Google um verwundbare Systeme zu finden.
  • Während des jährlichen Kongresses des Chaos Computer Club werden 18.000 Webseiten defaced.
  • Asgardversand gehackt.

2005

  • Accounts bei T-Mobile in den USA durch Fehler in BEA Weblogic gehackt.
  • XSS Wurm "Samy" verbreitet sich auf MySpace und repliziert sich ca. 1 Millionen mal. MySpace muss für mehrere Stunden abgeschaltet werden.
  • MSN in Südkorea gehackt und mit Code versehen, der Passwörter mitloggt
  • Microsoft UK-Seite wegen Administrationsfehler gehackt
  • "Spread Firefox"-Seite gehackt
  • Ein subtiler Bug in alter blogger.com-Routine ermöglicht Defacement des "Blogger Developers Network"-Blogs
  • Stanford Webseite defaced durch XMLRPC-Bug
  • 12jähriger hackt Online-Game und stielt Game Items durch raten von Credentials
  • Teenager hackt verschiedene Seiten von Telefon Service Providern.
  • Defacement von mehreren Novell-Webseiten.
  • Firefox Promotionseite über ein ungepatchtes Twiki gehackt.
  • Durch einen Administrationsfehler wird Xoops gehackt.
  • 3.000 Kreditkartennummern beim Einbruch von Guidance Software kopiert durch SQL Injection. Die Firma verkauft Software für forensische Untersuchungen nach Einbrüchen.
  • Seite des Heimatschutznetzwerk Sachsen gehackt. Daten eines internen Forums sorgen für Medienwirbel.

2006

  • Russische Hacker brechen in die Seite von Rhode Island Gemeindeverwaltung ein und stehlen nach eigenen Angaben 53.000 Kreditkartennummern.
  • Management Interface eines Hosters wird durch Brute Force Attacke geknackt und verschiedene Seiten von Gemeinden werden defaced.
  • Massendefacement bei phillipinischem Hoster durch SQL Injection
  • AstraTels LiveBilling-System leakt private Daten von Kunden (IP Log, getätigte Anrufe usw.)
  • Iskorpitx defaced auf einen Schlag insgesamt etwa 38.000 Websites, die bei Secure Hosting gehostet werden.
  • Ebay XSS. Script Tags in der Auktionsbeschreibung erlaubt.
  • XSS in der Suchfunktion des Forums von Sourceforge.net
  • Yahoo Mail XSS innerhalb des CSS
  • Seite der Slowakischen National Secret Agency gehackt.
  • XSS bei PayPal. PayPal hat 2 Jahre lang nicht auf Mitteilungen reagiert.
  • MySpace XSS Exploit. Die dabei gestohlenen Logindaten wurden veröffentlicht und einer weitgehenden Analyse unterzogen.
  • MySpace XSS Wurm mit embeddetem Flash-Film. Der Exploit wurde politische Statements genutzt.
  • Hacks über Bande: Durch einen Hotmail XSS Bug konnten nach und nach verschiedene Seite kompromitiert werden (u.a. zone-h.org). Betroffen waren wahrscheinlich 71.000 User.
  • Über 800.000 Namen, Sozialversicherungsnummern, Geburtstage, Adressen und Kontaktinformationen sind bei einem Hack der UCLA in Los Angeles geleakt.
  • TJX wurde vermutlich über 4 Jahre Opfer einer permanenten Abschöpfung von Kreditkarten-, Führerschein- und Sozialversicherungsnummern. Wie das genau ging ist immer noch unklar, vermutlich 8 Mio. US$ Schaden

2007

  • StudiVZ Weblog durch WordPress Encoding-Exploit übernommen
  • Super Bowl Webseite gehackt und mit Trojaner und Keylogger versehen
  • StudiVZ vermutlich durch SQL-Injection gehackt und Klartext-Passwörter gestohlen
  • WordPress Backdoor
  • Defacement von John McCain's MySpace Seite

Wahlverfahren auf der GPN6

Noch unklar. Hannes hat ein paar Vorschläge :)