Achtung: Mögliche Leaks persönlicher Informationen

[GSA-Team]

Was ist passiert?
Am Montag, den 1.6. ist uns in einem Beitrag ein winziges, kaum sichtbares Bild aufgefallen. Bei diesem Bild handelt es sich möglicherweise um ein sogenanntes Tracking-Pixel, mit dem Informationen von Besuchern dieses Forums abgegriffen werden können. Die Betonung liegt hier auf „können“. Dieses mögliche Tracking-Pixel fanden wir in insgesamt 7 Beiträgen.
Es fanden sich Hinweise darauf, dass dieser Nutzer Verbindungen zu einer Hackergruppe hat, die für einen umfassenden Hack eines Einvernehmler- Forums für pädophile Menschen verantwortlich ist.

Auf diese Sache angesprochen beteuerte der betreffende Nutzer keine bösen Absichten unserem Forum und seinen Nutzern gegenüber gehabt zu haben sondern selbst hier Hilfe zu suchen und mit dem Bild keine Infos abgegriffen zu haben. Wir gehen dem ganzen weiter vorsichtig nach.

Wer ist betroffen?

Grundsätzlich ist jeder betroffen, der am 1.6. zwischen ca. 01:00 Uhr und 20:30 das Forum besucht und einen der Beiträge aufgerufen hat. Nutzer des TOR-Browsers, eines VPNs oder ähnlicher Vorkehrungen sollten weitestgehend geschützt sein.

Welche Informationen wurden geleakt?

Bei einem Tracking-Pixel handelt es sich grundsätzlich um etwas ganz Normales: ein einfaches Bild, das von einem anderen Server geladen und in einen Post eingebunden wird.

Dafür muss aber der andere Server angefragt werden, und der erhält dabei einige wesentliche Daten, unter anderem:

• Dass die ursprüngliche Anfrage ans GSA-Forum ging
• Die IP-Adresse
• Der verwendete Browser
• Das verwendete Betriebssystem

Was haben wir getan?

Weitere Beiträge wurden unterbunden sobald wir die Tracking-Pixel bemerkt haben und diese Pixel wurden aus den Beiträgen entfernt. Eine Untersuchung der Server-Logs gab keine Rückschlüsse darauf, dass es sich um einen größeren Angriff handelte oder weitere Daten abgegriffen worden seien. Andere Tracking-Pixel in älteren Beiträgen konnten wir auch nicht finden.

Um solche Angriffe in der Zukunft zu vermeiden zu machen, haben wir bis auf Weiteres die Verwendung des IMG-Tags abgeschaltet. Für euch als Nutzer heißt das leider, dass es vorerst nicht mehr möglich ist, Bilder in Forenposts einzubinden. Ob wir diese Maßnahme nur auf neue Nutzer beschränken werden wir noch besprechen.


Bei weiteren Fragen stehen wir euch gerne zu Verfügung.

[Aiko]

Im Grunde ist doch nur betroffen der dieses Bild bewusst angeklickt hat?

[Aiko]

Einbettung von Bildern waren schon immer dafür anfällig. Das ist an sich normal.

[Mano]

Da die Antwort noch offen ist auf meine Meldungen, frage ich es hier öffentlich. Handelt es sich um das Bild welches in einem Beitrag festgestellt habe, welches verlinkt war und nur gesehen werden konnte wenn man den Beitrag zitiert hat, aber sonst nicht?
Wenn ja, was passiert wenn man den Link bei Google eingibt um zu sehen was sich hinter diesem Link verbirgt?
Welcher "Schaden" kann da bei mir entstehen und welcher Schaden für das Forum?

[Sirius]

Im Grunde ist doch nur betroffen der dieses Bild bewusst angeklickt hat?

Leider nicht, betroffen ist jeder, der in dem Zeitraum einen der betreffenden Beiträge aufgerufen hat.

Beim Aufrufen eines Beitrags (oder ganz allgemein irgendeiner Webseite) ermittelt der Browser, welche weiteren Ressourcen (wie zum Beispiel Bilder) noch geladen werden müssen und holt sich diese dann von dem entsprechenden Server. Wenn das Bild von einer anderen Webseite eingebunden wird, dann stellt der Browser eine Anfrage an den fremden Server und versucht, das Bild von dort zu holen, um es dann in den Beitrag einbinden zu können. Das passiert schon ganz automatisch beim Aufruf des Beitrags und nicht erst dann, wenn man das Bild anklickt.

Deswegen hatten die Tracking-Pixel auch nur eine Größe von 1x1, damit man wenn man nur den Thread liest gar nicht erst mitbekommt, dass da ein Bild mit drin steckt.

[Sirius]

Da die Antwort noch offen ist auf meine Meldungen, frage ich es hier öffentlich. Handelt es sich um das Bild welches in einem Beitrag festgestellt habe, welches verlinkt war und nur gesehen werden konnte wenn man den Beitrag zitiert hat, aber sonst nicht?

Ja, um das Bild ging es. Ähnliche Bilder fanden sich außerdem noch in vier weiteren Beiträgen, einer davon im anonymen Bereich.

Wenn ja, was passiert wenn man den Link bei Google eingibt um zu sehen was sich hinter diesem Link verbirgt?
Welcher "Schaden" kann da bei mir entstehen und welcher Schaden für das Forum?

Für das Forum kann durch die Bilder direkt erst einmal kein Schaden entstehen. Wie gesagt, das Einbinden von Bildern in Beiträgen ist eigentlich ein ganz normaler Vorgang, der nur leider auch missbraucht werden kann. Der Schaden, der entstehen kann, ist das persönliche Informationen (vor allem die IP-Adresse) geleakt werden kann.

Über den fremden Server haben wir bisher noch nicht viel herausfinden können, außer dass es sich wohl um eine bei Google gehostete VM handelt.

[Sirius]

Im Grunde ist doch nur betroffen der dieses Bild bewusst angeklickt hat?

Kleine Ergänzung hierzu noch: das mit den drauklicken gilt so für Links, die auf externe Seiten führen. Bei eingebundenen Bildern passiert im Prinzip automatisch das gleiche, was bei Links dann passiert wenn man draufklickt.

[Mitleser]

Der Browser kann ja nicht erkennen, ob ein Bild (auch wenn es nur ein Pixel groß ist) "gut" oder "böse" ist, also wird es geladen und angezeigt - nur dass man ein so kleines Bild halt nicht sieht, zumal es meistens transparent ist. Es gibt allerdings Filter-Plugins gegen diese Tracking-Pixel oder "Web Bugs", wie sie manchmal genannt werden, z. B. ScriptSafe oder uBlock Origin. Einen besseren Schutz gegen die Nachverfolgung von IP-Adressen und dergleichen bieten wie gesagt VPNs, Proxies, die Verwendung des Tor Browsers oder ähnlichen Anonymisierungsdiensten, nur sollte man sich im Klaren darüber sein, dass kein Dienst perfekt ist und immer ein gewisses Restrisiko besteht. Andererseits passiert hier im Forum ja auch nichts Illegales, von daher sind allzu große Sorgen sicher unangebracht.

[Aiko]

Ich verstehe. Ihr könnt sicher Filtern wer potentiell betroffen ist? Im Kern kann nicht viel passieren. Ausser man hat ne extrem staatische IP die zu 100% auf einen Nutzer Rückverfolgbar ist. Aber heutzutage wechseln doch dauerhaft die ips und werden von mehreren Menschen genutzt.

[Mitleser]

Zurückverfolgen kann die nur der Internet-Provider, und der muss sie auf einen Beschluss der Behörden hin herausrücken. Ansonsten ist der tatsächliche Wert einer abgegriffenen IP-Adresse in der Tat eher gering, zumal die gängigen Datenbanken, welche IP-Adressen mit einem bestimmten Ort verknüpfen, bisweilen extrem ungenau sind.