Servereinbruch beim CCC

November 26, 2004 (webmaster)
Durch einen bislang unbekannten TWiki-Exploit wurde unauthorisierter Zugriff für einige spanische Hackerkollegen auf CCC Server möglich. Dabei sind in Vergessenheit geratene Registrierungsdaten des Chaos Communication Camp 2003 veröffentlicht worden.

Der betroffene Server wurde zur Registrierung beim Chaos Communication Camp 2003 verwendet. Nach diesem Einsatz fand er eine weitere Verwendung als allgemeines Wiki des CCC, dem Camp und dem 20. Chaos Communication Congress. Als Software wurde TWiki verwendet.

Vor 12 Tagen erreichte uns der Hinweis, dass die Registrierungsdaten des Camps auf der Webseite http://www.digitalsec.net/stuff/fun/CCC/ccc_and_cccs.txt zu finden seien. Der Einbruch unserer spanischen Hackerkollegen geschah durch einen bisher unbekannten Exploit im TWiki-System, wodurch ein Angreifer beliebige Daten mit den Benutzerrechten des http-Daemon auslesen konnte. Zwar war die Camp-Registration schon längst abgeschaltet, jedoch befand sich ein unverschlüsseltes und in Vergessenheit geratenes Backup der in LDAP gespeicherten Daten auf dem Server.

Bei einem zweiten mit dem CCC in Verbindung stehenden Server, dem des Chaostreff Stuttgart, wurden die Login-Daten sowie gecrypteten Passwörter der dort im TWiki angemeldeten Benutzer veröffentlich.

Der CCC fragte bei den spanischen Kollegen an, dass zumindest die frei liegenden persönlichen Daten der Camp-Besucher nicht weiter auf ihrer Webseite angezeigt werden, was auch prompt umgesetzt wurde. Zusätzlich haben wir vor zehn Tagen eine E-Mail an alle Camp-Teilnehmer versandt, die wir an dieser Stelle abdrucken:

Dear Camp attendee,

we are sorry to say that we fucked up handling your data provided for
the organization of the Chaos Communication Camp correctly. When the
registration system was shut down after the camp in 2003, an unencrypted
backup copy of the registration data was unfortunately left on the machine.

The server has been used for hosting another TWiki installation after
the camp, but the organization crew left planet earth due to
extraterrestrial commitments and more or less forgot about its existence.

Our spanish colleagues succesfully broke into this machine, exploiting a
newly found bug in the TWiki software, and published part of the stuff.
This includes personal registration data as well as crypt passwords for
Wiki users. While the passwords are not available in clear text, they
are susceptible to a dictionary attack. Therefore, these passwords must
be considered compromised, so we urge anybody who used the same password
for camp registration or TWiki and any other system to take appropriate
measures.

Please carefully check the data provided at
http://www.digitalsec.net/stuff/fun/CCC/ccc_and_cccs.txt.

We contacted the crowd at digitalsec.net and asked them to remove all
personal data from their publicly available documentation. They reacted
very kindly and dropped read permissions for the database dump. We
apologize for the inconvenience and promise to do our best to avoid
such bullshit in the future. Thank you for your attention and do not
forget to apply appropriate security measures.


sigh,

   the CCC Crew
  

Uns ist diese Angelegenheit äußerst peinlich. Jedoch ist es für uns selbstverständlich die Informationen zu dem Hack publik zu machen. Wir danken an dieser Stelle den spanischen Hackerkollegen für den Hinweis auf die Sicherheitslücke.