Dabei ist immer die Rede, dass man mit Zeitungen kein Geld verdient

Eine Los Angeles Times Website war Tagelang still und leise am Minen von Crypto-Coins indem es die Web-Browser von Besuchern –Hacker hatten einen Mining Code in die Websites eingebracht.

Die IT-Arbeiter der Zeitung ließen mindestens eine der Veröffentlichungen auf Amazons Web Service S3 mit Cloud Speicher weit offen, für jeden zugänglich und einfach zu ändern, updaten und herumhantieren.

Missetäter nutzen diese Sicherheitslücke um CoinHives Monero-mining JavaScript Code in die interaktive Landkreis-Tötungskarte homicide.latimes.com.

Jeder, der diese Website besucht, wird für den Jenigen, der den Code eingebracht hat, unbeabsichtigt Alt-Coins erschaffen. Es lässt sich nur durch Antivirus und Ad-Block Programme verhindern, die solche Scripts vom Laden hindern. Dieses bestimmte Script war seit dem 9. Februar auf der Website.

Bis der Bucket wieder geschützt ist, ist es wahrscheinlich eine gute Idee diese und andere LA Times Online Websites zu meiden – es könnten boshaftere Software eingebracht werden, wie Passwortschnüffler und Drive-By-Malware Installationsprogramme.

Die Dreckskerle, die den verstecken Crypto-Miner einbrachten, sind nicht die einzigen, die den S3 Bucket der Zeitung fanden.  Andere ließen im ungeschützten Cloud Speicher eine Warnung mit dem Dateinamen BugDisclosure.txt (BugEnthüllung.txt) und wollten Techniker dazu drängen, das Konto zu schützen:

Hallo, dies ist eine freundliche Warnung, dass Ihre Amazon AWS S3 Bucket Einstellungen falsch sind. Jeder kann in diesen Bucket schreiben. Bitte beheben Sie dies, bevor jemand Schlechtes es herausfindet.

Der Bucket wird benutzt um Grafiken und anderes Material für die Seite der täglichen Zeitung unterzubringen. Es scheint, als hätte ein Administrator nicht nur die Lese-Berechtigungen offen gelassen doch auch globale Schreibe-Berechtigungen aktiviert. Damit kann Jeder der möchte in die Websites der Zeitung Code und andere Dateien in den Code bringen.

Natürlich tat dies jemand – den boshaften JavaScript Code sitzt auf unschuldigem Code in der Mordfallkarte.

Wir fragten die LA Times nach einer Aussage. Ein Pressesprecher war nicht sofort verfügbar. Infosec Forscher Troy Mursch, welcher diese Art von Crypto-Jacking Angriffe verfolgt, versuchte ebenfalls, mit der Times Kontakt aufzunehmen und sagte, er hätte keinen Erfolg gehabt. Wir haben diese Miningaktivität auch an CoinHive geleitet.

Dies ist nicht der erste Fall, in dem ein Geschäft von einem falsch konfigurierten S3 Speicher-Bunker bloßgelegt wird.  Sicherheitsforscher haben daraus eine Heiminstustrtie erschaffen, im Internet nach AWS Buckets zu suchen, die falsch konfiguriert wurde und somit unbeabsichtigt Millionen von Datensätzen und Teile personenbezogener Daten enthüllt.

Diese Woche warnten Experten schon davor, dass man sich nicht nur um weltweit einsehbare Silos sorgen muss – weltweit beschreibbare erlauben es Schurken, Malware in Websites einzupflanzen, Dokumente zu verschlüsseln und sie festhalten könnten, die Liste geht weiter.

Hunderte an Warnungen die Techniker auf diese Sicherheitslücke hinweisen wollten sind momentan am Erscheinen in S3 Silos, ein Gefallen getan von Grey-Hat Hackern.

Falls Sie einen oder mehrere S3 Storage Buckets verwalten, so sollten Sie nun natürlich auf die Zugriffskontrollen (Schreiben und Lesen) schauen und sie richtig konfigurieren, um ungewollte Netzbürger rauszuhalten. Amazon hat Tools um diese Art von Pfusch zu  vermeiden. S3 Silos sind standardmäßig nicht durch das öffentliche Internet zu erreichen.