Am gestrigen Freitag, den 21.05.2021, wurden auf Zukunft Mobilität über den Account eines Gastautoren insgesamt fünf Spam-Artikel (Bitcoin und Erotik) veröffentlicht. Drei weitere Artikel wurden zu Testzwecken angelegt und waren im Entwurfsstadium. Ein Artikel wurde mit gestrigem Datum veröffentlicht, befand sich auch auf der Startseite und wurde über den RSS-Feed verteilt. Die vier anderen Artikel wurden über einen Zeitraum von zwei Jahren rückdatiert und unter den bestehenden Artikeln versteckt. Der aktuelle Artikel fiel Leser:innen auf, die mich etwa zwanzig Minuten nach Veröffentlichung informierten. Ich habe den Artikel unverzüglich entfernt und mich auf die Ursachensuche begeben.
Der Sachverhalt stellt sich wie folgt dar: der Account des entsprechenden Gastautoren besteht seit 2011, es wurde damals ein einzelner Gastartikel veröffentlicht. Der Account des Gastautoren war mit der E-Mail-Adresse eines Onlinemagazins verknüpft, das sich mit Urbanität und Stadtentwicklung auseinander gesetzt hat. Das Magazin wurde 2018 übernommen und mit einem anderen Angebot verschmolzen. Im Zuge der Übernahme wurde die verwendete Domain freigegeben und von Dritten neu registriert. Heute befindet sich unter der Domain eine asiatische Spam-Seite. In Folge des Domainverlusts konnte die E-Mail-Adresse des Gastartikel-Autors durch die Spammer neu angelegt werden und sich über die Passwort-Rücksetzen-Funktion Zugriff auf das Zukunft Mobilität-Backend verschafft werden. In Folge wurden die fünf Spam-Artikel veröffentlicht, drei weitere Artikel als Entwurf angelegt. Weitere Funktionen wie bspw. der Upload von Dateien, etc. standen dem Account nicht zur Verfügung.
In Reaktion auf den Sicherheitsvorfall habe ich die Rechte aller Gastautoren weitgehend eingeschränkt. Ältere Accounts besitzen keinerlei Rechte mehr. Zudem habe ich die E-Mailadressen der Accounts, mit denen ich aktuell keinen anhaltenden Kontakt habe, durch Zukunft Mobilität-E-Mailadressen ersetzt. Dadurch ist das Kapern der Accounts erschwert. Das Rechtemanagement wird zukünftig entsprechend des Accountalters angepasst. Zudem habe ich ein Plugin, das Autor:innen das selbstständige Hochladen von Profilbildern ermöglichte, gelöscht.
Die einzelnen Schritte der Accountübernahme wurden von mir nachvollzogen und Gegenmaßnahmen eingeleitet. Der Zugriff auf den betroffenen Account durch die Spammer ist gesperrt, die Accountdaten zurückgesetzt. Die Artikel sind gelöscht und dürften auch in der gecachten Version nicht mehr auffindbar sein. Da ich keinen Einfluss auf gecachte RSS-Feeds habe und einzelne Seiten unerfreulicherweise Artikel von Zukunft Mobilität 1:1 kopieren und anderer Stelle veröffentlichen, kann es sein, dass die entsprechenden Artikel dort noch aufrufbar sind. Dies kann ich leider nicht beeinflussen.
Sollten Fragen bestehen oder weitere Probleme existieren, stehe ich natürlich jederzeit zur Verfügung und bitte um eine Nachricht.
Danke für die transparente Erläuterung des Vorfalls! Super Blog und hoffentlich bleibst du/ihr in Zukunft von so Sachen verschont.
Danke! War das erste Mal nach elf Jahren, das mir das passiert ist. Da es absolute Sicherheit nicht gibt, ist das – obwohl natürlich sehr unschön – von der Quote noch in Ordnung.