“RP-Online und Bild.de abgeschaltet*” (medienrauschen.de)

Was passiert, wenn falsche Informationen, die im Netz gestreut werden, von Medien aufgenommen werden, zeigte eindrucksvoll die Geschichte um den erfundenen Vornamen von Guttenbergs. Was passiert, wenn eine Website gehackt wurde, haben wir gestern gesehen. Wenn beides zusammenkommt, dann ist das eine Aufgabe für die richtig Großen im Onlinegeschäft. Bild.de und RP-Online bewiesen ihre ganze journalistische Sorgfalt – und feuerten Kevin Kuranyi beim Bundesligisten Schalke 04.

“Hacker-Angriff auf Schalke – Wirbel um Kevin Kuranyi” (rp-online.de)

Die Schalker Homepage wurde geschlossen. Computer-Hacker hatten mit der Meldung der angeblichen Entlassung zum Zusammenbruch der Seite geführt.

“Hacker-Angriff auf Schalke-Homepage” (bild.de)

Am Abend erschien eine Meldung auf der Internet-Seite des Bundesliga-Klubs, wonach Stürmer Kevin Kuranyi von seinen vertraglichen Pflichten gegenüber dem Verein bis auf weiteres befreit worden sei.
(…)
BILD.de reagierte schnell und berichtete…
(…)
Jetzt steht fest: Hacker haben über die Schalke-Homepage eine Falschmeldung in Umlauf gesetzt.

Ein sehr schönes Beispiel wie schnell Falschinformationen durch das Netz rauschen und das nur weil irgendwelche Web-Applikationen unsicher und nicht sofort gepatcht worden sind. Die Lücke im CMS TYPO3 ist erst seit ca. 48 Stunden öffentlich bekannt.

Ich behaupte daß das erst der Anfang ist, in Zukunft wird man noch viel häufiger auf Informationen treffen, bei denen der Wahrheitsgehalt nicht nur von der Qualität der Journalisten abhängt, sondern auch davon welche Web-Applikation die Medienseite benutzt und wie gut diese gepflegt wird.

Viele Medienseiten lassen sich recht einfach “fremde News” unterschieben. Per XSS schafft das fast jedes Scriptkiddie und SQL-Injection ist auch oft anzutreffen. Bei TYPO3 war/ist es eine Konfigurationsdatei die man auslesen kann (Information Disclosure), in der das Adminpasswort als Hashwert gespeichert ist. Wenn dabei ein einfaches Passwort, wo der Hashwert per Suchmaschine gefunden werden kann, verwendet wurde – beim Schäuble lautete das Passwort “gewinner” (wie sinnig) – dann hat der Angreifer natürlich leichtes Spiel.

Diesmal ging es nur um Fussball und es wurde relativ schnell entdeckt. Wenn allerdings mit einer Falschinformation ein Börsenkurs manipuliert, eine militärische Intervention oder eine bevorstehende Naturkatastrophe verbreitet wird, so hat dies schon ganz andere Dimensionen. Man denke nur mal an H. G. Wells’ (de.wikipedia.org) “Der Krieg der Welten” (de.wikipedia.org) und die Reaktionen auf das Hörspiel vom 30. Oktober 1938.