Anonstream Exploit

[master_server]

[ame="http://www.youtube.com/watch?v=YxPvFBZ4VPg"]http://www.youtube.com/watch?v=YxPvFBZ4VPg[/ame]

Durch die Schließung zahlreicher Filehoster entsteht Platz für Newcomer in der Branche. So will der offenbar deutsche Anbieter „Anonstream“ durch die frei gewordenen Kunden eine neue Plattform etablieren. Man wirbt mit vollkommener Anonymität und gar einer Vergütung für die Uploader. Jedoch bleibt fraglich, inwiefern man diese Versprechen tatsächlich einlösen will.

Das Vorgehen der Behörden gegen den ehemaligen Filehostingdienst Megaupload hatte gravierende Folgen. (gulli:News berichtete) Nachdem das FBI die gesamte Domain beschlagnahmte und dem Betreiber, Kim Schmitz horrende Haftstrafen angedroht wurden, schlossen viele Konkurrenzbetriebe freiwillig ihre Pforten. Nun planen offenbar einige mutige Unternehmer, den Kundenstrom abzufangen.

Die Webseite „Anonstream.com“, die offenbar unter deutscher Führung steht, ist aktuell eines der prominentesten Beispiele. Auf der recht simpel gehaltenen Webpräsenz wirbt man mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“ und einer Vergütung für populäre Uploads. Auf welchem Wege diese Anonymisierung des Datenverkehrs allerdings erfolgen soll, wird nicht beschrieben.

Bei genauerer Untersuchung scheint zumindest das Portal auf deutschem Gebiet gehostet zu sein. Gerade wenn auch die Dateien der User dort gespeichert werden, wäre eine herausragende Sicherheit für die Nutzer vermutlich nicht gegeben. Über besondere Verschlüsselungsverfahren macht man auf der knappen Informationsseite ebenfalls keine Angaben. Auf das sogenannte „Pay per Download“ – System wird ebenfalls nicht explizit eingegangen.

Immerhin um die Belange der Contentindustrie hat man sich bemüht. Eine „Industrie-API“ soll es Urhebern ermöglichen, illegal angebotene Downloads wieder zu entfernen. Ein reguläres Impressum sucht man hingegen vergebens.

Der Preis für einen „Premium-Account“ hält sich mit höchstens 32 Cent pro Tag noch im Rahmen. Kunden mit einem solchen Zugang wird eine höhere Downloadgeschwindigkeit und anderer Komfort gewährt. User, die den Dienst gratis nutzen, können Dateien höchstens mit 80 Kilobytes pro Sekunden übertragen. Gerade dieses Detail lässt daran zweifeln, ob die sich Plattform tatsächlich etablieren kann.

Update: Der Filehoster wurde mittlerweile von der Hacker-Szene genauer unter die Lupe genommen. Das Ergebnis, zu dem der Blog „Bursali“ kommt, scheint fatal. Dem IT-Spezialisten „Deniz“ gelang es, die komplette Datenbank von Anonstream zu erbeuten. Doch damit nicht genug: Entgegen des Versprechens von Anonymität und Sicherheit, scheint der Betreiber der Internetseite die IP-Adressen seiner Kunden zu speichern. In den erbeuteten Listen war unter anderem der Eintrag „user_ip“ zu finden.

Ferner gelang es dem Angreifer durch eine gravierende Sicherheitslücke, die Passwörter der Administratoren herauszufinden. Diese seien über einen sogenannten Brute-Force-Angriff innerhalb weniger Minuten zu erraten.

Aktuell ist die Webseite nicht zu erreichen. Wann der Filehoster wieder verfügbar sein wird, bleibt abzuwarten.

Update II: (29.02.2012) Mittlerweile ist auf der Webseite Anonstream.com eine Stellungnahme der Betreiber zu lesen. Demnach sei es durch den Einbruch im Server zu keinem „Datenklau“ gekommen. Überdies habe man alle bekannten Sicherheitslücken behoben. Gegenüber Gulli bestätigte der Entdecker der Fehler, Deniz Isik alias „Bursali“, dass die entsprechenden SQL-Anfälligkeiten beseitigt wurden, nachdem die Administration um Unterstützung des IT-Spezialisten gebeten hatte. Ferner distanzierte sich Anonstream von diversen Gerüchten, die den Betreibern Verbindungen zu kriminellen Personen nachsagten.

Abschließend kritisierten die Leiter des Hosters die vorgeblich lückenhaften Beiträge der Portale Gulli und Winfuture mit den Worten: „Anonstream.com war nicht für solch eine immense und teils schlecht recherchierte Berichterstattung verantwortlich. Trotzdem hoffen wir das Wir einige zahlreiche Benutzer gewinnen konnten. Bei weiteren Fragen steht unser Support jederzeit zur Verfügung.“

Aktuell ist die Seite erneut offline geschaltet. Ob es sich um Wartungsarbeiten oder einen andersartigen Zwischenfall handelt, ist nicht bekannt.



Update III (28.05.2012 - Lars Sobiraj) Kürzlich wurde bei YouTube ein Video mit dem Namen "Anonstream Sicherheit" hochgeladen. Inhaltlich dreht sich das Video um eine weitere Sicherheitslücke des Anbieters. Dabei können Dritte via JavaScript die Videos aller anderen Nutzer ohne jede Berechtigung löschen. Ende Februar hatten die Betreiber bekannt gegeben, über die Sicherheitslücke innerhalb der Urheber-Schnittstelle sei es zu keinem Datendiebstahl gekommen.

Unter der inaktiven URL http://anonstream.com/index2.php?inc=imprint ist momentan zudem einsehbar, dass der Dienst Anonstream offenbar von den früheren Betreibern der Warez-Seite Datenklo organisiert wird. Im Impressum enthalten sind mehrere Klarnamen nebst Anschrift, Kontakt-E-Mail, Steuernummer, PayPal-Adresse und vieles mehr. Über die unerwünschte Transparenz des Anbieters mag sich jeder Leser bitte selbst ein Urteil bilden.

Finger weg, falls jemand diesen Service nutzt, denn sicher scheint er nicht zu sein.
HAHA, es klappt noch. Meldet euch einfach als Benutzer an, denn man kann als registrierter User, immer noch Videos anderer Leute löschen.

[ame="http://www.youtube.com/watch?v=sCWGeThvoWc"]http://www.youtube.com/watch?v=sCWGeThvoWc[/ame]

$.ajax({ // Dateien löschen
type: "POST",
url: "ajax/deltefile.php",
data: { strid:value },
success: function(data){
$('#loschestrdam').empty();
$('#loschestrdam').html(data);

}
});

$.ajax({ //Dateien als offline melden
type: "POST",
url: "ajax/saveofflinefile.php",
data: {id:val },
success: function(data){
alert("File gemeldet!");

}
});

$.ajax({
type: "POST", //Warteschlange umgehen
url: "ajax/streams.php",
data: { streamcode: code},
success: function(data){
$('#content').empty();
$('#content').html(data);

}
});

$.ajax({
type: "POST", //nach dateien suchen
url: "ajax/getsearch.php",
data: { query: "chuck"},
success: function(data){
$('#suchergebnis').empty();
$('#suchergebnis').html(data);

}
});

$.ajax({
type: "POST",
url: "ajax/changebearb.php", //Dateien bearbeiten
data: {
beschr: "haha",
info: "haha",
id: "18065",
cover: "http://anonstream.com/img/euro1.png"


},
success: function(data){
$('#bearbeitenander').empty();
$('#bearbeitenander').html(data);
//document.getElementById('bearbeitenander').innerHT ML += data;
}
});

[Bonkers]

Es gibt laut der Tabelle 'dk_admins' drei Administratoren.

Code:

 136 | bonkers | dfcc53d9a2*********7d3581deebdb
 135 | root | d1502252e*************391855
 183 | darkside022 | 819b7**************7ecbda

(Quelle)

Ich will nur eben klarstellen dass ich nichts mit der Seite zu tun habe, auch wenn jemand den selben Nick wie ich verwendet.

Ist halt kein zufälliges Wort

to be bonkers [coll.] spinnen [ugs.]

[sarex]

schaut euch mal die login form an (sql)

mfg

[SFX]

Was unterscheidet eine Lücke in diese Seite von einer auf 123xyz.com und seit wann ist Full Disclosure wieder in?

[master_server]

Es kommt darauf an, dass die Seite von den Admins als sicher und anonym bezeichnet wird, wobei sie das nicht ist und man sie mit einfachsten Mitteln manipulieren konnte.

[NoGo]

Der Filehoster wurde mittlerweile von der Hacker-Szene genauer unter die Lupe genommen. Das Ergebnis, zu dem der Blog „Bursali“ kommt, scheint fatal. Dem IT-Spezialisten „Deniz“ gelang es, die komplette Datenbank von Anonstream zu erbeuten. Doch damit nicht genug: Entgegen des Versprechens von Anonymität und Sicherheit, scheint der Betreiber der Internetseite die IP-Adressen seiner Kunden zu speichern. In den erbeuteten Listen war unter anderem der Eintrag „user_ip“ zu finden.

Ferner gelang es dem Angreifer durch eine gravierende Sicherheitslücke, die Passwörter der Administratoren herauszufinden. Diese seien über einen sogenannten Brute-Force-Angriff innerhalb weniger Minuten zu erraten.

Das ist eher das interessante, auch wenn es schon länger bekannt ist.