Hacker/Aktivisten unter dem Anonymous-Banner haben den wichtigsten Hoster der amerikanischen Rechten geplündert und die Daten ins Netz gestellt. Webseiten wie von der Texas GOP, Gab, Parler, 8chan, Infowars, Bitchute, Proud Boys, Oath Keepers und der Daily Stormer landeten nach und nach bei dem Hoster Epik, weil man sich Zensurfreiheit erwartete oder schlichtweg woanders nicht mehr willkommen war. Gerade der Daily Stormer wurde zum Grenzfall, da einerseits Meinungsfreiheit in den USA stärker ausgeprägt ist und sogar Neonazi-Ideen abdeckt, aber andererseits auch die (Hosting-)Unternehmen Freiheiten haben im Hinblick auf ihre Nutzungsbedingungen und bestimmte Inhalte ausschließen können.
Der CEO von Epik, Rob Monster, schrieb zunächst auf Twitter, ihm sei kein Problem bekannt, dann verschickte er eine E-Mail an Kunden, in der er „einen angeblichen Sicherheitsvorfall“ bestätigte, aber keine Einzelheiten nannte.
The Daily Dot sprach mit einer Person, die als Registrar von TheDonald aufgeführt ist, einem Ableger eines Pro-Trump-Forums, das letztes Jahr von Reddit verboten wurde und von der Domain Patriots.win aus betrieben wird. Die Person bestätigte, dass die in der Verletzung aufgeführten Informationen von ihr stammten. Eine andere Person, die als Betreiber einer ähnlichen Plattform wie 8chan aufgeführt ist, bestätigte dem Daily Dot ebenfalls, dass die gestohlenen Informationen korrekt waren. Ein Linux-Ingenieur, der im Auftrag eines Kunden, der die Dienste von Epik nutzt, eine Folgenabschätzung durchführen sollte, sagte dem Daily Dot, dass die Verletzung eine der schlimmsten sei, die er je gesehen habe.
„Sie sind von Anfang bis Ende vollständig kompromittiert“, sagten sie. „Vielleicht das Schlimmste, was ich in meiner 20-jährigen Karriere je gesehen habe.“
Der Ingenieur verwies den Daily Dot auf die, wie sie es nannten, „gesamte Primärdatenbank“ von Epik, die Benutzernamen und Passwörter für Hosting-Accounts, SSH-Schlüssel und sogar einige Kreditkartennummern enthält – alles im Klartext gespeichert. Zu den Daten gehören auch Auth-Codes, Passcodes, die benötigt werden, um einen Domainnamen zwischen Registraren zu übertragen. Der Ingenieur erklärte, dass mit all den Daten im Leak, zu denen auch Admin-Passwörter für WordPress-Logins gehörten, jeder Angreifer problemlos die Websites unzähliger Epik-Kunden übernehmen könnte.
Nach zwei Tagen der Stille auf Twitter tauchte Epik-Chef Rob Monster wieder auf, um die Öffentlichkeit zu einer Live-Frage-und-Antwort-Sitzung auf seiner Videokonferenz-Website PrayerMeeting.com einzuladen.
Ein Internetnutzer, der Ausschnitte aus dem sogenannten „EpikFail-Hack“ anbot, bot The Daily Swig einen Überblick über die Betriebs- und Netzwerksicherheitsmängel des Unternehmens.
So sei Epik des faulsten Designs schuldig, das möglich ist. Sie berechneten ihren Kunden eine zusätzliche Gebühr für den „Schutz ihrer Daten“ (über ein Domain-Add-On von http://Anonymize.com) und wenn sich ein Kunde anmeldete, teilte Anonymize ihnen eine UserID zu, was ziemlich Standard ist. Leider hat sich Epik dafür entschieden, diese UserID als Präfix für die Kontakt-E-Mail-Adresse der WHOIS-Registrierung der Domain zu verwenden. Auf diese Weise werden die Schlüssel bereitgestellt, um mit einer Codezeile direkt vom Domainnamen zum „anonymen“ Domaininhaber zu gelangen.
TechCrunch hat inzwischen erfahren, dass Epik Wochen vor seiner Verletzung vor einer kritischen Sicherheitslücke gewarnt wurde. Der Sicherheitsforscher Corben Leo kontaktierte im Januar über LinkedIn den CEO von Epik, Monster wegen einer Sicherheitslücke auf der Website des Webhosts. Leo fragte, ob das Unternehmen eine Bug-Bounty oder eine Möglichkeit habe, die Schwachstelle zu melden. LinkedIn zeigte, dass Monster die Nachricht gelesen hatte, aber nicht reagierte.
Leo sagte gegenüber TechCrunch, dass eine Bibliothek, die auf der WHOIS-Seite von Epik zum Generieren von PDF-Berichten von gemeinfreien Datensätzen verwendet wird, eine jahrzehntealte Schwachstelle aufwies, die es jedem ermöglichte, Code direkt auf dem internen Server ohne Authentifizierung, wie beispielsweise ein Firmenpasswort, aus der Ferne auszuführen.
