Ex-Vegankoch und Verschwörungserzähler Attila Hildmann und das Hacking-Kollektiv Anonymous verbindet eine schon seit Monaten schwelende Feindschaft. Im Juni 2020 gerieten Hildmann und Anonymous erstmals öffentlich aneinander. Damals schleusten die Aktivist:innen eine Person als Admin in eine Chatgruppe Hildmanns, die daraufhin 2.000 Mitglieder rausschmiss. Es folgte eine Kriegserklärung Hildmanns und ein Gegenschlag von Anonymous. Jetzt haben die Hacker:innen erneut die Hildmann-Seite lahmgelegt, stießen dabei aber auf zahlreiche Sicherheitsprobleme bei dessen Provider.

Einem Blogeintrag auf Anonleaks zufolge hätten die Hacker:innen nach Sicherheitslücken bei dem Provider gesucht – und seien über eine Website mit einer vulnerablen Joomla-Installation auf den Server gelangt. Zu Hildmanns Webspace seien sie allerdings zunächst nicht durchgedrungen. Dafür zeigte sich, dass die Hacker:innen auf einmal „Voll-Zugriff […] auf alle Datenbanken als ,root‘“ gehabt haben. So konnten sie ohne Probleme etwa auf die Zutrittskontrolle zum Rechenzentrum, auf Webcams, auf das Account-Verwaltungssystem oder das Ticketsystem zugreifen, wie es in dem Blogartikel heißt.

Auch persönliche und unverschlüsselte Kundendaten seien zugänglich – und zwar nicht nur Stammdaten, sondern auch Kreditkartendaten. Hierbei fanden sich laut Anonleaks „Kreditkartendaten der Kunden mit Name, Kartennummer, Gültigkeitsdatum, Anbieter und […] dem CVC-Code in einer einzigen Datenbanktabelle“. Die Kundendatenbanken und die Webseiten – außer jene von Hildmann – habe Anonymous nicht angerührt, wie es heißt. Allerdings sei der Zugang zum Verwaltungstool gesperrt worden und das Kundenlogin funktioniere nicht.

Die Hildmann-Seite selbst unterzogen die Aktivist:innen anschließend einem Defacement, zu sehen ist dort jetzt eine Video mit einem Cover von „Oops! … I did it again“. Zugleich ließ es sich Anonymous nicht nehmen, Attila Hildmann auf den Arm zu nehmen. Dessen Beschwerde an den Kundensupport über die gekaperte Website wurde mit „Das tut mir sehr leid. Maus. Kuss auf die Nuss. LG Dein Albtraum“ beantwortet.

Während der Hildmann-Provider mit seiner mangelhaften Datensicherung laut Anonymous sowohl gegen die Vorgaben der DSGVO als auch des Kreditkartenstandards PCI-DSS verstoßen haben dürfte, handelt es sich freilich auch bei dem Hacking der Aktivist:innen um eine Straftat. Bis zum Beweis des Gegenteils gilt natürlich in allen Fällen die Unschuldsvermutung.