Zum hauptinhalt springen

⚠️ ZER-Produktwarnung: Hive Social 👉🐝👈

Beekeeper opening a beehive, colorized, 2022

This article was also published in english.

Update: Die Lücken sind aktuell nicht ausnutzbar, da Hive die Server abgeschaltet hat. Mehr Details

Nach der feindlichen Übernahme von Twitter positionieren sich viele Dienste als Alternative und wachsen teilweise sehr schnell. Einer dieser Dienste ist die App “Hive Social”, die in den vergangenen Wochen die Marke von einer Million Usern überschritten hat.

Natürlich haben wir uns die App mal genauer angesehen und geschaut, wie es dabei um die IT-Sicherheit steht. Wir haben dabei eine Vielzahl von schwerwiegenden Sicherheitslücken gefunden, die wir natürlich an den Hersteller gemeldet haben. Nach mehreren Versuchen, die Verantwortlichen per E-Mail zu kontaktieren, haben wir die CEO telefonisch erreichen können. Sie hat uns dann bestätigt, dass sie den Report bekommen hat und versprochen, dass die Lücken so schnell wie möglich geschlossen werden. Nachdem wir die Verantwortlichen in den vergangenen Tagen mehrfach erinnern mussten, sagten sie zu, die Lücken innerhalb von zwei Tagen zu schließen. Nach diesen zwei Tagen waren die Lücken allerdings noch nicht geschlossen und es bestanden zum Zeitpunkt dieses Posts weiterhin schwerwiegende Sicherheitslücken in Hive Social.

⚠️ Wir raten aktuell dringend davon ab, Hive Social zu benutzen.

Die Sicherheitslücken, die wir gemeldet haben, erlauben Angreifer*innen, auf alle Daten aller Benutzer*innen zuzugreifen. Dies betrifft private Posts, private Direktnachrichten, geteilte Bilder und Videos und sogar bereits “gelöschte” Direktnachrichten und Posts. Zudem ist auch der Zugriff auf E-Mail-Adressen, Telefonnummern und Geburtsdaten, die bei der Registrierung angegeben worden sind, möglich.

Angreifer*innen können auch fremde Posts verändern, wie in folgendem Video zu sehen ist:

Um die Privatsphäre der User*innen auf Hive nicht noch weiter zu gefährden, veröffentlichen wir vorerst noch keine technischen Details zu den Lücken.

Falls Ihr auf der Suche nach einer Alternative zu Twitter seid, könntet Ihr euch Mastodon ansehen. Dort sind wir unter @zerforschung@chaos.social zu finden.

Wir updaten diesen Post mit mehr Details, nachdem Hive endlich die gefundenen Sicherheitslücken behoben hat.

Update 1: Und weg ist der Bienenstock

Nachdem wir unsere Warnung veröffentlicht haben, hat Hive beschlossen ihre Server abzuschalten. Daher kann die Lücke aktuell auch nicht mehr ausgenutzt werden.

Wir haben mit dem Hive-Entwickler telefoniert. Er arbeitet am Schließen der Lücken. Wir veröffentlichen das versprochene Update mit mehr Details zu einem späteren Zeitpunkt.

Zudem haben wir einen Absatz umformuliert, in dem es Aufgrund eines Missverständnisses zwischen der Hive-CEO und uns hieß, die Firma "[behauptete], die Lücken seien geschlossen". 
- Nachdem wir die Verantwortlichen in den vergangenen Tagen mehrfach erinnern mussten, behaupteten sie, die Lücken seien geschlossen. Das ist allerdings nicht so: **Leider bestehen zum Zeitpunkt dieses Posts weiterhin schwerwiegende Sicherheitslücken in Hive Social**.
+ Nachdem wir die Verantwortlichen in den vergangenen Tagen mehrfach erinnern mussten, sagten sie zu, die Lücken innerhalb von zwei Tagen zu schließen. Nach diesen zwei Tagen waren die Lücken allerdings noch nicht geschlossen und es bestanden zum Zeitpunkt dieses Posts weiterhin schwerwiegende Sicherheitslücken in Hive Social.

Timeline

  • 2022-11-23 - Wir haben angefangen uns Hive anzusehen
  • 2022-11-26 14:36 GMT+1 - Report fertig geschrieben, E-Mails mit Bitte um Bestätigung versandt
  • 2022-11-27 01:25 GMT+1 - Erster Versuch Hives CEO telefonisch zu erreichen. Wir wurden weggedrückt
  • 2022-11-27 02:21 GMT+1 - Nachricht an andere Hive-Administratoren verschickt, um sie auf eine dringende E-Mail in ihrer Support-Inbox hinzuweisen
  • 2022-11-27 02:41 GMT+1 - Zweiter Versuch, Hives CEO telefonisch zu erreichen. Sie fand unseren Report nicht in ihren E-Mails, wir haben ihn erneut geschickt
  • 2022-11-28 02:48 GMT+1 - E-Mail mit Bitte, uns eine Timeline zur Behebung der Lücken zu schicken
  • 2022-11-28 18:13 GMT+1 - Eine weitere E-Mail an die Hive-Supportmailadresse geschickt. Zudem eine iMessage an die CEO gesendet
  • 2022-11-28 19:38 GMT+1 - Wir haben nun zum ersten Mal eine schriftliche Bestätigung per iMessage erhalten
  • 2022-11-28 22:15 GMT+1 - Sicherheitslücken weiterhin offen, wir fragen wieder per iMessage nach einer Timeline
  • 2022-11-30 16:30 GMT+1 - Bei einer Routineüberprüfung scheint die erste der Lücken geschlossen zu sein
  • 2022-11-30 21:00 GMT+1 - Produktwarnung veröffentlicht
  • 2022-12-01 02:32 GMT+1 - Hive haben ihre Server abgeschaltet
  • 2022-12-01 20:45 GMT+1 - Update 1 veröffentlicht
https://zerforschung.org/posts/hive-de/
2022-11-30