Mal richtig schön gehackt zu werden – davor ist ja eigentlich keine Website ernsthaft gefeit. Obwohl da jetzt vielleicht Admins Protest einlegen und argumentieren, dass sie auf ihrem System immer brav alle Sicherheitsprobleme und Sicherheitsupdates mitverfolgen und diese sofort einspielen, dass sie bekannte Maßnahmen wie die Wahl eines zeitgemäßen Verschlüsselungs- und Hash- und Salt-Algorithmus für ihre Userdaten und Passwörter implementiert haben. Was jetzt genau bei Eurekalert schief gelaufen ist, das wissen die Betreiber am besten.
Auf jeden Fall wurde die Website gehackt.
Screenshot Eurekalert
Und die Brisanz liegt in diesem Fall darin, dass Eurekalert halt die Plattform ist, über die sich Journalisten vorab über die Veröffentlichungen informieren können, die in den führenden wissenschaftlichen Magazinen anstehen. Da gibt es jeweils eine Sperrfrist – nämlich das offizielle Erscheinungsdatum der Zeitschriften wie “Science” oder “Nature”. Der Sinn dieser Sperrfrist ist, dass man in Ruhe seine Interviews mit den Studienautoren führen kann, dass nicht ein einzelner vorprescht, der Zeitung den Neuigkeitseffekt versemmelt und der übrigen Berichterstattung vorzeitig und egoistisch die Luft rauslässt. Was letztlich dazu führen würde, dass weniger über die wissenschaftlichen Studien berichtet werden würde.
Ein bewährtes System also; Zuwiderhandlungen gegen die Sperrfrist werden übrigens ziemlich humorlos geahndet. Kürzlich hatte z.B. mal motherboard.vice.com eine Sperrfrist von “Science” gebrochen und musste dann recht peinlich Kotau machen. Im jetzigen Hacking-Fall hat allerdings der Hacker seine Beute per Twitter “angeboten” und wohl auch mindestens eine der gesperrten (“embargoed”) News geleakt. Als Reaktion blieb Eurekalert nichts anderes übrig, als die Notbremse zu ziehen und die Seite komplett vom Netz zu nehmen – offenbar sind News mit und ohne Sperrfrist nicht konzeptuell so getrennt, als dass man sich nur auf die “heiklen” Informationen hätte beschränken können.
Man darf also vermuten, dass in dieser Woche die Berichterstattung von Wissenschaftsjournalist(inn)en über aktuelle Studien etwas schwierig wird 😉 – und die vom Hack betroffenen Kollegen und Kolleginnen (ich auch…) müssen sich halt ein neues Passwort ausdenken. Und wenn sie auf der Eurekalert-Seite ein “Master-Passwort” verwendet haben, dann sollten sie dieses bei anderen Webdiensten auch schleunigst ändern. Ich bekenne mich ja übrigens auch schuldig: Mein Eurekalert-Passwort war so alt und so einfach, dass ich eigentlich schon lange mal gedacht hatte, das sollte ich mal ändern. Sonst wäre ich plötzlich auf der “schwarzen Liste” der Embargo-Brecher gelandet… Gottlob war das ja jetzt kein individueller, sondern ein globaler Hack 🙂 .
