<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

26.10.12

Albtraum für Startups und Website-Betreiber: Bookmarkingdienst Diigo wird Opfer von Domaindieb

Der Social-Bookmarking-Dienst Diigo hat seine primäre Adresse diigo.com an einen Domaindieb verloren. Es ist nicht der erste Fall dieser Art.

Update: Diigo hat unerwartet schnell die Kontrolle über seine Domain zurückgewinnen können. Siehe Nachtrag am Ende des Artikels.

Gibt es ein für einen Onlineservice ähnlich dramatisches Ereignis, wie wenn sich Eindringlinge Zugang zu Nutzerdaten verschaffen? Fragt man die Betreiber des Social-Bookmarking-Angebots Diigo, so dürften sie diese Frage mit einem klaren "Ja" beantworten. Denn dem 2006 gegründeten Dienst aus Reno in Nevada, rund 350 Kilometer von San Francisco entfernt, ist seine primäre Domain diigo.com von einem Cyberganoven gestohlen und auf eine mit Werbung gepflasterte Domain-Parking-Seite umgeleitet worden.

Aufmerksam auf den Vorfall wurde ich, als ich am Morgen meine Diigo-Erweiterung im Browser betätigte, um einen gelesenen Artikel zu bookmarken, und daraufhin auf verschiedenste dubiose Webangebote geleitet wurde. Diigo funktioniert ähnlich wie andere Bookmarking-Services à la Delicious, Pinboard, Mister Wong oder Oneview und bringt zusätzliche eine Reihe von Tools zum Hinterlassen von Notizen und Anmerkungen auf Websites mit. Warum ich vor Jahren ausgerechnet bei Diigo gelandet bin, weiß ich nicht mehr, aber mittlerweile habe ich dort über 15.000 Links zu Meldungen aus der Onlinewelt zur schnelleren, gezielteren Recherche gespeichert. Täglich kommen rund zehn bis 20 hinzu.

Als Glück im Unglück könnte man es bezeichnen, dass die Diigo-Gründer Wade Ren, Maggie Tsai und Joel Liu mit diigo.net eine praktische Ausweichdomain besitzen, über die das Angebot weiterhin erreichbar ist, und die auch zur Information der Diigo-Nutzerschaft verwendet wird - sofern Anwender die alternative URL kennen oder finden. Eine Mail an die Mitglieder hat das Diigo-Team bisher nicht verschickt, hält Neugierige aber über den Twitter-Feed auf dem Laufenden.

In einer mit der aufmerksamkeitsweckenden Überschrift "Emergency Announcement - Must Read" betitelten Mitteilung erläutert das nicht mehr ganz so junge Startup kurz, was geschah: Demnach habe sich jemand Zugang zu Diigos Domainkonto beim Registrar Yahoo verschafft und die Adresse gekapert. Das Unternehmen betont, dass der Angreifer keinen Zugriff auf Server oder Anwenderdaten habe, es handele sich also allein um die Übername der Domain diigo.com. Da sämtliche Browser-Erweiterungen und Bookmarklets an diigo.com geknüpft sind, haben die Macher in aller Eile ein temporäres Bookmarklet für diigo.net bereitgestellt .

Das Diigo-Team verweist auf einen ähnlich gelagerten Fall vom September, der ein näheres Verständnis darüber gibt, auf welche Weise Domains in Fremde, wenig vertrauensselige Hände fallen konnte: Der Besitzer der Domain howardforums.com loggte sich nach eigener Beschreibung trotz eines mulmigen Gefühls an einem öffentlichen Hotel-Computer in sein E-Mail-Konto ein. Auf dem Rechner müsse sich ein "Keylogger" befunden haben, der die Zugansdaten mitschnitt und heimlich an den Domain-Hijacker übermittelte, so seine Vermutung. Über den Zugriff auf die persönlichen Mails könnte der Angreifer schließlich Zugang zum Account beim Domainregistrar erlangen und einen Transfer der Domain einleiten.

Sucht man bei Google nach dem jetzt im Whois zu diigo.com aufgelisteten Domainbesitzer, einem gewissen Anri Tepelikyan, stößt man auf einen weiteren Fall vom Juli dieses Jahres, der nach ähnlichem Muster verlief. Nach den Schilderungen des damals Betroffenen meldete sich der Hijacker kurze Zeit nach der Domainübernahme beim bisherigen Besitzer mit einem Angebot, diesem die Domain zurückzugeben - gegen Bezahlung, versteht sich. Für zwei damals involvierte Adressen forderte der Domaindieb 999 Dollar.

Auch Diigo muss sich also auf einen derartigen Erpressungsversuch einstellen. Nur dürfte die geforderte Summe in diesem Fall über 999 Dollar liegen. Der Social-Bookmarking-Service gehört zwar nicht zu den meistbesuchten Websites dieses Planeten, besitzt mit einem Google PageRank von 7 aber durchaus einen hohen Wert - von Umsatzverlusten bei Diigo durch den Ausfall der Domain einmal ganz abgesehen. Mehr als zwei Millionen User waren im April 2011 bei dem Service registriert, der eine werbefinanzierte Gratisversion und eine kostenpflichtige Premium-Variante anbietet.

Auch wenn die Aussichten für Diigo, der .com-Domain wieder habhaft zu werden, aufgrund des eindeutig kriminellen Hintergrunds nicht schlecht stehen, so entsteht dem Dienst durch die mindestens einige Tage, wenn nicht Wochen andauernde Nicht-Verfügbarkeit ein Schaden und viel Aufwand, den jeder Betreiber einer gut besuchten Website gerne vermeiden würde. Insofern dient das für die US-Amerikaner sehr unangenehme Ereignis als Beleg dafür, wie wichtig es ist, auch da notwendige Sicherheitsvorkehrungen zu treffen, wo man eventuell gar nicht mit einer feindlichen Attacke rechnet. Diese Vorkehrungen reichen vom Verzicht auf den Login in persönliche Konten mittels öffentlicher Rechner und unsicherer Internetverbindungen sowie das Löschen sämtlicher Zugangsdaten enthaltenden Mails aus dem Postfach bis hin zur Aktivierung einer 2-Faktor-Authentifizierung, wo vorhanden. Hoster und Domainanbieter wiederum müssen alles dafür tun, um dem widerrechtlichen Transfer von Domains durch Fremde einen Riegel vorzuschieben.

Der heutige Freitag ist ideal dafür, um einige Minuten darüber nachzudenken, ob alles Erdenkliche dafür getan wurde, damit der eigenen Domain nicht das selbe Schicksal blüht wie diigo.com.

Update: Diigo hat unerwartet schnell die Kontrolle über seine Domain betitelten Mitteilung . Nach Aussage des Unternehmens hat der Domaindieb sogar bei Yahoo angerufen und sich als Vertreter von Diigo ausgegeben, um den Transfer der Adresse zu erwirken.

Update 2: Jetzt berichtet auch TechCrunch über den Vorfall und bringt Licht ins Dunkel der Frage, wie Diigo seine Domain so schnell wieder in die Hände bekommen konnte: Tatsächlich meldete sich der Dieb unmittelbar bei dem Unternehmen und bot eine Freigabe der Domain an, sofern er dafür bezahlt würde. Diigo-Chef Wade Ren ging auf dieses Angebot ein. Anders als vermutet kam das Startup relativ günstig davon: es soll sich wie im weiter oben genannten Fall "nur" um eine Summe im dreistelligen Dollarbereich gehandelt haben.

Förderland-Newsletter

Wissen für Gründer und Unternehmer