Open-Source-Dienst missbraucht: 14.000 Phishing-Opfer

Diese Geschichte sollte jeder lesen, der auch nur einen einzigen Dienst öffentlich im Netz betreibt: Der Entwickler Andrej Acevski beschreibt in einem bemerkenswert ehrlichen Blogpost, wie ein Botnetz die gehostete Version seines Open-Source-Projekts missbrauchte — um damit rund 14.000 fremde Menschen zu phishen. Er selbst bemerkte davon: nichts. Monatelang.

SO lief der Missbrauch ab

Das Muster ist perfide einfach. Acevski bot — wie viele Open-Source-Entwickler — eine kostenlose Hosted-Version seines Projekts an: anmelden, loslegen, fertig. Genau diese Bequemlichkeit nutzte das Botnetz aus. Es legte automatisiert Accounts an und baute über den Dienst Phishing-Inhalte, die auf den ersten Blick von einer legitimen Domain mit sauberem Ruf kamen — nämlich seiner.

Für die Opfer sah alles vertrauenswürdig aus: echtes TLS-Zertifikat, etablierte Domain, kein Spam-Verdacht. Für Spam-Filter ebenfalls. Erst durch die Aufarbeitung wurde das Ausmaß klar: 14.000 Betroffene, getäuscht über die Infrastruktur eines Einzelentwicklers, der eigentlich nur der Community etwas Gutes tun wollte.

GEFAHR! Warum das jeden Self-Hoster angeht

Man könnte denken: „Betrifft mich nicht, ich hoste nur für mich.“ Aber die Mechanik dahinter ist universell. Sobald dein Dienst öffentlich erreichbar ist und Inhalte annimmt — Registrierung, Datei-Upload, Link-Shortener, Formulare, Kommentare —, bist du ein potenzielles Werkzeug für Missbrauch. Kriminelle scannen das Netz automatisiert nach genau solchen offenen Diensten. Dein Server, deine Domain, dein Ruf — deren Tarnung.

Die Lehren aus dem Vorfall

Erstens: Offene Registrierung nur mit Schutzmechanismen — Rate-Limits, Captcha oder Invite-System. Zweitens: Outbound-Inhalte überwachen: Wer verschickt was über deine Infrastruktur? Drittens: Einen erreichbaren Abuse-Kontakt pflegen — Acevski erfuhr von dem Missbrauch erst spät, auch weil Meldewege fehlten. Viertens: Logs aufheben, sonst ist im Ernstfall keine Aufarbeitung möglich. Und fünftens, vielleicht am wichtigsten: Wer einen Gratis-Hosted-Dienst anbietet, übernimmt Verantwortung für Menschen, die er nie getroffen hat — das sollte in jede Projekt-Planung einfließen.

FAZIT: Ehrlichkeit, die der Szene weiterhilft

Acevski hätte schweigen können — stattdessen dokumentiert er Fund, Aufräumarbeiten und Versäumnisse öffentlich. Genau diese Transparenz macht den Beitrag so wertvoll: Sie zeigt ungeschönt, was es heißt, „mal eben“ eine Cloud für Fremde zu betreiben. Pflichtlektüre.

Häufige Fragen

Was ist konkret passiert?

Ein Botnetz registrierte automatisiert Accounts bei der kostenlosen Hosted-Version eines Open-Source-Projekts und nutzte den Dienst, um Phishing-Inhalte über die vertrauenswürdige Domain des Entwicklers auszuspielen. Rund 14.000 Menschen wurden so getäuscht, bevor der Missbrauch entdeckt und bereinigt wurde.

Welches Projekt war betroffen?

Der Entwickler Andrej Acevski beschreibt den Vorfall in seinem persönlichen Blog. Welche Software dahintersteht, ist für die Lehren zweitrangig — das Missbrauchsmuster funktioniert bei praktisch jedem öffentlich erreichbaren Dienst, der Nutzerinhalte annimmt und ausliefert.

Wie schütze ich meine eigene öffentliche Instanz?

Begrenze offene Registrierungen (Invite, Captcha, E-Mail-Verifikation), setze Rate-Limits, überwache ausgehende Inhalte und Logs, und richte einen klar auffindbaren Abuse-Kontakt ein. Prüfe außerdem regelmäßig, ob deine Domain auf Blocklisten auftaucht — das ist oft das erste Warnsignal.

Bin ich rechtlich haftbar, wenn mein Dienst missbraucht wird?

Das hängt vom Einzelfall und von deinem Land ab. Wer zumutbare Schutzmaßnahmen trifft und auf Missbrauchsmeldungen schnell reagiert, steht deutlich besser da als Betreiber, die Hinweise ignorieren. Ich bin kein Anwalt — bei kommerziellen Angeboten lohnt eine echte Rechtsberatung.

Quellen: Andrej Acevski: Someone used my open source project to phish 14,000 people · Self-Host Weekly (5. Juni 2026)

ALBTRAUM! Botnetz kapert harmloses Open-Source-Projekt — 14.000 Menschen gephisht, der Entwickler ahnte NICHTS