Abo
  • Services:
Anzeige
Webhoster Hetzner Online arbeitet an mehr Sicherheit.
Webhoster Hetzner Online arbeitet an mehr Sicherheit. (Bild: Hetzner Online)

Hetzner-Hack

Unverschlüsselte Passwörter beim Webhoster

Der gehackte Webhoster Hetzner Online hatte die Administratoren- und Kundenpasswörter lange Zeit nicht verschlüsselt abgelegt. Der mittlerweile bekannte Eindringling konnte die Daten aus einem früheren Angriff nutzen, um sich trotz verbesserter Sicherheit Zugang zu den Kundendaten zu verschaffen.

Hetzner Online wurde vom Unternehmer Tobias Huch gehackt, der schon einige Sicherheitslücken aufgedeckt hatte. Martin Hetzner dazu: "Vor geraumer Zeit wurden bei uns aufgrund einer sicherheitsrelevanten Schwachstelle in unseren Systemen Passwortdaten ausgespäht. Diese Sicherheitslücke wurde bereits vor einigen Monaten aufgrund von fortlaufenden Sicherheitsupdates auf unseren Servern geschlossen. Kürzlich wurden diese Passwortdaten wieder aufgegriffen und sich damit Zugang zu unseren Systemen verschafft."

Anzeige

Die Passwörter auszuwerten war kein Problem: Sie waren unverschlüsselt gespeichert, wie aus einer Beschreibung von Hetzner hervorgeht. Das galt bis zum 12. September 2011 auch für das Zugangspasswort für das Login bei der Administrationsseite von Hetzners Shared Hosting und Managed Server (KonsoleH). Erst seit dem 13. September 2011 wurde dieses Passwort mit SHA256 und Salt abgesichert.

Am 6. Oktober meldete Hetzner den Servereinbruch und empfahl seinen Kunden den schnellen Austausch der Passwörter. Die Kundenkennwörter waren aber zumindest bis zum 7. Oktober 2011 noch unverschlüsselt. Das soll sich aber laut Hetzner ändern: "An der Verschlüsselung der restlichen Kennwörter im Managed Umfeld arbeiten wir - und werden unsere Systeme schrittweise umstellen - soweit das technisch realisierbar ist."

Tobias Huch gab gegenüber Hetzner Online an, von seiner Seite die erspähten Kundendaten "nicht missbräuchlich verwendet" zu haben. Allerdings könne nicht ausgeschlossen werden, dass andere Personen ebenfalls Zugriff auf die Systeme hatten. So hieß es seitens Hetzner vor der detaillierten Beschreibung der Vorgänge noch, dass nicht völlig ausgeschlossen werden könne, dass Kontodaten betroffen sind. Kunden wurden daher gebeten, ihre "Kontoaktivitäten in den nächsten Wochen genauer zu beobachten". Kreditkartendaten sollen nicht betroffen sein, da die Kreditkartenzahlungen über einen externen Dienstleister abgewickelt und deshalb keine Daten dazu gespeichert würden.

Martin Hetzner hat angekündigt, dass in den kommenden Tagen noch genauer untersucht werden müsse, "ob sich aufgrund der starken Vernetzung und der Infiltration der internen Systeme noch weitere Schwachstellen ergeben". Das könne zum jetzigen Zeitpunkt noch nicht ausgeschlossen werden. In den kommenden Tagen sollen deshalb in Kooperation mit Huch und einer externen Sicherheitsfirma die Hetzner-Server weiter untersucht werden.

"Wir möchten uns an dieser Stelle für Ihre bisherige Unterstützung, Ihre wertvolle Kritik und Ihr Vertrauen bedanken! Wir geben unser Bestes, und doch können wir Fehler nie völlig ausschließen. Wir wollen diese beziehungsweise jede Gelegenheit nutzen, um aus vergangenen Fehlern zu lernen und unsere Systeme und Konzepte weiter zu optimieren", so der Hetzner-Chef unter hetzner-status.de.


eye home zur Startseite
Bachsau 03. Apr 2012

@RipClaw: Genau deswegen verwendet man als vernüftiger Hoster kein CRAM MD5 mehr, zumal...

jack-jack-jack 09. Okt 2011

also kann man gleich alles freigeben, weil eh keiner haftet ?

likely 09. Okt 2011

Der Typ sah das ganze in einem Gespärch. Das hatte ihn Veraten durch einen...

ixiion 09. Okt 2011

Wir reden hier aber nicht über deinen Privathaushalt der Physikalisch begrenzt...

elgooG 09. Okt 2011

Eine unabhängige Zertifizierung wäre nicht schlecht, wobei das Siegel mindestens jedes...



Anzeige

Stellenmarkt
  1. BVU Beratergruppe Verkehr + Umwelt GmbH, Freiburg
  2. Plansee Group Service GmbH, Reutte (Österreich)
  3. Aareon Deutschland GmbH, Mainz
  4. SCHUFA Holding AG, Wiesbaden


Anzeige
Blu-ray-Angebote
  1. 149,99€ (Vorbesteller-Preisgarantie)
  2. 139,99€ (Vorbesteller-Preisgarantie)
  3. 5,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Tipps für IT-Engagement in Fernost
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Elementary OS Loki im Test

    Hübsch und einfach kann auch kompliziert sein

  2. Mobilfunkausrüster

    Ericsson entlässt seinen Konzernchef

  3. Neuer Algorithmus

    Google verkleinert App-Downloads aus dem Play Store

  4. Brennstoffzelle

    Hazer will Wasserstoff günstiger machen

  5. Netze

    Huawei steigert Umsatz stark

  6. Gears of War 4

    Erstes PC-Spiel unterstützt dynamische Render-Auflösung

  7. Nintendo

    Gewinn steigt durch Pokémon Go kaum an

  8. Khronos

    Vulkan bekommt offizielle API für C++

  9. Bildbearbeitungs-App

    Prisma offiziell für Android erhältlich

  10. Kernel

    Linux 4.7 unterstützt AMDs Polaris



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Edward Snowden: Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
Edward Snowden
Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
  1. Qualcomm-Chips Android-Geräteverschlüsselung ist angreifbar
  2. Apple Nächstes iPhone soll keine Klinkenbuchse haben
  3. Smarte Hülle Android unter dem iPhone

  1. Re: Kein Geld Ausgeben

    Nogul | 11:56

  2. CDU Politiker kann man nicht mehr ernst nehmen

    FrankKi | 11:56

  3. Re: Kunden bekamen von Seafile Deutschland eine E...

    Nico82x | 11:55

  4. Re: Typisch Politiker...

    Niaxa | 11:54

  5. Re: Also genauso wie dynamische Auflösung bei...

    bark | 11:54


  1. 12:05

  2. 12:04

  3. 11:33

  4. 11:22

  5. 11:17

  6. 11:05

  7. 10:58

  8. 10:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel