Hetzner-Hack

Unverschlüsselte Passwörter beim Webhoster

Der gehackte Webhoster Hetzner Online hatte die Administratoren- und Kundenpasswörter lange Zeit nicht verschlüsselt abgelegt. Der mittlerweile bekannte Eindringling konnte die Daten aus einem früheren Angriff nutzen, um sich trotz verbesserter Sicherheit Zugang zu den Kundendaten zu verschaffen.

Artikel veröffentlicht am ,
Webhoster Hetzner Online arbeitet an mehr Sicherheit.
Webhoster Hetzner Online arbeitet an mehr Sicherheit. (Bild: Hetzner Online)

Hetzner Online wurde vom Unternehmer Tobias Huch gehackt, der schon einige Sicherheitslücken aufgedeckt hatte. Martin Hetzner dazu: "Vor geraumer Zeit wurden bei uns aufgrund einer sicherheitsrelevanten Schwachstelle in unseren Systemen Passwortdaten ausgespäht. Diese Sicherheitslücke wurde bereits vor einigen Monaten aufgrund von fortlaufenden Sicherheitsupdates auf unseren Servern geschlossen. Kürzlich wurden diese Passwortdaten wieder aufgegriffen und sich damit Zugang zu unseren Systemen verschafft."

Stellenmarkt
  1. Product Lead (f/m/d)
    NEXPLORE Technology GmbH, Essen, Darmstadt, München
  2. IT-Systembetreuer (m/w/d)
    Pickenpack Seafoods GmbH, Lüneburg
Detailsuche

Die Passwörter auszuwerten war kein Problem: Sie waren unverschlüsselt gespeichert, wie aus einer Beschreibung von Hetzner hervorgeht. Das galt bis zum 12. September 2011 auch für das Zugangspasswort für das Login bei der Administrationsseite von Hetzners Shared Hosting und Managed Server (KonsoleH). Erst seit dem 13. September 2011 wurde dieses Passwort mit SHA256 und Salt abgesichert.

Am 6. Oktober meldete Hetzner den Servereinbruch und empfahl seinen Kunden den schnellen Austausch der Passwörter. Die Kundenkennwörter waren aber zumindest bis zum 7. Oktober 2011 noch unverschlüsselt. Das soll sich aber laut Hetzner ändern: "An der Verschlüsselung der restlichen Kennwörter im Managed Umfeld arbeiten wir - und werden unsere Systeme schrittweise umstellen - soweit das technisch realisierbar ist."

Tobias Huch gab gegenüber Hetzner Online an, von seiner Seite die erspähten Kundendaten "nicht missbräuchlich verwendet" zu haben. Allerdings könne nicht ausgeschlossen werden, dass andere Personen ebenfalls Zugriff auf die Systeme hatten. So hieß es seitens Hetzner vor der detaillierten Beschreibung der Vorgänge noch, dass nicht völlig ausgeschlossen werden könne, dass Kontodaten betroffen sind. Kunden wurden daher gebeten, ihre "Kontoaktivitäten in den nächsten Wochen genauer zu beobachten". Kreditkartendaten sollen nicht betroffen sein, da die Kreditkartenzahlungen über einen externen Dienstleister abgewickelt und deshalb keine Daten dazu gespeichert würden.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.01.2023, virtuell
Weitere IT-Trainings

Martin Hetzner hat angekündigt, dass in den kommenden Tagen noch genauer untersucht werden müsse, "ob sich aufgrund der starken Vernetzung und der Infiltration der internen Systeme noch weitere Schwachstellen ergeben". Das könne zum jetzigen Zeitpunkt noch nicht ausgeschlossen werden. In den kommenden Tagen sollen deshalb in Kooperation mit Huch und einer externen Sicherheitsfirma die Hetzner-Server weiter untersucht werden.

"Wir möchten uns an dieser Stelle für Ihre bisherige Unterstützung, Ihre wertvolle Kritik und Ihr Vertrauen bedanken! Wir geben unser Bestes, und doch können wir Fehler nie völlig ausschließen. Wir wollen diese beziehungsweise jede Gelegenheit nutzen, um aus vergangenen Fehlern zu lernen und unsere Systeme und Konzepte weiter zu optimieren", so der Hetzner-Chef unter hetzner-status.de.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bachsau 03. Apr 2012

@RipClaw: Genau deswegen verwendet man als vernüftiger Hoster kein CRAM MD5 mehr, zumal...

jack-jack-jack 09. Okt 2011

also kann man gleich alles freigeben, weil eh keiner haftet ?

likely 09. Okt 2011

Der Typ sah das ganze in einem Gespärch. Das hatte ihn Veraten durch einen...

ixiion 09. Okt 2011

Wir reden hier aber nicht über deinen Privathaushalt der Physikalisch begrenzt...



Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  2. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

  3. Konflikt mit den USA: Snowden verteidigt seine russische Staatsbürgerschaft
    Konflikt mit den USA
    Snowden verteidigt seine russische Staatsbürgerschaft

    Eigentlich wollte Edward Snowden parallel die US-amerikanische Staatsbürgerschaft behalten - das wurde ihm unmöglich gemacht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /