Abo
  • Services:

Hetzner-Hack

Unverschlüsselte Passwörter beim Webhoster

Der gehackte Webhoster Hetzner Online hatte die Administratoren- und Kundenpasswörter lange Zeit nicht verschlüsselt abgelegt. Der mittlerweile bekannte Eindringling konnte die Daten aus einem früheren Angriff nutzen, um sich trotz verbesserter Sicherheit Zugang zu den Kundendaten zu verschaffen.

Artikel veröffentlicht am ,
Webhoster Hetzner Online arbeitet an mehr Sicherheit.
Webhoster Hetzner Online arbeitet an mehr Sicherheit. (Bild: Hetzner Online)

Hetzner Online wurde vom Unternehmer Tobias Huch gehackt, der schon einige Sicherheitslücken aufgedeckt hatte. Martin Hetzner dazu: "Vor geraumer Zeit wurden bei uns aufgrund einer sicherheitsrelevanten Schwachstelle in unseren Systemen Passwortdaten ausgespäht. Diese Sicherheitslücke wurde bereits vor einigen Monaten aufgrund von fortlaufenden Sicherheitsupdates auf unseren Servern geschlossen. Kürzlich wurden diese Passwortdaten wieder aufgegriffen und sich damit Zugang zu unseren Systemen verschafft."

Stellenmarkt
  1. Tupperware Deutschland GmbH, Frankfurt am Main
  2. Hamburg Südamerikanische Dampfschifffahrts-Gesellschaft A/S & Co KG, Hamburg

Die Passwörter auszuwerten war kein Problem: Sie waren unverschlüsselt gespeichert, wie aus einer Beschreibung von Hetzner hervorgeht. Das galt bis zum 12. September 2011 auch für das Zugangspasswort für das Login bei der Administrationsseite von Hetzners Shared Hosting und Managed Server (KonsoleH). Erst seit dem 13. September 2011 wurde dieses Passwort mit SHA256 und Salt abgesichert.

Am 6. Oktober meldete Hetzner den Servereinbruch und empfahl seinen Kunden den schnellen Austausch der Passwörter. Die Kundenkennwörter waren aber zumindest bis zum 7. Oktober 2011 noch unverschlüsselt. Das soll sich aber laut Hetzner ändern: "An der Verschlüsselung der restlichen Kennwörter im Managed Umfeld arbeiten wir - und werden unsere Systeme schrittweise umstellen - soweit das technisch realisierbar ist."

Tobias Huch gab gegenüber Hetzner Online an, von seiner Seite die erspähten Kundendaten "nicht missbräuchlich verwendet" zu haben. Allerdings könne nicht ausgeschlossen werden, dass andere Personen ebenfalls Zugriff auf die Systeme hatten. So hieß es seitens Hetzner vor der detaillierten Beschreibung der Vorgänge noch, dass nicht völlig ausgeschlossen werden könne, dass Kontodaten betroffen sind. Kunden wurden daher gebeten, ihre "Kontoaktivitäten in den nächsten Wochen genauer zu beobachten". Kreditkartendaten sollen nicht betroffen sein, da die Kreditkartenzahlungen über einen externen Dienstleister abgewickelt und deshalb keine Daten dazu gespeichert würden.

Martin Hetzner hat angekündigt, dass in den kommenden Tagen noch genauer untersucht werden müsse, "ob sich aufgrund der starken Vernetzung und der Infiltration der internen Systeme noch weitere Schwachstellen ergeben". Das könne zum jetzigen Zeitpunkt noch nicht ausgeschlossen werden. In den kommenden Tagen sollen deshalb in Kooperation mit Huch und einer externen Sicherheitsfirma die Hetzner-Server weiter untersucht werden.

"Wir möchten uns an dieser Stelle für Ihre bisherige Unterstützung, Ihre wertvolle Kritik und Ihr Vertrauen bedanken! Wir geben unser Bestes, und doch können wir Fehler nie völlig ausschließen. Wir wollen diese beziehungsweise jede Gelegenheit nutzen, um aus vergangenen Fehlern zu lernen und unsere Systeme und Konzepte weiter zu optimieren", so der Hetzner-Chef unter hetzner-status.de.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. 103,90€
  4. 399,00€ (Wert der Spiele rund 212,00€)

Bachsau 03. Apr 2012

@RipClaw: Genau deswegen verwendet man als vernüftiger Hoster kein CRAM MD5 mehr, zumal...

jack-jack-jack 09. Okt 2011

also kann man gleich alles freigeben, weil eh keiner haftet ?

likely 09. Okt 2011

Der Typ sah das ganze in einem Gespärch. Das hatte ihn Veraten durch einen...

ixiion 09. Okt 2011

Wir reden hier aber nicht über deinen Privathaushalt der Physikalisch begrenzt...

elgooG 09. Okt 2011

Eine unabhängige Zertifizierung wäre nicht schlecht, wobei das Siegel mindestens jedes...


Folgen Sie uns
       


Far Cry New Dawn - Test

Far Cry New Dawn ist eine wesentlich rundere und damit spaßigere Version von Far Cry 5 - wenn man über den Ingame-Shop hinwegsieht.

Far Cry New Dawn - Test Video aufrufen
Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  2. EU-Urheberrecht Die verdorbene Reform
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
Überwachung
Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
Von Harald Büring

  1. Österreich Bundesheer soll mehr Daten bekommen
  2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
  3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

    •  /