Abo
  • Services:

Hetzner-Hack

Unverschlüsselte Passwörter beim Webhoster

Der gehackte Webhoster Hetzner Online hatte die Administratoren- und Kundenpasswörter lange Zeit nicht verschlüsselt abgelegt. Der mittlerweile bekannte Eindringling konnte die Daten aus einem früheren Angriff nutzen, um sich trotz verbesserter Sicherheit Zugang zu den Kundendaten zu verschaffen.

Artikel veröffentlicht am ,
Webhoster Hetzner Online arbeitet an mehr Sicherheit.
Webhoster Hetzner Online arbeitet an mehr Sicherheit. (Bild: Hetzner Online)

Hetzner Online wurde vom Unternehmer Tobias Huch gehackt, der schon einige Sicherheitslücken aufgedeckt hatte. Martin Hetzner dazu: "Vor geraumer Zeit wurden bei uns aufgrund einer sicherheitsrelevanten Schwachstelle in unseren Systemen Passwortdaten ausgespäht. Diese Sicherheitslücke wurde bereits vor einigen Monaten aufgrund von fortlaufenden Sicherheitsupdates auf unseren Servern geschlossen. Kürzlich wurden diese Passwortdaten wieder aufgegriffen und sich damit Zugang zu unseren Systemen verschafft."

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. OSRAM GmbH, München

Die Passwörter auszuwerten war kein Problem: Sie waren unverschlüsselt gespeichert, wie aus einer Beschreibung von Hetzner hervorgeht. Das galt bis zum 12. September 2011 auch für das Zugangspasswort für das Login bei der Administrationsseite von Hetzners Shared Hosting und Managed Server (KonsoleH). Erst seit dem 13. September 2011 wurde dieses Passwort mit SHA256 und Salt abgesichert.

Am 6. Oktober meldete Hetzner den Servereinbruch und empfahl seinen Kunden den schnellen Austausch der Passwörter. Die Kundenkennwörter waren aber zumindest bis zum 7. Oktober 2011 noch unverschlüsselt. Das soll sich aber laut Hetzner ändern: "An der Verschlüsselung der restlichen Kennwörter im Managed Umfeld arbeiten wir - und werden unsere Systeme schrittweise umstellen - soweit das technisch realisierbar ist."

Tobias Huch gab gegenüber Hetzner Online an, von seiner Seite die erspähten Kundendaten "nicht missbräuchlich verwendet" zu haben. Allerdings könne nicht ausgeschlossen werden, dass andere Personen ebenfalls Zugriff auf die Systeme hatten. So hieß es seitens Hetzner vor der detaillierten Beschreibung der Vorgänge noch, dass nicht völlig ausgeschlossen werden könne, dass Kontodaten betroffen sind. Kunden wurden daher gebeten, ihre "Kontoaktivitäten in den nächsten Wochen genauer zu beobachten". Kreditkartendaten sollen nicht betroffen sein, da die Kreditkartenzahlungen über einen externen Dienstleister abgewickelt und deshalb keine Daten dazu gespeichert würden.

Martin Hetzner hat angekündigt, dass in den kommenden Tagen noch genauer untersucht werden müsse, "ob sich aufgrund der starken Vernetzung und der Infiltration der internen Systeme noch weitere Schwachstellen ergeben". Das könne zum jetzigen Zeitpunkt noch nicht ausgeschlossen werden. In den kommenden Tagen sollen deshalb in Kooperation mit Huch und einer externen Sicherheitsfirma die Hetzner-Server weiter untersucht werden.

"Wir möchten uns an dieser Stelle für Ihre bisherige Unterstützung, Ihre wertvolle Kritik und Ihr Vertrauen bedanken! Wir geben unser Bestes, und doch können wir Fehler nie völlig ausschließen. Wir wollen diese beziehungsweise jede Gelegenheit nutzen, um aus vergangenen Fehlern zu lernen und unsere Systeme und Konzepte weiter zu optimieren", so der Hetzner-Chef unter hetzner-status.de.



Anzeige
Top-Angebote
  1. (u. a. HP Omen 1100 Gaming-Tastatur für 49,99€ statt 79,99€ und HP 15.6" Topload Tasche...
  2. 86,90€ statt 119,40€ im Vergleich

Bachsau 03. Apr 2012

@RipClaw: Genau deswegen verwendet man als vernüftiger Hoster kein CRAM MD5 mehr, zumal...

jack-jack-jack 09. Okt 2011

also kann man gleich alles freigeben, weil eh keiner haftet ?

likely 09. Okt 2011

Der Typ sah das ganze in einem Gespärch. Das hatte ihn Veraten durch einen...

ixiion 09. Okt 2011

Wir reden hier aber nicht über deinen Privathaushalt der Physikalisch begrenzt...

elgooG 09. Okt 2011

Eine unabhängige Zertifizierung wäre nicht schlecht, wobei das Siegel mindestens jedes...


Folgen Sie uns
       


Shift 6m - Hands on (Cebit 2018)

Der Hersteller beschreibt das neue Shift 6M als nachhaltig und Highend - wir haben es uns auf der Cebit 2018 angesehen.

Shift 6m - Hands on (Cebit 2018) Video aufrufen
CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
    Volocopter 2X
    Das Flugtaxi, das noch nicht abheben darf

    Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
    Von Nico Ernst

    1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
    2. Cityairbus Mit Siemens soll das Lufttaxi abheben
    3. Verkehr Porsche entwickelt Lufttaxi

    In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
    In eigener Sache
    Freie Schreiber/-innen für Jobthemen gesucht

    IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

    1. Leserumfrage Wie sollen wir Golem.de erweitern?
    2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
    3. Leserumfrage Wie gefällt Ihnen Golem.de?

      •  /