Gameserver: Datenleck bei Zap Hosting

Der Gameserver-Hoster Zap hat seine Kunden über einen Sicherheitsvorfall informiert, in dem auch Kundendaten abhanden gekommen sind. Diese seien Mitte März im Internet veröffentlicht worden. Der Hoster hatte seine Kunden nach eigenen Angaben bereits per Newsletter informiert.

Demnach fanden die Angriffe auf die Infrastruktur des Hostinganbieters zwischen dem 13. und 15. März statt. Dabei habe es sich um "mehrere sehr gezielte Angriffe auf interne Dienste unserer Infrastruktur" gehandelt, schreibt Zap Hosting. Durch eine eine Analyse des Angriffs und eine Absicherung der betroffenen Systeme habe man den Schaden weitestgehend begrenzen können. Die Infrastruktur sei nach 48 Stunden "wieder nahezu vollständig lauffähig" gewesen.

Parallel zu den Angriffen sei ein "Datenbank-Dump des Kundenportals mit Datenstand 22.11.2021" im Internet veröffentlicht worden. Der Hosting-Anbieter vermutet einen Zusammenhang zwischen den Angriffen und der Veröffentlichung der Datenbank, welche die Nutzernamen und E-Mail-Adressen der Kunden enthalte. "Sofern Adressdaten bei der Bestellung eines Vertrags-Servers angegeben wurden oder es Chat-Verläufe mit dem Kundensupport gegeben hat, können auch diese in dem genannten Dump enthalten sein", heißt es in der Mitteilung an die Kunden.

Keine Zahlungsdaten, aber verschlüsselte Passwörter enthalten

Passwörter zum Kundenportal von Zap mit Ausnahme der Subuser-Accounts, die per E-Mail zugestellt und bereits zurückgesetzt worden seien, seien mit dem Passwort-Hashverfahren Bcrypt geschützt, erklärte Zap Hosting auf Nachfrage von Golem.de. Dennoch rät der Hosting-Anbieter zu einer Änderung des Kundenpasswortes und betont, dass "Kreditkarten-Daten oder andere Zahlungsinformationen mit Sicherheitsmerkmalen" nicht betroffen seien.

Von den vermutlich bereits im vergangenen Jahr kopierten Daten habe man erst mit deren Veröffentlichung Mitte März erfahren, erklärt Zap Hosting. Entsprechend habe man die Kunden auch nicht früher informieren können. Einen Erpressungsversuch oder Verhandlungen mit den Tätern habe es nicht gegeben, betont der Hostinganbieter. Als Ziel hinter den Angriffen und der Veröffentlichung der Daten wird ein Imageschaden für das Unternehmen vermutet. Neben einer Entschuldigung hat Zap Hosting einen 20-Euro-Gutschein an seine Nutzer verteilt.

Der Datenschutzbeauftragte sei umgehend informiert worden, betonte Zap Hosting auf Nachfrage von Golem.de. Auch mit der Polizei stehe man im Kontakt: "Es wurde umgehend Anzeige erstattet und die Ermittlungen laufen auf Hochtouren", sagte der Hosting-Anbieter. Nähere Angaben dazu könne man im Moment noch nicht machen, da man die Ermittlungen nicht gefährden wolle.

Nachtrag vom 22. März 2022, 16:32 Uhr

Antworten von Zap Hosting im Text ergänzt.