Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Servereinbruch: Angreifer kopieren Kundendaten bei Hetzner

Der Webhoster Hetzner meldet einen Einbruch in seine Server. Dabei sollen Kundendaten kopiert worden sein. Die Passwörter und Zahlungsinformationen sind nicht ohne weiteres nutzbar. Kunden sollten ihre Passwörter dennoch umgehend ändern.
/ Jörg Thoma
85 Kommentare News folgen (öffnet im neuen Fenster)
Bild: Hetzner Online

Über ein bislang unbekanntes Rootkit haben sich Einbrecher Zugang zu Servern des Webhosters Hetzner verschafft. Der Einbruch wurde bereits Ende vergangener Woche entdeckt. Das hat das fränkische Unternehmen seinen Kunden erst gestern mitgeteilt. Dabei wurden verschlüsselte Passwörter, Zahlungs- und Kreditkarteninformationen kopiert. Sie seien zwar ausreichend verschlüsselt, sollten aber dennoch geändert werden, schreibt das Unternehmen. Der Angriff sei schwer aufzuspüren gewesen, weil das Rootkit laufende Prozesse im Arbeitsspeicher manipuliert habe. Das Bundeskriminalamt ist informiert.

Bei den gestohlenen Daten handelt es sich um die Passwörter für den Zugang zur Verwaltungsoberfläche Robot, die als Hash mit SHA256 und Salt gespeichert werden. Sie sind nur mit großem Aufwand per Bruteforce zu entschlüsseln. Kunden sollten die Passwörter dennoch möglichst bald neu setzen. Zwar haben die Einbrecher auch Kreditkarteninformationen gestohlen, laut Hetzner werden aber lediglich die letzten drei Ziffern der Kreditkartennummer sowie der Kartentyp und das Ablaufdatum gespeichert. Alle anderen Informationen sind demnach bei einem externen Dienstleister abgelegt und nur über Pseudokartennummern verknüpft. Daher betrachtet Hetzner die Kreditkartendaten nicht als kompromittiert.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Noch unbekanntes Rootkit

In dem Verwaltungswerkzeug Robot werden auch Bankdaten der Kunden gespeichert(öffnet im neuen Fenster), die per Lastschrift bezahlen. Diese seien zwar asymmetrisch verschlüsselt, nach dem derzeitigen Kenntnisstand sei aber nicht auszuschließen, dass die Einbrecher nicht auch die dazugehörigen Kryptoschlüssel erbeutet haben. Außerdem sei das gesamte Ausmaß des Einbruchs noch nicht überschaubar. Mit einem externen Sicherheitsunternehmen werde der Angriff derzeit analysiert.

Eine erste Untersuchung habe ergeben, dass die Einbrecher ein bislang unbekanntes Rootkit verwendeten, das SSH- und Apache-Prozesse im Arbeitsspeicher manipuliert. Die Manipulationen greifen ohne Neustart der Dienste. Auf der Festplatte wurden dabei keine Dateien manipuliert, weshalb herkömmliche Werkzeuge wie Rootkit-Detektoren oder Überwachungswerkzeuge, die die Integrität von Dateien überwachen, nicht funktionierten. Das Rootkit wurde zuerst auf einem Nagios-Server des Unternehmens entdeckt. Wie sich die Einbrecher Zugriff auf den Server verschafften, ist derzeit ebenfalls nicht bekannt.

Den aktuellen Kenntnisstand des Einbruchs und die möglichen Konsequenzen für Kunden hat Hetzner auf einer Wikiseite(öffnet im neuen Fenster) zusammengestellt.

Zur Startseite 85 Kommentare

Relevante Themen

VerschlüsselungPolitikSecurityWirtschaftUnternehmenDatensicherheit