Servereinbruch: Angreifer kopieren Kundendaten bei Hetzner

Der Webhoster Hetzner meldet einen Einbruch in seine Server. Dabei sollen Kundendaten kopiert worden sein. Die Passwörter und Zahlungsinformationen sind nicht ohne weiteres nutzbar. Kunden sollten ihre Passwörter dennoch umgehend ändern.

Artikel veröffentlicht am ,
Servereinbruch: Angreifer kopieren Kundendaten bei Hetzner
(Bild: Hetzner Online)

Über ein bislang unbekanntes Rootkit haben sich Einbrecher Zugang zu Servern des Webhosters Hetzner verschafft. Der Einbruch wurde bereits Ende vergangener Woche entdeckt. Das hat das fränkische Unternehmen seinen Kunden erst gestern mitgeteilt. Dabei wurden verschlüsselte Passwörter, Zahlungs- und Kreditkarteninformationen kopiert. Sie seien zwar ausreichend verschlüsselt, sollten aber dennoch geändert werden, schreibt das Unternehmen. Der Angriff sei schwer aufzuspüren gewesen, weil das Rootkit laufende Prozesse im Arbeitsspeicher manipuliert habe. Das Bundeskriminalamt ist informiert.

Stellenmarkt
  1. Workday Solutions Architect (m/w/d)
    DAW SE, Ober-Ramstadt bei Darmstadt
  2. Senior Frontend Developer (m/w/d)
    Seriotec GmbH, München
Detailsuche

Bei den gestohlenen Daten handelt es sich um die Passwörter für den Zugang zur Verwaltungsoberfläche Robot, die als Hash mit SHA256 und Salt gespeichert werden. Sie sind nur mit großem Aufwand per Bruteforce zu entschlüsseln. Kunden sollten die Passwörter dennoch möglichst bald neu setzen. Zwar haben die Einbrecher auch Kreditkarteninformationen gestohlen, laut Hetzner werden aber lediglich die letzten drei Ziffern der Kreditkartennummer sowie der Kartentyp und das Ablaufdatum gespeichert. Alle anderen Informationen sind demnach bei einem externen Dienstleister abgelegt und nur über Pseudokartennummern verknüpft. Daher betrachtet Hetzner die Kreditkartendaten nicht als kompromittiert.

Noch unbekanntes Rootkit

In dem Verwaltungswerkzeug Robot werden auch Bankdaten der Kunden gespeichert, die per Lastschrift bezahlen. Diese seien zwar asymmetrisch verschlüsselt, nach dem derzeitigen Kenntnisstand sei aber nicht auszuschließen, dass die Einbrecher nicht auch die dazugehörigen Kryptoschlüssel erbeutet haben. Außerdem sei das gesamte Ausmaß des Einbruchs noch nicht überschaubar. Mit einem externen Sicherheitsunternehmen werde der Angriff derzeit analysiert.

Eine erste Untersuchung habe ergeben, dass die Einbrecher ein bislang unbekanntes Rootkit verwendeten, das SSH- und Apache-Prozesse im Arbeitsspeicher manipuliert. Die Manipulationen greifen ohne Neustart der Dienste. Auf der Festplatte wurden dabei keine Dateien manipuliert, weshalb herkömmliche Werkzeuge wie Rootkit-Detektoren oder Überwachungswerkzeuge, die die Integrität von Dateien überwachen, nicht funktionierten. Das Rootkit wurde zuerst auf einem Nagios-Server des Unternehmens entdeckt. Wie sich die Einbrecher Zugriff auf den Server verschafften, ist derzeit ebenfalls nicht bekannt.

Golem Karrierewelt
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
Weitere IT-Trainings

Den aktuellen Kenntnisstand des Einbruchs und die möglichen Konsequenzen für Kunden hat Hetzner auf einer Wikiseite zusammengestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


phade 10. Jun 2013

Hm, wenn du von uns eine einzige IP auf einer Blacklist findest, kriegst du was...

phade 10. Jun 2013

Gute Kommunikation ist zwar schoen, loest aber das eigentliche Problem nicht. Habe gerade...

phade 10. Jun 2013

Immer dieses unwissende Gebrabbel ... Nein, sowas passiert bei uns nicht, wir werden...

AlexanderSchäfer 07. Jun 2013

Leider gab es darüber keinen Bericht hier...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /