WHMCS: Hacks und Social Engineering bei Finanzdienstleister
Das Unternehmen WHMCS, das Abrechnungsdienste für Internetangebote bietet, ist durch einen umfassenden Angriff der Hackergruppe UGNazi kompromittiert worden. Benutzerdaten, Kreditkarteninformationen und komplette Server-Dumps wurden veröffentlicht.
Seit mehreren Tagen gibt es eine Vielzahl von Angriffen gegen das Unternehmen WHMCS. Die Firma ist ein klassischer Billigprovider, sie stellt für Onlineangebote Schnittstellen zu Abrechnungssystemen wie Paypal bereit. Daher behandelt und speichert WHMCS auch Personendaten von Anwendern sowie Kreditkarteninformationen. Solche Unternehmen, die eigentlich besonders sicher arbeiten sollten, sind häufig ein Ziel von Hackern.
Diesmal begannen die Angriffe laut einem Blogpost von WHMCS aber nicht mit einer technischen Attacke, sondern durch Social Engineering. Eine unbekannte Person rief bei dem Provider an, bei dem WHMCS seine Server betreibt. Alle Fragen zur Identifizierung wurden richtig beantwortet, und so erlangte der Angreifer Administratorzugang zu den Servern.
In der Folge kam es sowohl zum Diebstahl von Daten als auch zur Beschädigung der Infrastruktur. Die Onlineangebote von WHMCS gingen der Reihe nach offline. Sobald es dem Unternehmen wieder gelang, beispielsweise die Homepage wieder zugänglich zu machen, begannen DDoS-Attacken. Die Hackergruppe UGNazi bekannte sich per Pastebin zu den Angriffen und bestätigte auch, dass WHMCS einen "unsicheren Provider" gewählt habe. Ob sich das auf technische Lücken oder auf die Anfrage per Telefon bezog, geht daraus nicht hervor.
Bei den Attacken wurden zwar Daten entwendet, sie sind dem Unternehmen zufolge aber verschlüsselt. Das gilt auch für die rund 500.000 Kreditkarten als auch die Zugangsdaten der Onlineunternehmen, welche die Dienste von WHMCS nutzen. Der Dienstleister sucht nun nach einem neuen Provider und hat das FBI eingeschaltet. Bisher laufen die Systeme des Dienstleisters noch nicht, das soll erst nach einem Umzug zu einem neuen Provider wieder der Fall sein.
Unmittelbaren Schaden für die zuvor laufenden Geschäfte hat WHMCS auch zu verzeichnen. Alle Supportanfragen und Transaktionen, die während der 17 Stunden zur Hochzeit der Angriffe getätigt werden sollen, sind verloren. Ebenso wurde die Maildatenbank gestohlen, die Hacker haben sie sowie die anderen Daten in SQL-Dumps veröffentlicht.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Mag ja sein, dass der Provider "billig" ist, aber vor allem ist es ein Billing-Provider. :)