Hackerangriff: Kundendaten von Webhoster Hetzner kopiert

    7. Juni 2013, 09:15
    26 Postings

    Angreifer sollen auf einem technisch sehr hohen Niveau vorgegangen sein

    Der deutsche Webhoster Hetzner gab bekannt, Opfer eines Hackerangriffs geworden zu sein. Bei der Attacke sollen Kundendaten kopiert worden sein. Wie Heise berichtet, haben sich die Angreifer Zugriff auf Passwort-Hashes und Zahlungsinformationen verschafft, indem ein bisher unbekanntes Server-Rootkit eingesetzt wurde. Die Information ging per E-Mail an alle Kunden des Unternehmens.

    Zugang zu Kundendaten

    Von dem Angriff waren laut Hetzner vergangene Woche mehrere Systeme betroffen. Auf die Schliche kam man den Angreifern, nachdem eine Lücke in einem der Überwachungsserver entdeckt wurde. Die Untersuchung ergab schließlich, dass auch die Verwaltungsoberfläche betroffen war, durch die sich die Hacker Zugang zu Kundendaten verschafft haben.

    Kreditkartendaten

    Hetzner kann allerdings nicht genau sagen, wer und wieviele Kunden tatsächlich davon betroffen sind. Bei den Kundendaten sind auch Zahlungsinformationen gespeichert, weshalb davon auszugehen ist, dass diese Informationen ebenfalls in die Hände der Eindringlinge gelangt sein könnten. Diese Zahlungsinformationen seien zwar asymmetrisch verschlüsselt, es kann aber laut Hetzner nicht völlig ausgeschlossen werden, dass die Krypto-Schlüssel dazu ebenfalls kopiert wurden. Kreditkartendaten und SHA256-Passwort-Hashes waren in den betroffenen Datenbanken ebenfalls gespeichert. Bei den Kreditkartendaten sollen allerdings nur die letzten drei Ziffern, der Typ der Karte und das Ablaufdatum vorhanden gewesen sein.

    Bundeskriminalamt eingeschaltet

    Die Angreifer sollen dabei äußerst gefinkelt vorgegangen sein. Selbst Hetzner stellt fest, dass ein ungewöhnlich hohes technisches Niveau zum Einsatz kam. Das bislang unbekannte Rootkit soll Dateien auf der Festplatte nicht berührt haben. Martin Hetzner sagt gegenüber Heise Security, dass laufende Prozesse auf dem System gepatcht wurden und der Code direkt in das Ziel-Prozessimage injiziert wurde. Durch das Rootkit wurden der OpenSSH-Daemon und Apache im Arbeitsspeicher manipuliert – ganz ohne Neustart. Theoretisch könne dieses Rootkit auch ProFTPD manipulieren. Zur Verbreitung von Malware soll es aber nicht gekommen sein. Auch den Ursprung des Angriffs kennt man noch nicht. Zur Aufklärung wurde bereits das deutsche Bundeskriminalamt eingeschaltet. (red, derStandard.at, 7.6.2013)

    Links

    Heise

    Share if you care.