Deutscher Hoster Hetzner gibt Servereinbruch bekannt, auch Kundendaten betroffen

6. Juni 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Der deutsche Hoster Hetzner hat heute seine Kunden über einen Einbruch informiert, bei dem Kundendaten nach extern kopiert wurden. Der Hoster hat eine E-Mail an seine Kunden verschickt. So heißt es, dass Hetzner-Techniker eine “Backdoor” in einem der internen Überwachunssysteme (Nagios) entdeckt haben.

shutterstock_135704441-590x365

Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungsoberfläche für dedizierte Server (Robot) davon betroffen war. Aktuelle Erkenntnisse legen den Schluss nahe, dass Fragmente der Kundendatenbank nach extern kopiert wurden. Infolge dessen muss man die derzeit im Robot hinterlegten Kundendaten als kompromittiert betrachten.

Die Zugangspasswörter für den Robot-Kundenaccount werden als Hash (SHA256) unter Verwendung eines Salt in unserer Datenbank abgelegt. Zur Sicherheit empfiehlt man seitens Hetzner dennoch, die Kundenpasswörter im Robot auszutauschen.

Bei Kreditkarten werden in den Systemen nur die letzten 3 Ziffern der Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert. Alle anderen Kartendaten werden ausschließlich von Hetzners Zahlungsdienstleister gespeichert, und über eine Pseudokartennummer referenziert. Deshalb sind nach bisherigen Kenntnisstand keine Kreditkartendaten kompromittiert. Ebenfalls teilte man mit, dass man das Bundeskriminalamt eingeschaltet und den Vorfall der zuständigen Datenschutzbehörde gemeldet hat.

(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)

Neueste Beiträge im Blog

Quelle: Danke Tim!
Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 17081 Artikel geschrieben.


22 Kommentare

Mike 6. Juni 2013 um 17:29 Uhr

Zumindest kann man sehen, dass man mit Kundendaten auch sensibel umgehen kann.
So sind zumindest “nur” Email- und Adressdaten direkt betroffen.

thelegend66943 6. Juni 2013 um 17:29 Uhr

Ernsthaft? Wieder dieses bekloppte Klischee Bild?

André 6. Juni 2013 um 17:38 Uhr

Schon fies. Verwalte auch unseren Nagios, das System gammelt aber fast ständig nur rum, denke selten an Updates. Nach außen ist es verfügbar, da die IT hierfür auch Apps auf ihren Smartphones hat. Ärgerlich, denn die cfgs enthalten meist die plain-text Passwörter für beispielsweise NRPE. Soweit ich weiß, ist Verschlüsselung auch nur in für den Transport zu aktivieren. Und mit der Verfügung über diese Kennwörter kann man dann auch viel Blödsinn auf den Clients des Nagios anstellen. Aber auch nur, wenn man auf den Clients geschlampt hat. ;)

Mike 6. Juni 2013 um 17:42 Uhr

@thelegend66943 was hätteste denn gern für Bild ? sowas hier ? http://techcitement.com/admin/.....Hacker.jpg

mops 6. Juni 2013 um 17:44 Uhr

Ist bekannt ob nur ein bestimmtes (und wenn ja welches) RZ oder das komplette interne Hetzner-Netzwerk betroffen ist?

Interessant wäre es zu erfahren, wie die Backdoor ins System gekommen ist.
Per Gast-WLAN in das jeder kann, weil die Zugangsdaten im Gebäude aushängen? (ist zumindest in Nürnberg so) Oder aber durch unaufmerksame Admins die zuviel gebastelt haben oder auf unseriösen Seiten unterwegs waren?

Das alles nachdem Hetzner erst ins neue RZ (NBG) umgezogen ist. Wir haben erst unseren letzten Server von Hetzner abgezogen und im eigenen Unternehmen angebunden.

noyse 6. Juni 2013 um 17:49 Uhr

hmm danke für die Info…komisch aber dass nicht mal bei heise was dazu steht…

caschy 6. Juni 2013 um 17:51 Uhr

Auch der Blogger deines Vertrauens weiss mal was vor denen ;) Btw: http://wiki.hetzner.de/index.php/Security_Issue

Bernd 6. Juni 2013 um 17:53 Uhr

Also dieses Hacker-Bild scheint Caschy wirklich von der Bild uebernommen zu haben.

@mops: Du willst jetzt aber nicht sagen, dass Du ueber das freie Gast-WLAN Zugriff auf das eigentliche Hetzner-Netzwerk hattest, oder?

Bernd 6. Juni 2013 um 17:55 Uhr

Bei den ganzen Passwort-Diebstaehlen in letzter Zeit muss ich Caschy nochmals ganz dolle danke, dass er auf die 1Password Aktion aufmerksam gemacht hat. :)

Danke!!!!!!

PS: kann man sich eigentlich erinnern lassen, wenn ein Passwort aelter als x Monate ist??

caschy 6. Juni 2013 um 17:57 Uhr

@Bernd: ich schau einfach beim Erstelldatum bei 1Password

Philipp 6. Juni 2013 um 18:01 Uhr

Also mal völlig Offtopic, aber diese großflächige IBM-Werbung geht garnicht..

mops 6. Juni 2013 um 18:02 Uhr

@Bernd
nein natürlich nicht, aber möglich ist so etwas sicherlich, sollte das Gast-Netz nicht ausreichend gesichert sein. Nur als Beispiel mal die Sicherheitslücke von QNAP http://www.heise.de/security/m.....75165.html

Das ist jetzt zwar ein Äpfel/Birnen-Vergleich aber ich wollte damit eigtl. nur sagen, dass im Endeffekt sowas ja möglich sei und mich dafür interessiere wie es eben passieren konnte.

Phil 6. Juni 2013 um 18:30 Uhr

Die Hetzner-Passwörter werden also in eurer (“unserer”) Datenbank abgelegt? Interessant :-)

*rumtroll*

mops 6. Juni 2013 um 18:50 Uhr

da merkt man wirklich, dass du nur rumtrollst..
Wenn du keine Ahnung hast wie Netzwerke aufgebaut und verbunden sein können, geschweige denn Ahnung von richtiger IT-Security (nicht nur Hardware-Firewall hier und ZoneAlarm da) dann noch viel Spaß hier.

Ich bin schon sehr lange IT-Systemadministrator und weiß, dass man bei nicht ausreichend gesicherten Netzwerken, Gastzugängen, Gastnetzwerken, Porteinschränkungen etc. oder eben auch Gast-WLAN’s ins INTERNE Netzwerk (jetzt begriffen?) gelangen kann.

Es wird zwar immer von “Einbruch” gesprochen aber es kann auch Eigenverschulden von den Mitarbeitern gewesen sein.

Ist übrigens nicht die erste “Sicherheitslücke”. Gab vor ein paar Jahren schon mal ein ziemlich großes Problem bei der Rechtevergabe der Server die dann (für die Trolle:) “gehackt” wurden.

yves 6. Juni 2013 um 19:03 Uhr

@Andre
Um die Klartextspeicherung der NRPE-Passwörter würde ich mir keine Sorgen machen… jedenfalls nciht, wenn man sich an die Basics hält und keine Command-Parameter zulässt. Leider hab ich einen Kollegen, der sich das Leben in allem wie auch da immer ein wenig zu einfach macht.
Wir haben bei NRPE jedenfalls keine PWs und solang nur Statusdaten abgefragt werden, macht das auch nix

Lt. Fefe ist nicht gesagt, dass die Lücke auch durch Nagios *eingeschleust* wurde. Ich wundere mich eher, dass Hetzner es bemerkt hat. Wenn ich mal von unserer kleinen Klitsche ausgehe – letztlich ist doch jeder am Limit. Wann kommt man dazu, sich den Nagios so nah anzusehen, dass man ggf. eine Backdoor verifizieren kann?
Hut ab vor Hetzner, das Problem zu erkennnen und offen zu kommunizieren.

André 6. Juni 2013 um 19:18 Uhr

yves, genau, ein Nagios, das extern erreichbar ist, sollte eh auf alles verzichten und nur stinknormale Rücksprache mit dem Server halten, die eh jeder hat. Fatal ist dann auch der nsclient+ (oder so) via Windows…

Ich habe das letzte !öffentliche! Exploit vorhin mal ausprobiert, das benötigte Zugang zur Oberfläche, die viele nur via HTTP Auth absichern. Nach Eingabe der Zugangsdaten und einer anständigen Callback Shell ging das dann leider reibungslos. :P (shame on me) ..

Die normale Backdoor-Erkennung sollte dann doch sowieso jeder Server mitbringen, ausgenommen natürlich nicht-öffentliche “Späße”, aber auch hier greift das eigentlich ganz gut.

Dirk 6. Juni 2013 um 20:11 Uhr

Sind die nicht schon einmal damit negativ aufgefallen ?
http://www.spiegel.de/netzwelt.....90666.html

jokey 6. Juni 2013 um 20:21 Uhr

@Dirk naja, wenigstens haben sie gelernt, was Passwörter und Kreditkartendaten angeht… Ein salted hash ist auch schon mal nicht schlecht, wobei pbkdf2 oder eher scrypt besser gewesen wären…

Dirk 6. Juni 2013 um 20:28 Uhr

dann eher eine werbebotschaft von hetzner wie toll sie gelernt haben :-) gibts so was in dieser menge auch bei strato und ich habs nur nicht mitbekommen, oder hat jemand was speziell gegen hetzner ?

h3rb3rt 6. Juni 2013 um 23:03 Uhr

ich hab meine homepage bei hetzner gehostet überwebhosting und konsoleh zugang! jemand ne ahnung ob man da auch alle passwörter ändern sollte? sprich ftp zugang und die ganzen email pw`s?
danke! :-)

Andreas 7. Juni 2013 um 11:52 Uhr

“Bei Kreditkarten werden in den Systemen nur die letzten 3 Ziffern der Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert.”

lol…und hier trage ich alles im Klartext ein: http://www.hetzner.de/pdf/EinzugKreditkarte.pdf
“Hiermit ermächtigen wir die Fa. Hetzner Online AG, alle von mir/uns zu
entrichtenden Zahlungen per Kreditkarte von meinem/unserem Konto einzuziehen.
Die Einzugsermächtigung kann jederzeit schriftlich widerrufen werden.”
Unter anderem mit abgefragt: “Prüfnummer (3-stellig)” und übersende es dann per Fax..

Heftet ein so großes Unternehmen eingehende Faxe noch in Papierform ab? ICH würde aus den eingehenden Faxen PDFs machen, aber diese Dateien sind dann aber auch wieder kopierbar.

Dirk 7. Juni 2013 um 13:23 Uhr

ich sollte mal eine kopie des ausweises mit vor und rückseite per brief an hetzner senden. daraufhin habe ich sofort gekündigt. postident scheinbar unbekannt. bei strato gings dann auch ohne


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.