Deutscher Hoster Hetzner gibt Servereinbruch bekannt, auch Kundendaten betroffen

Der deutsche Hoster Hetzner hat heute seine Kunden über einen Einbruch informiert, bei dem Kundendaten nach extern kopiert wurden. Der Hoster hat eine E-Mail an seine Kunden verschickt. So heißt es, dass Hetzner-Techniker eine „Backdoor“ in einem der internen Überwachunssysteme (Nagios) entdeckt haben.

shutterstock_135704441-590x365

Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungsoberfläche für dedizierte Server (Robot) davon betroffen war. Aktuelle Erkenntnisse legen den Schluss nahe, dass Fragmente der Kundendatenbank nach extern kopiert wurden. Infolge dessen muss man die derzeit im Robot hinterlegten Kundendaten als kompromittiert betrachten.

[werbung]

Die Zugangspasswörter für den Robot-Kundenaccount werden als Hash (SHA256) unter Verwendung eines Salt in unserer Datenbank abgelegt. Zur Sicherheit empfiehlt man seitens Hetzner dennoch, die Kundenpasswörter im Robot auszutauschen.

Bei Kreditkarten werden in den Systemen nur die letzten 3 Ziffern der Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert. Alle anderen Kartendaten werden ausschließlich von Hetzners Zahlungsdienstleister gespeichert, und über eine Pseudokartennummer referenziert. Deshalb sind nach bisherigen Kenntnisstand keine Kreditkartendaten kompromittiert. Ebenfalls teilte man mit, dass man das Bundeskriminalamt eingeschaltet und den Vorfall der zuständigen Datenschutzbehörde gemeldet hat.

(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

21 Kommentare

  1. Zumindest kann man sehen, dass man mit Kundendaten auch sensibel umgehen kann.
    So sind zumindest „nur“ Email- und Adressdaten direkt betroffen.

  2. Ernsthaft? Wieder dieses bekloppte Klischee Bild?

  3. Schon fies. Verwalte auch unseren Nagios, das System gammelt aber fast ständig nur rum, denke selten an Updates. Nach außen ist es verfügbar, da die IT hierfür auch Apps auf ihren Smartphones hat. Ärgerlich, denn die cfgs enthalten meist die plain-text Passwörter für beispielsweise NRPE. Soweit ich weiß, ist Verschlüsselung auch nur in für den Transport zu aktivieren. Und mit der Verfügung über diese Kennwörter kann man dann auch viel Blödsinn auf den Clients des Nagios anstellen. Aber auch nur, wenn man auf den Clients geschlampt hat. 😉

  4. @thelegend66943 was hätteste denn gern für Bild ? sowas hier ? http://techcitement.com/admin/wp-content/uploads/2013/02/CINA_-_Hacker.jpg

  5. Ist bekannt ob nur ein bestimmtes (und wenn ja welches) RZ oder das komplette interne Hetzner-Netzwerk betroffen ist?

    Interessant wäre es zu erfahren, wie die Backdoor ins System gekommen ist.
    Per Gast-WLAN in das jeder kann, weil die Zugangsdaten im Gebäude aushängen? (ist zumindest in Nürnberg so) Oder aber durch unaufmerksame Admins die zuviel gebastelt haben oder auf unseriösen Seiten unterwegs waren?

    Das alles nachdem Hetzner erst ins neue RZ (NBG) umgezogen ist. Wir haben erst unseren letzten Server von Hetzner abgezogen und im eigenen Unternehmen angebunden.

  6. hmm danke für die Info…komisch aber dass nicht mal bei heise was dazu steht…

  7. Auch der Blogger deines Vertrauens weiss mal was vor denen 😉 Btw: http://wiki.hetzner.de/index.php/Security_Issue

  8. Also dieses Hacker-Bild scheint Caschy wirklich von der Bild uebernommen zu haben.

    @mops: Du willst jetzt aber nicht sagen, dass Du ueber das freie Gast-WLAN Zugriff auf das eigentliche Hetzner-Netzwerk hattest, oder?

  9. Bei den ganzen Passwort-Diebstaehlen in letzter Zeit muss ich Caschy nochmals ganz dolle danke, dass er auf die 1Password Aktion aufmerksam gemacht hat. 🙂

    Danke!!!!!!

    PS: kann man sich eigentlich erinnern lassen, wenn ein Passwort aelter als x Monate ist??

  10. @Bernd: ich schau einfach beim Erstelldatum bei 1Password

  11. Also mal völlig Offtopic, aber diese großflächige IBM-Werbung geht garnicht..

  12. Die Hetzner-Passwörter werden also in eurer („unserer“) Datenbank abgelegt? Interessant 🙂

    *rumtroll*

  13. da merkt man wirklich, dass du nur rumtrollst..
    Wenn du keine Ahnung hast wie Netzwerke aufgebaut und verbunden sein können, geschweige denn Ahnung von richtiger IT-Security (nicht nur Hardware-Firewall hier und ZoneAlarm da) dann noch viel Spaß hier.

    Ich bin schon sehr lange IT-Systemadministrator und weiß, dass man bei nicht ausreichend gesicherten Netzwerken, Gastzugängen, Gastnetzwerken, Porteinschränkungen etc. oder eben auch Gast-WLAN’s ins INTERNE Netzwerk (jetzt begriffen?) gelangen kann.

    Es wird zwar immer von „Einbruch“ gesprochen aber es kann auch Eigenverschulden von den Mitarbeitern gewesen sein.

    Ist übrigens nicht die erste „Sicherheitslücke“. Gab vor ein paar Jahren schon mal ein ziemlich großes Problem bei der Rechtevergabe der Server die dann (für die Trolle:) „gehackt“ wurden.

  14. @Andre
    Um die Klartextspeicherung der NRPE-Passwörter würde ich mir keine Sorgen machen… jedenfalls nciht, wenn man sich an die Basics hält und keine Command-Parameter zulässt. Leider hab ich einen Kollegen, der sich das Leben in allem wie auch da immer ein wenig zu einfach macht.
    Wir haben bei NRPE jedenfalls keine PWs und solang nur Statusdaten abgefragt werden, macht das auch nix

    Lt. Fefe ist nicht gesagt, dass die Lücke auch durch Nagios *eingeschleust* wurde. Ich wundere mich eher, dass Hetzner es bemerkt hat. Wenn ich mal von unserer kleinen Klitsche ausgehe – letztlich ist doch jeder am Limit. Wann kommt man dazu, sich den Nagios so nah anzusehen, dass man ggf. eine Backdoor verifizieren kann?
    Hut ab vor Hetzner, das Problem zu erkennnen und offen zu kommunizieren.

  15. yves, genau, ein Nagios, das extern erreichbar ist, sollte eh auf alles verzichten und nur stinknormale Rücksprache mit dem Server halten, die eh jeder hat. Fatal ist dann auch der nsclient+ (oder so) via Windows…

    Ich habe das letzte !öffentliche! Exploit vorhin mal ausprobiert, das benötigte Zugang zur Oberfläche, die viele nur via HTTP Auth absichern. Nach Eingabe der Zugangsdaten und einer anständigen Callback Shell ging das dann leider reibungslos. 😛 (shame on me) ..

    Die normale Backdoor-Erkennung sollte dann doch sowieso jeder Server mitbringen, ausgenommen natürlich nicht-öffentliche „Späße“, aber auch hier greift das eigentlich ganz gut.

  16. @Dirk naja, wenigstens haben sie gelernt, was Passwörter und Kreditkartendaten angeht… Ein salted hash ist auch schon mal nicht schlecht, wobei pbkdf2 oder eher scrypt besser gewesen wären…

    • dann eher eine werbebotschaft von hetzner wie toll sie gelernt haben 🙂 gibts so was in dieser menge auch bei strato und ich habs nur nicht mitbekommen, oder hat jemand was speziell gegen hetzner ?

  17. ich hab meine homepage bei hetzner gehostet überwebhosting und konsoleh zugang! jemand ne ahnung ob man da auch alle passwörter ändern sollte? sprich ftp zugang und die ganzen email pw`s?
    danke! 🙂

  18. „Bei Kreditkarten werden in den Systemen nur die letzten 3 Ziffern der Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert.“

    lol…und hier trage ich alles im Klartext ein: http://www.hetzner.de/pdf/EinzugKreditkarte.pdf
    „Hiermit ermächtigen wir die Fa. Hetzner Online AG, alle von mir/uns zu
    entrichtenden Zahlungen per Kreditkarte von meinem/unserem Konto einzuziehen.
    Die Einzugsermächtigung kann jederzeit schriftlich widerrufen werden.“
    Unter anderem mit abgefragt: „Prüfnummer (3-stellig)“ und übersende es dann per Fax..

    Heftet ein so großes Unternehmen eingehende Faxe noch in Papierform ab? ICH würde aus den eingehenden Faxen PDFs machen, aber diese Dateien sind dann aber auch wieder kopierbar.

    • ich sollte mal eine kopie des ausweises mit vor und rückseite per brief an hetzner senden. daraufhin habe ich sofort gekündigt. postident scheinbar unbekannt. bei strato gings dann auch ohne