DomainFactory bestätigt am 3. Juli bekannt gewordenen Hack und informiert Kunden endlich


Gestern wurden Meldungen laut, dass es einen Hack beim Hoster DomainFactory gegeben haben soll und Kundendaten abhanden gekommen wären. Das sollte zwar nicht, aber kann passieren. Kritisch beäugt wurde vor allem von den Kunden die miserable Kommunikation durch DomainFactory. Am 3. Juli wurde die „Datenpanne“ bekannt, bis gestern Abend war keine Info von DomainFactory direkt zu erhalten.

Das hat sich geändert, DomainFactory hat Kunden nun über Nacht eine Mail geschickt, die über den Vorfall informiert. Bestätigt wird letztendlich das, was auch schon berichtet wurde. Weniger Informationen gibt es aber, in welchem Umfang Daten abgegriffen wurden oder wie der Angriff überhaupt ermöglicht wurde. Die genutzte Lücke bestand aber wohl seit dem 29. Januar, ist nun geschlossen. DomainFactory erklärt weiterhin, dass mit den Daten, die abgegriffen hätten werden können, Bankabbuchungen generiert werden können oder die Informationen für andere Zwecke missbraucht werden könnten.

Zu diesen Daten gehören: Kundenname, Firmenname, Kundennummer, Anschrift, Telefonnummer, DF-Telefon-Passwort, Geburtsdatum, Bankname und Kontonummer (z.B. IBAN oder BIC), Schufa-Score.

Etwas witzig (als nicht Betroffener) mutet da dann schon der nächste Satz zu, dass man deshalb sein Passwort bei DomainFactory ändern solle. Wenn die Daten weg sind, bringt dass nicht viel und einen aktuellen Zugriff gibt es laut DomainFactory nicht. Laut DomainFactory wurden auch die Passwörter nicht abgegriffen, sehr komischer Tipp also.

Aber egal, DomainFactory äußert sich und hat wohl auch Dritte beauftragt, bei der Untersuchung des Vorfalls zu helfen. Erste Kunden zeigen sich durch die Mail zufriedengestellt, also scheint man schon etwas richtig gemacht zu haben. Ich wäre damit nicht zufrieden, für mich klingt die Mail nicht durchdacht und nach „wir geben so wenig Info wie möglich raus, weil wir uns selbst nicht sicher sind“. Und das ist wiederum schade.

Screenshot der Mail (Klick für groß):

Falls Ihr betroffen seid, seid Ihr mit der Kommunikation nun zufriedengestellt? Falls nein, was würdet Ihr in einem solchen Fall erwarten?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

76 Kommentare

  1. Die Datenpanne fand nicht am 03.07. statt, sondern da wurde sie bekannt. (seit 29.01.)
    vom 03.07.-05.07. wurde dies recherchiert und sodann die Mail aufgesetzt/versendet

    In solchen Fällen fände ich es jedoch richtig, die Passwörter generell zu reseten. (vom Anbieter nicht vom Kunden)

    • Sascha Ostermaier says:

      Vollkommen richtig, habe den Artikel entsprechend angepasst. Danke.

    • Hape Barz says:

      EINFACH GANZ SCHLECHT – WAS VON DOMAINFACTORY DA GELIEFERT WIRD !!! DECKELUNG UND VERTUSCHUNG LIEGT NAHE. WIRKLICH GANZ SCHLECHT !

  2. Traurigerweise haben die bereits gestern Abend das Ganze unter http://status.df.eu erwähnt — bevor sie Kunden angeschrieben hatten. (hatten Kunden bei Twitter erwähnt, nachdem DF Tage bei Twitter geschwiegen hatte)

    https://twitter.com/DomainFactory/status/1014522955412529154

    Man sollte sich echt überlegen wo man heute Kunde sein möchte. Am Besten Ausland und dann anonym ohne private Datenangabe. Deutsche Firmen scheinen ja sehr leichtsinnig mit Daten umzugehen 🙁

    • Ähm…

      Sie haben doch sicherlich auch einen Facebook Account und/oder Whatsapp?
      So viel zum Ausland…

      • Weder WA, noch FB, Twitter oder sonstige Datensammler. Hatte mich noch nie gereizt, wüsste auch gar nicht was ich bei FB an die Pinnwand schreiben soll.

    • Wie kommt man auf das schmale Brett, aus dem Vorfall zu schließen, dass deutsche Firmen generell leichtsinnig mit Daten umgehen?

    • Gummibärchengrab says:

      DomainFactory ist nicht mehr wirklich eine deutsche Firma. Sie gehören GoDaddy und die Administration erfolgt in der Ukraine. Kein Witz. Leider.

  3. Generell wird es gut sein, Passwörter zu ändern, das kann jedenfalls nicht schaden. Laut der Mail betrifft der Datenabfluss das Kundenmenü und die Stammdaten, Domainfactory sagt aber nicht offen, welche Passwörter geändert werden sollten. Auf der verlinkten Seite geht es um alle Passwörter, also auch für Zugabe zu E-Mail, Datenbanken, FTP, SSH etc. Das Passwort für das Kundenmenü ist schnell geändert, aber bei der Vielzahl von Datenbanken und E-Mail Konten könnte alles andere ein ziemlich großer Aufwand sein.

  4. Ich bin als betroffener ehrlich gesagt ziemlich sauer darüber, dass man so lange gewartet hat und die Panne auch schon lange bekannt war – das ärgert mich am meisten!

    Da fehlen gewissen Leuten mal wieder die „Eier“ in der Hose!

    Und? Was wird das intern für Konsequenzen haben?
    Es wird intern nach dem niedrigsten gesucht, dem die Schuld gegeben wird – Köpfe im Management werden wohl nicht rollen…
    Ach wie schön war die gute alte Zeit, wo man als „Mopp“ sich „Fackel und Mistgabel“ schnappen und der Gerechtigkeit freien lauf lassen konnte…
    Naja, da hat man sicherlich andere Probleme gehabt. 😉

  5. Die Mail enthält auch nur das „nötigste“ was nach DSGVO im Falle eines Data Breaches zu kommunizieren ist. Nur: Zu spät!

    Auf Twitter ist der Hacker fleißig in Diskussionen vertieft und gibt an er wolle nur von einem Kunden Daten haben der ihm Geld schuldet. Von ihm erhält man mehr Infos als von DF. Die Kommunikation seitens DF ist unter aller Sau. Auch legte der Hacker schon den Beweis vor das er vor einem Jahr schon in den DF Systemen unterwegs war und dies wurde seitens DF verschwiegen.

    Technisch und vom Support betrachtet war ich mit DF immer sehr zufrieden, aber das ging so dermaßen nach hinten los, dass ich über einen Wechsel nachdenke.

    Spannend zu verfolgen wird sein, ob die wegen der verspäteten Kommunikation seitens DSGVO einen reingewürft bekommen.

  6. Es ist klar, dass man erstmal eine Untersuchung abwarten möchte, bevor man informiert. Dann muss die Information aber wirklich umfassend erfolgen, was hier nicht zufriedenstellend passierte! Sollen alle Passwörter geändert werden? Ein Hack kann bei jedem Unternehmen vorkommen. Insgesamt hat DF aber leider sehr stark nachgelassen, was neue Funktionalitäten wie Lets Encrypt etc. angeht. Da ging früher deutlich mehr. Werde nun auch wechseln.

  7. So, das war dann der Grund, eine Alternative zu DF zu suchen. Früher waren sie mal wirklich ganz vorne, heute eher ferner liefen. Ich überlege gerade, die Kontonummer ändern zu lassen, da doch sehr umfangreiche Daten von mir unterwegs sind. Ich hoffe, dass die Mutter Hosteurope gut versichert ist wegen der Folgekosten, die jetzt auf DF zukommen. Auf jeden Fall ziehe ich jetzt um, bevor die in die Insolvenz gehen und ich nicht mehr an meine Daten rankomme 🙁 Schlecht gemacht, DF. Ich hätte das alles zähneknirschend mitgemacht, aber die miese Kommunikation ist Laienschauspiel erster Güte.

    • Würde auch sehr gerne meine Kontonummer ändern – aber wahrscheinlich wollte df die Banken vor einem Ansturm bewahren und hat deshalb das erst am Samstag kommuniziert.
      Die denken viel mehr mit, als wir meinen 😉

  8. DF bittet übrigens darum, alle Passwörter zu ändern, die man im DF Web Interface ändern kann.
    Nicht nur das eigentliche DF Passwort.

    Ich finde es viel schlimmer, dass da offensichtlich Passwörter und Kontodaten frei bei denen in der Datenbank rumliegen, als das ich zwei Tage zu spät informiert werde.

  9. Frederik Kunze says:

    Ich bin Kunde und wurde bisher nicht informiert… Heißt das nicht alle Kunden sind betroffen oder DF kommt seiner Informationspflicht nur teilweise nach? :/

  10. Was ist denn eigentlich mit den Kundendaten, die ich in meiner Datenbank bei Domainfactory gespeichert habe? Sind diese Daten auch betroffen?
    Es wäre ja ein Super-Gau wenn ich nun auch alle meine Kunden, die sich auf meiner Seite registriert haben informieren müsste.

    • Nein, sind nicht betroffen. Hab vom lieben Hacker meine Daten erhalten. Nichts was in irgendwelchen eigenen DBs steht. Auch Domains sind nicht dabei. Dafür weitaus mehr persönliche Daten als im Export der Daten im DF Kundenmenü.

      • Vielen Dank!
        Ich bin gespannt, wie es nun weiter geht. Muss ich mich doch mal nach Alternativen umsehen. Wobei ich bisher eigentlich immer relativ zufrieden war.

      • Wer ist dieser Hacker? Name bekannt? Ich habe bereits wegen ähnlicher Merkwürdigkeiten vor 1 Jahr Ermittlungen über die Kripo Stuttgart veranlasst.

        • Diese Person ist (mehrfach) über einen längeren Zeitraum in die Systeme eines Hosting-Providers eingedrungen. Ich würde jetzt mal mutmaßen, dass der jetzt eher nicht so scharf drauf ist, dass du oder irgendwer anders weiß, wer er ist.

        • Gummibärchengrab says:

          Der Hacker heißt auf Twitter @NaHabedere

  11. Sebastian says:

    Interessant. Bin ehemaliger Kunde (hatte bis 2015 eine Domain dort). Gerade mal mit den alten Daten eingeloggt, alles noch vorhanden, inkl. Bankdaten.
    Eine E-Mail habe ich aber NICHT erhalten!

  12. Mir reicht es allmählich auch bei dF. Diese Infos kamen viel zu spät und auch ich habe erstmal überlegen müssen, warum ich jetzt alle PW inkl. Mailkonten und KundenmenüPw statt nur das geleskte TelefonPW ändern soll.
    Seit Jahren fordern Kunden für den Zugang zum Kundenmenü 2FA oder zumindest mehr als TLS1.0, ohne dass dF jemals mehr als Ausflüchte anbietet.
    https://www.ssllabs.com/ssltest/analyze.html?d=admin.df.eu

    Ich würde auch gerne wechseln, suche aber noch eine gute Alternative.

  13. Ich bin auch Betroffener und hab direkt die Geschäftsleitung angeschrieben. Ich finde es eine Katastrophe wie mit uns Kunden umgegangen. Die Informationen sind unzureichend. Die Frage ist wohingegehen. Ich benötige nur einen Mail Only Tarif mit der Möglichkeit die Nameserver einstellungen zu ändern. Die Webseite liegt bereits wo anders.

    • Ich hab mir jetzt mal bei Hetzner einen Level 1 Vertrag geklickt. Domain und mymail paket bei df online gekündigt und vorerst den MX record bei df auf hetzner umgestellt bis die Domain dort liegt. Sieht soweit vernünftig Aus und hat im Notfall nur 30 Tage Laufzeit/Kündigungsfrist. Hauptsache erst mal weg von df. Traurig das nach fast 17 Jahren Zufriedenheit so sagen zu müssen (die erste Rechnung hab ich noch in DM gezahlt ^^)

      • Geht mir genauso.
        Hetzner klingt interessant. Man kann dort anscheinend auch Subdomains für Emailadressen nutzen. 100 Aliase, könnte knapp werden… 🙂
        Ich verstehe nur nicht, warum Anbieter wie dF oder Hetzner den Zugang zum Kundenmenü/Konsole nicht noch mit OTP o.ä. als zweitem Faktor absichern.
        Damit ich in Zukunft schneller wechseln kann, überlege ich, Domainverwaltung und Emailpaket zu trennen, also z.B. namecheap und Hetzner. Mal sehen.
        Danke für den Hinweis.

        • Bei Hetzner konnte ich 2FA aktivieren. Funktioniert problemlos. Und sie schreiben das eine Rücksetzung bei Verlust nur postalisch erfolgt. Klingt mir sicher genug. Und mit aliases hab ich kein Problem, hab im Grunde nur einen und ein paar Spam aliases.

          Ohne es jetzt langfristig getestet zu haben, sieht es aus und fühlt sich an als könnte das wieder was langfristiges für mich sein.

          • Ich schau mir vorher noch netcup.de näher an. Scheint auch ein gutes Angebot zu sein. Wird sich wohl zwischen diesen beiden entscheiden.

        • Bin jetzt – weil bestehende Root-Server – auch mit den Domains zu Hetzner umgezogen.
          Preislich besser als df und scheinbar sicherer 😉

          DNS-Zeug mach ich bei ClouDNS, kostet 3$ im Monat und bietet Anycast…

      • Kann man bei Hetzner auch die Nameserver Einstellungen ändern. Wie bei df ?

        • Ja, kannst alles mögliche einstellen. Da ich mich da aber nicht wirklich auskenne und eh nur Mail nutze, weiß ich nicht ob du „alles“ alles ändern kannst. Kann aber gerne nachsehen wenn du was konkret wissen willst.

  14. … wäre ich nicht so faul … würde ich sofort wechseln.
    Neue Kunden werden sie damit zumindest keine mehr gewinnen!

  15. Dass ich erst durch andere erfahren musste, dass es zu einem möglichen Datenleck gekommen ist, erachte ich als Frechheit. Erst gestern Abend war eine Information auf der Statusseite von DF zu finden. Und heute kam dann die Mail. Ein absolutes No-Go! Ich dachte ja, dass die DSGVO eine Meldung innerhalb von 48 Stunden vorschreibt.

    Dann wollte ich meinem Ärger im Forum von DF Luft machen und stellte fest, dass das Forum aufgrund technischer Probleme außer Betrieb ist. Halloooooo? Wirklich TECHNISCHE Probleme? Das glaube ich irgendwie nicht.

    Pannen und Datenlecks kann es immer geben. Aber dann sollte der Kunde FRÜHZEITIG davon in Kenntnis gesetzt werden. Information ist wichtig und kundenfreundlich! Aber das kapieren weder DF noch Deutsche Bahn und andere Unternehmen. Ich bin äußerst verärgert!

  16. Thomas Baumann says:

    Alleine die Tatsache dass diese Daten zugreifbar waren zeigt wie hochgradig mangelhaft die Infrastruktur ist.
    Wäre dort fast Kunde geworden. Zum Glück nur fast.
    Freitags-Admins…

  17. Domainfactory reagierte ja erst als bei Heise ein Artikel über sie kam und sie dann reagieren mussten. Habe einige Kunden die dort ihren Webspace haben, den Großteil habe ich schon wegen mangelnder LetsEncrypt Unterstützung gekündigt, jetzt ziehe ich den Rest auch ab. Gibt genug andere bessere und billigere Hoster. Mal gucken wie das mit Mindestvertragslaufzeit ist wegen dem Vorfall …

    Übrigens zu deutschen Hoster: Die waren mal deutsch (hier in der Nähe von München), aber eben waren. Die Mutter ist GoDaddy (US-Unternehmen), die Server stehen in Strassburg (Frankreich) und die Serveradmins sind angeblich frei Beschäftigte, größtenteils in Rumänien. Da ist rein gar nichts mehr deutsch …

    • Wohin hast du deine Kunden umgezogen? Gibt es Empfehlungen für Webspace und kleine Managed-Lösungen? 🙂

    • Auch Peter says:

      Das meiste war mir bekannt, aber „rumänische Freelancer-Admins“ schießen nun den Vogel ab!
      Das soll bei Weitem keine Bewertungsversuch professioneller Kompetenzen sein, sondern ich bewerte die Glaubwürdigkeit der sog. Kundennähe, die domainfactory sich immer wieder an die Brust heftet.
      Da können wir ja noch richtig froh sein, dass wir nicht gleich beim Support eine indische Vorwahl verwenden müssen.
      Mein Gott, wieso dürfen die sich eigentlich noch domainfactory schimpfen? Es ist ein Witz – und eine Schande.

    • Die Admins für die df Server sitzen in der Ukraine. Eine von GoDaddy gegründete Firma beschäftigt dort selbständige Admins, die Vollzugriff auf die df Systeme haben.

  18. Müssen wir jetzt annehmen dass df Bankdaten unverschlüsselt gespeichert hat? Anderenfalls wäre der Verlust von IBAN etc. ja nicht möglich?

  19. Suche gute Alternative für reines E-Mail Paket mit eigener Domain. Was wäre da zunempfehlen?

  20. Das sind die Records des Datensatzes. Da kann sich mal jeder selber einen Reim drauf machen, was jetzt in der Welt ist.

    [kn] =>
    [anrede] =>
    [vorname] =>
    [name] =>
    [firma] =>
    [adresse] =>
    [adresse2] =>
    [plz] =>
    [ort] =>
    [telefon] =>
    [fax] =>
    [email] =>
    [daten_geaendert] =>
    [geloescht] =>
    [abrechnungsart] =>
    [kontonr] =>
    [blz] =>
    [kontoinhaber] =>
    [bankname] =>
    [beinz_erhalten] =>
    [kredit_limit] =>
    [akt_kredit] =>
    [zuletzt_zurueckgesetzt] =>
    [bemerkungen] =>
    [ripe_handle] =>
    [ripe_beantragt] =>
    [is_reseller] =>
    [newsletter] =>
    [geburtsdatum] =>
    [telefon_password] =>
    [pid] =>
    [auslandskunde] =>
    [land] =>
    [karteninhaber] =>
    [kartentyp] =>
    [kartennr] =>
    [kartegueltig_monat] =>
    [kartegueltig_jahr] =>
    [has_treuhandvertrag] =>
    [aktions_code] =>
    [rechnungskunde] =>
    [rechnungsgebuehr] =>
    [brand] =>
    [at_handle] =>
    [newsletter_express] =>
    [heardfrom] =>
    [kredit_fixed] =>
    [data_last_checked] =>
    [called] =>
    [called_time] =>
    [called_kommentar] =>
    [call_dont] =>
    [geworben_von_an] =>
    [cvv] =>
    [sendinvoice] =>
    [invoicemail] =>
    [invoiceremark] =>
    [schufa_last_queried] =>
    [schufa_risikoquote] =>
    [schufa_scorewert] =>
    [schufa_scorebereich] =>
    [bestellhandy] =>
    [schufa_manuell] =>
    [manuelle_nachbearbeitung] =>
    [schufa_person_key] =>
    [vip] =>
    [bes_zahlungskonditionen] =>
    [notfallemail] =>
    [invoiceaddress] =>
    [viplevel] =>
    [sicherheitskuendigung] =>
    [schufa_hasnegativeattributes] =>
    [passwort] =>
    [direct_auftrag_login] =>
    [hidekontonr] =>
    [show_passwords] =>
    [rechnungsintervall] =>
    [naechste_rechnung] =>
    [never_show_adwords] =>
    [inhaber_geaendert] =>
    [umsatzsteuer_ausweisend] =>
    [showonce] =>
    [kuendigung_flag] =>
    [kuendigung_handy] =>
    [hide_passwords_from_ma] =>
    [pvi_group] =>
    [techfirma] =>
    [techanrede] =>
    [techname] =>
    [techvorname] =>
    [techemail] =>
    [techtelefon] =>
    [pass_reminder] =>
    [is_jb_customer] =>
    [sperr_status] =>
    [sperr_grund] =>
    [jb_newsletter] =>
    [jb_tech_newsletter] =>
    [ustid] =>
    [synced_with] =>
    [last_changed] =>
    [next_bill_notify_interval] =>
    [next_bill_notify_threshold] =>
    [next_bill_notify_consider_sum] =>
    [ipv6] =>
    [newsletter_reseller] =>
    [kartenguwid] =>
    [login_without_an_until] =>
    [newsletter_security] =>
    [pass_hash_id] =>
    [iban] =>
    [bic] =>
    [enc_iban] =>
    [uniqid] =>
    [iban_hash] =>
    [dbox_handle] =>
    [ppbaid] =>
    [payments_whitelist] =>
    [payments_blacklist] =>
    [has_invalid_email] =>
    [erstellt] =>
    [inactive_since] =>
    [intercompany] =>
    [subaccount_id] =>
    [customer_id] =>
    [deletion_requested] =>
    [gdpr_policy_accepted] =>

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.