Hoster OVH gehackt, Kunden in ganz Europa betroffen

Der nach eigenen Angaben 400.000 Kunden starke Hoster OVH ist Opfer eines Hacks geworden, in dessen Zuge die Datenbank der Kunden in Europa abgerufen wurde. Die Datenbank der Kunden in Europa enthält die persönlichen Angaben der Kunden: Name, Vorname, Kundenkennung, Adresse, Stadt, Land, Telefon, Fax und das verschlüsselte Passwort. Die Verschlüsselung des Passworts erfolgt mit „salted“ SHA512, um Brute Force Angriffe zu verhindern.

shutterstock_135704441-590x365

Es erfordert umfangreiche technische Ressourcen, das Passwort im Klartext herauszufinden. Aber es wäre möglich, wie man seitens OVH mitteilt. Man empfiehlt, das Passwort umgehend zu ändern. Informationen zu Kreditkarten werden nicht bei OVH gespeichert, diese wurden demzufolge weder abgerufen noch kopiert.

[werbung]

Ebenfalls gelang es den Hackern, sich Zugang zum Installationssystem der Server in Québec zu verschaffen. Dies eröffnet ein weiteres Problem. Wenn ein Kunde den SSH Key nicht von seinem Server entfernt hat bestand die Möglichkeit, dass der Hacker sich vom System aus mit dem Server verbindet, um das in der .p Datei gespeicherte Passwort auszulesen.

Der SSH Key kann nicht von einem anderen Server aus verwendet werden, sondern ausschliesslich vom Backoffice in Québec aus. Bei den Kunden, die den SSH Key nicht entfernt und das root-Passwort nicht geändert haben, hat  man seitens OVH unverzüglich das Passwort der Server im Rechenzentrum BHS geändert, um diese Möglichkeit zu unterbinden.

(Bildquelle: Shutterstock, Hacker typing on a laptop with binary code in background)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. Und warum schickt OVH keine Mails raus? Ich hab keine bekommen …

  2. Traurig, dass ich das hier erfahren muss und nicht von OVH selbst per E-Mail informiert werde.

  3. traurig keine Frage. Bei Web.de scheint auch was am Laufen zu sein. Wöchentlich sperren die mein Konto zur Sicherheit und ich darf mir noch was längeres ausdenken. Kotzt das an!

  4. „umfangreiche technische Ressourcen“ ein paar Cent für ein wenig Rechenzeit in der AmazonCloud und gut ists^^

  5. @caschy: „Die Verschlüsselung des Passworts erfolgt mit “salted” SHA512, um Brute Force Angriffe zu verhindern.“

    Egal wie gut das Passwort verschlüsselt ist, Brute-Force-Angriffe kann man so aber ganz sicher nicht verhindern, da bei solchen Angriffen einfach jedes mögliche Passwort durchprobiert wird. Hier ist allein die Länge und Komplexität des Passworts ausschlaggebend dafür, wie lange ein solcher Angriff dauert. 😉

  6. Also ein salted Hash mit SHA512 ist immerhin einigermaßen state of the art. Da braucht man schon mehr als ein paar Cent für die Amazon Cloud. Allerdings lohnt es sich das bei 400.000 Datensätzen eines Hosters auch, wenn über die Passwörter theoretisch ganze Server gekapert werden können.

  7. Naja, für einen Brute-Force-Angriff brauche ich aber nicht vorher die Kundendaten hacken.

    Heiko

  8. @Heiko Bernhörster, doch natürlich. Mit einer offline verfügbaren DB der Passwörter gibt’s keine Zugriffslimitierung, kannst also so schnell bruteforcen wie’s die Kiste hergibt. Live auf einem Online-System macht’s keinen Sinn, da wird in der Regel nach so und so vielen Fehlversuchen die Login-Rate gedrosselt.

  9. Eventuell geht es bei solchen Attacken auch schlicht um Datensätze mit Adresse u. Telefon. Da meist auch ne Domain im Spiel ist sind dann diese Daten quasi auch auf Aktualität u. Gültigkeit verifiziert, solche Datensätze lassen sich natürlich zu Geld machen.

  10. @Kizune Damit ist eigentlich gemeint die Angriffe zu erschweren. Durch Salt und SHA512 werden Rainbowtables nutzlos und man müsste jedes Accountpasswort manuell Bruteforcen. Deshalb ist die „Verschlüsselung“ – eigentlich ist es ja eine Hash-Funktion – mehr oder weniger schlecht knackbar. Also vermutlich wird sich da keiner wirklich die Mühe machen und die Passwörter rekonstruieren, sondern eher die Adressen und den direkten Zugang über das Installationssystem nutzen.

  11. Geil… ich hab dort 2 Dedi´s und 2 Sharedhostings… die bekommen morgen einen gepfefferten Anruf!

  12. Ich habn Kollegen der direkt gekündigt hat 😀

  13. Eine Mail habe ich auch nicht bekommen. Immerhin haben die sich Anscheinend über ihre Verschlüsselung bereits im Vorhinein Gedanken gemacht, was man ja auch nicht von jedem Unternehmen behaupten kann.

  14. Mail kam um 22.16Uhr an :-/
    Dann doch mal Richtung Host Europe schauen, oder war da auch schon was? 😀

  15. @Phadda: Ich bin/war sowohl bei OVH als auch bei Hosteurope Kunde. Beide Anbieter haben gute Angebote. Hosteurope bietet in meinen Augen dennoch eine bessere Qualität. Wenn es um Datengräber geht bist du natürlich bei OVH deutlich günstiger dabei. Allerdings sei an dieser Stelle auch mal gesagt, dass kein Online-Angebot vor Hackangriffen sicher ist. Und wie es bislang scheint, hat OVH doch ziemlich viel richtig gemacht. Klar, die Mails hätten eher kommen müssen. Aber ansonsten?!

  16. @foxylion: Mir ist klar, was eigentlich gemeint ist, aber so wie der Satz da steht ist er schlicht falsch. (Ist übrigens nicht caschys Schuld, der selbe Satz steht auch in der Meldung im OVH-Forum)

  17. ny alesund says:

    it was an inside job!

  18. Mr.Boerse says:

    Tja, sehr toll. Ich habe schon vor langer Zeit bei OVH gekündigt und dennoch war mein Login und alles weitere immer noch gespeichert und konnte mich anmelden. Nun dürfen wir uns alle über einen Missbrauch unserer Daten freuen. Anzeige gegen Unbekannt erstatten wegen Datendiebstahl, mehr kann man nicht machen. Bravo OVH. Ich bereue jegliche Zeitverschwendung eure 3 Buchstaben des Firmennamens bei google eingetippt zu haben.

  19. Vorneweg, ich bin kein Kryptologe, dafür habe ich vor einigen Jahren eine Vorlesung über Crypto teilgenommen.

    Wenn ich die Sachen noch richtig im Kopf habe (und das was ich auf Wikipedia schnell nahchgeschlagen habe, sieht stark danach aus), dann ist ein SHA-512 Hash SEHR sicher. Man muss sich dafür vor Augen halten, dass das Passwort NICHT auf dem Server gespeichert wird, sondern nur der Hashwert. Bei Eingabe des Passwortes wird dann wieder der Hash erzeugt und gegen das gespeicherte Hash validiert.

    Mit Brute-Force wären bei n-Bit 2^n Möglichkeiten zu durchprobieren (wobei der Erwartungswert natürlcih bei der Hälfte liegt, also 2^(n-1) ).Allerdings reicht es ja, wenn man einen Eingabewert finden, der den selben Hashwert erzeugt. Also eine sogenannte Kollision. Dafür sagt das Geburtstagsparadoxon, das es bei n-Bits 2^(n/2) Möglichkeiten gibt.

    Angewendet auf diesen Fall heißt das 2^256 Möglichkeiten, bzw. 2^255 als Erwartungswert. Als Laufzeit wird das O(2^255) geschrieben und das ist so unglaublich weit weg von allem was wir hier auf der Erde an Rechenleistung aufbringen können, dass wir selbst wenn man alle Rechner parallel laufen lassen würde, die Berechnung länger dauern würde als das Universum derzeit (geschätzte 14 Milliarden Jahre) alt ist!

    Das vorberechnen von Passwort-Hshwerten in sogenannten Rainbow Tables sollte auch ausgeschlossen sein, wenn der SALT richtig genutzt wurde. Da dann der Speicherplatz aller Festplatten dieser Erde nicht ausreichen würde.

    Das einzige was ich sehe, was man versuchen kann ist eine Wörterbuch Attack und schauen, ob die Nutzer vielleicht normale geläufige Wörter genutzt haben, was immer noch durch das SALT erschwert wird und außerdem genauso hättte stattfinden können OHNE die Datensätze vorher zu klauen.

    VG
    Sven

  20. @Sven2: In deiner Ausführung ist noch anzumerken, dass das Finden eines anderen Eingabewertes als des Passworts der zum selben Hash auflöst für den Nutzer erst einmal gar kein Problem darstellt. Die einzige Gefahr die bei so etwas besteht (von den Adressdaten mal abgesehen) ist eben die, dass der Nutzer das selbe Passwort auch für andere Dienste verwendet hat. Hat der Angreifer nun dieses Passwort geknackt, kann er sich (wenn er auch den Nutzernamen hat) auch bei anderen Diensten in das Konto des Nutzers einloggen. Im schlimmsten Fall in dessen Mail-Konto. Findet er nun allerdings einen anderen korrekten Eingabewert als das vom Nutzer verwendete Passwort, kann er sich mit diesem noch lange nicht bei einem anderen Dienst in das Konto des Nutzers einloggen. Dazu müsste dieser andere Dienst schon exakt die selbe Art der Verschlüsselung/der Hash-Methode und den selben Salt für diesen Nutzer verwenden. Die einzige Gefahr die besteht ist die, dass er sich mit dem ermittelten Eingabewert natürlich in das OVH-Konto des Nutzers einloggen kann, sollte dieser nicht sein Passwort geändert haben. Wozu er dies allerdings noch machen sollte, nachdem er bereits viel umfangreicheren Zugriff auf das Gesamtsystem hatte, sehe ich nicht.

  21. @basti:
    Dem schließe ich mich 100% an. I.d.R. einfach Passwort reseten und gut ist. Gleiche Passwörter für verschiedene Dienste sollte eh NIEMAND nutzen, dafür gibt es ja Passwort Manager.

    Solange der Provider mit Maßnahmen wie Salt und aktuellen, als sicher geltende, Standard-Bibliotheken für Verschlüsselung und kryptographische Hashfunktionen einsetzt und dann AUCH NOCH SEINE KUNDEN BEI EINEM HACK INFORMIERT (das machen ja viele NICHT), ist die Sache nicht so schlimm (oder übersehe ich da etwas).

    VG
    Sven

  22. @Sven2: „Gleiche Passwörter für verschiedene Dienste sollte eh NIEMAND
    nutzen, dafür gibt es ja Passwort Manager.“

    Soviel zur Theorie. Habe gestern erst Stunden damit verbracht meine
    alten „Standardpasswort“-Accounts umzustellen, nachdem hier im Blog
    der Hackangriff auf das Ubuntu-Forum mitgeteilt wurde. Zugegeben, das
    waren nur unwichte Forenaccounts, aber auch da ist der Schaden groß
    genug, wenn jemand damit illegale Inhalte postet. Ich will aber
    garnicht wissen, wie viele Accounts aus den letzten 14 Jahren mit dem
    Passwort es noch gibt, an die ich mich garnicht erinnern kann.

    Zudem lässt sich auch wenn man durchs Salten wenigstens nicht schwache
    Passwörter vorab herausfiltern kann, immernoch leicht genug ein netter
    Teil der Passwörter knacken. Prozentuell vielleicht kein großer, aber
    ich traue mich wetten dass, je nach Anforderungen an das Passwort,
    zumindest einpaar 100 „passwort“, „Passwort0“ oder „Passwort_0“ dabei
    sind. Einpaar weitere Standardkombinationen dazu und man kann schon
    mit einem normalen Notebook in einpaar Minuten ein paar tausend
    Passwort/Email-Paare haben, oder?

    So sehr man auch den Nutzern auch naiven Umgang vorwerfen mag, Schaden
    lässt sich mit dadurch geknackten Emailaccounts trotzdem anrichten.

  23. @Yu:
    Das bestimmt ein paar hundert Passwörter dabei sind die von der gleichen Qulität wie das legendäre Passwort „GEHEIM“ sind, glaube ich sofort.

    ABER:
    1. Deese Accounts waren auch schon vor dem Diebstahl der DB ohne wirkliche Probleme angreifbar.
    2. Dieses Verghene ist nicht OHV anzulasten, sondern schlicht den Nutzern , die so schwache Passwörter einstellen.

    Btw. ich habe mit Sicherheit auch noch ein paar, alte nicht mehr genutzte, Dienste mit Standardpasswörtern. *schäm*

    VG
    Sven

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.