Thema: Hacks diverser Hersteller/Anbieter ...

[SiLæncer]

Die Crowdfunding-Plattform Kickstarter wurde Opfer eines Hackerangriffs. Jenseits von Benutzernamen und Mail-Adressen griffen die Hacker auch auf verschlüsselte Passwörter zu.

Bei einem Angriff auf die Crowdfunding-Plattform Kickstarter wurden Kundendaten kompromittiert. Dem Anschein nach wurden persönliche Daten aller Kunden abgegriffen, darunter deren Namen, Mail-Adressen, Postanschriften und Telefonnummern.

Die verschlüsselten Kennwörter wurden von den Angreifern ebenfalls ausgelesen. Kickstarter mag grundsätzlich nicht ausschließen, dass diese geknackt werden könnten. Allerdings versichert das Unternehmen, ältere Kennwörter seien mit SHA1 "gesalzen" gewesen und neuere mit bcrypt abgesichert. Damit geht Kickstarter immerhin sorgsamer mit den Daten seiner Kunden um als Adobe. Der Grafikkkonzern hatte die Passwörter unzureichend verschlüsselt und damit im vergangenen Herbst die Login-Daten von mindestens 38 Millionen Anwendern aufs Spiel gesetzt.

Der ganze Artikel

Quelle : www.heise.de

[Micke]

...

Quelle: http://www.networkworld.com/news/2014/030414-linux-security-279392.html

[SiLæncer]

Ein Eindringling hat sich adminstrativen Zugriff auf das Chip-Forum verschafft. Die Betreiber können nicht ausschließen, dass er auf Mail-Adressen und Passwort-Hashes zugegriffen hat. Letztere waren unzureichend geschützt.

Das Forum von Chip Online wurde offenbar gehackt. In einer Rundmail informierten die Betreiber ihre Nutzer darüber, dass sich "ein unberechtigter Dritter [...] Zugriff auf die Verwaltung des CHIP Forums verschafft" hat. Die Betreiber können nicht ausschließen, dass der Eindringling auf die Mail-Adressen und Passwort-Hashes der 2,5 Millionen Nutzer zugegriffen hat". Daher sollten Nutzer, die das Passwort auch bei anderen Diensten verwenden, dort umgehend ein neues, sicheres Passwort erstellen, erläutert Chip.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Unbekannten gelang es, Nutzernamen, E-Mail-Adressen und verschlüsselte Passwörter von 350.000 Nutzern zu kopieren. Der Firmenchef des Antivirenherstellers hält es für möglich, dass die Hacker an Klartext-Passwörter kommen.

Nach einem Hackerangriff wurde das Forum des Antivirenherstellers Avast vom Netz genommen. Benutzernamen, E-Mail-Adressen und gehashte Passwörter der Forennutzer seien bei dem Angriff kopiert worden. Die Firma geht davon aus, dass die Hacker viele der Passwörter entschlüsseln können und wird die Nutzer dazu zwingen, diese bei der nächsten Anmeldung zu ändern. Momentan sei das Forum offline, da man es auf eine neue Software umstellen wolle.

Firmenchef Vince Steckler empfiehlt in einem Blog-Eintrag zu dem Vorfall allen Nutzern, die ihr Avast-Passwort auch an anderer Stelle verwendet haben, diese nun zu ändern. Man habe den Angriff direkt erkannt und das Forum abgeschaltet. Kundendaten seien nicht betroffen, da das Forum ein eigenständiges System sei. Vor dem Hack waren mehr als 350.000 Benutzer im Avast-Forum registriert.

Wie die Angreifer in das Forum eingedrungen sind, ist bis jetzt nicht bekannt. Auch wie die Anmeldedaten genau gespeichert wurden, teilte der Firmenchef nicht mit. Das Avast-Forum nutzte bis gestern die freie Foren-Software Simple Machines Forum (SMF). Diese setzt standardmäßig die PHP-Umsetzung des SHA-1-Algorithmus und einen Salt-Wert ein, um Passwörter zu verschlüsseln.

Quelle : www.heise.de

[SiLæncer]

Hacker wollen Millionen von Passwörtern für Dropbox-Accounts abgegriffen haben. Diese sollen gegen Bitcoins nun veröffentlicht werden. Dropbox streitet ab, dass die Daten echt sind.

Unbekannte haben über Pastebin angedroht, knapp sieben Millionen Dropbox-Nutzernamen und die dazugehörigen Passwörter zu veröffentlichen. Bis jetzt haben sie allerdings erst ein paar hundert Passwörter eingestellt, mehr sollen folgen, falls Interessenten anonym Geld in Form der Kryptowährung Bitcoin "spenden". Dropbox hat mittlerweile öffentlich abgestritten, Opfer eines Hacks geworden zu sein. Außerdem habe das Unternehmen die veröffentlichten Passwörter überprüft und festgestellt, dass diese nicht mit Dropbox-Konten übereinstimmen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Unbekannte haben am Montag den Firmenbetrieb bei Sony Pictures zum Erliegen gebracht. Sie sollen sämtliche Computer im Firmennetz der Sony-Tochter gekapert haben. Auch das Play-Store-Konto von Sony soll betroffen sein.

Unbekannte Hacker haben Medienberichten in den USA zufolge am Montag die gesamte IT-Infrastruktur bei Sony Pictures übernommen. Auf Arbeitsplatzrechnern erschien eine Meldung, die Geräte seien von einer Gruppe namens Guardians of Peace (GOP) gekapert worden. Die Gruppe droht damit, interne Daten der Firma zu veröffentlichen, wenn bestimmte Forderungen nicht erfüllt werden. Kurioserweise scheinen diese Forderungen nicht bekannt zu sein.

Laut US-Medien hatten Mitarbeiter der Firma davon berichtet, nach Hause geschickt worden zu sein, da alle Computer aus Sicherheitsgründen abgeschaltet worden waren. Man habe ihnen gesagt, Mobilgeräte aus den Firmen-WLANs zu nehmen und keine E-Mails abzurufen. Die von zu Hause arbeitenden Kollegen seien angewiesen worden, auf keinen Fall auf Firmennetze zuzugreifen. Gegenüber The Next Web hat eine anonyme Quelle, die bei Sony Pictures arbeiten soll, angegeben, die Hacker hätten einen einzelnen Server kompromittiert und von da aus das ganze Netz übernommen.

Im Nachrichten-Forum Reddit hat ein Nutzer ein Foto eines gehackten Computers veröffentlicht. Dieser Nutzer, der inzwischen sein Konto gelöscht hat, hatte nach eigenen Angaben früher bei Sony Pictures gearbeitet – ältere Posts scheinen das zu bestätigen. Er will das Bild von einem Freund erhalten haben, der noch bei der Firma arbeitet. Weitere Nutzer beschrieben einer Zip-Datei, welche die Hacker ins Netz gestellt hatten. Diese soll Listen mit Dateien enthalten, die von den Hackern erbeutet wurden. Darunter sind augenscheinlich Finanzberichte, private Krypto-Schlüssel, interne Präsentationen und sogar Kopien von Pässen von Mitarbeitern.

Angreifer tauschten Android-App im Play Store aus

Die unbekannten Hacker sollen The Verge zufolge auch Twitter-Konten gekapert haben, die zu Sony Pictures gehören. Außerdem häufen sich Anzeichen, dass die Firma für kurze Zeit die Kontrolle über ihr Google-Play-Konto verloren hatte und jemand die App "Backup & Restore" gegen eine andere Version austauschte. Als System-App auf Sonys Xperia Handys kann man diese nicht entfernen. Die gehackte, möglicherweise bösartige App enthielt den Schriftzug "HeArT H4CK3R5" und wurde unter Umständen an einige Geräte als Update ausgeliefert. Sony hat die verdächtige App mittlerweile wieder entfernt.

Sony Pictures Entertainment ist ein US-stämmiges Tochterunternehmen von Sony. Es produziert und vertreibt Filme und Fernsehserien. Sowohl Columbia Pictures, TriStar Pictures als auch die Fernsehproduktionsfirma Sony Pictures Television gehören zu dem Firmenverbund der seinen Hauptsitz in Culver City, Kalifornien hat.

Quelle : www.heise.de

[SiLæncer]

Kaspersky hat eine Version der Destover-Malware entdeckt, die mit erbeuteten Zertifikaten aus dem Sony-Pictures-Hack signiert wurde und so die Prüfung von Windows austricksen kann.

Die Hacker, die das Netzwerk von Sony Pictures komplett zerlegt haben, konnten bei ihrem Beutezug auf den Servern der Firma unter anderem Zertifikate mitgehen lassen, mit denen Sony Pictures seine Software signiert. Kaspersky hat jetzt einen Trojaner gefunden, der mit einem gültigen Sony-Zertifikat signiert wurde. Dabei handelt es sich um Destover – der selbe Schadcode wurde auch schon beim Hack gegen Sony Pictures eingesetzt.

Trojaner, die mit einem Zertifikat signiert wurden, dem sowohl Windows als auch AV-Programme vertrauen, werden unter Umständen ungehindert installiert. Außerdem lässt sich damit auch der Schutz durch Whitelisting umgehen, der den Start unbekannter Anwendungen verhindern soll. Solche Schutzmaßnahmen werden typischerweise in Bereichen mit hohen Sicherheitsanforderungen eingesetzt.

Mittlerweile hat DigiCert das entsprechende Zertifikat zurückgezogen, berichtet die britische Nachrichtenseite The Register. Damit ist wenigstens das Zertifikat, das Kaspersky mit Destover in Verbindung bringen konnte, aus dem Verkehr gezogen. Es ist allerdings wahrscheinlich, dass in der Zwischenzeit Systeme mit dem Trojaner infiziert wurden.

Laut Kaspersky führt die Spur der Kontrollserver übrigens in die USA und nach Bangkok in Thailand. Aus einem Hotel in Bangkok sollen auch die geleakten Dateien aus dem Hack hochgeladen worden sein.

Quelle : www.heise.de

[SiLæncer]

Unbekannte Hacker haben Kunden des Lufthansa-Bonusmeilenprogramms attackiert. Bei dem Angriff wurden massenhaft Passwörter ausprobiert. Die Lufthansa betont, dass es kein Datenleck in ihren Systemen gegeben hat, sondern nur Accounts betroffen waren.

Lufthansa-Kunden sind laut einem Bericht des Nachrichtenmagazins Der Spiegel Opfer einer Cyber-Attacke geworden. Unbekannte haben sich demnach Zugang auf die persönlichen Internetseiten von LH.com-Nutzern verschafft und damit zu deren Meilenkonten. Dies sei durch den Einsatz sogenannter Botnetze gelungen: Es wurde eine große Anzahl von Benutzernamen- und Passwortkombinationen automatisiert ausprobiert, bis ein Login gelang, berichtete das Magazin.

Ein Lufthansa-Sprecher bestätigte den Vorfall "aus den vergangenen Wochen". Das Unternehmen sei umgehend dagegen eingeschritten. "Wir glauben, dass wir das Problem weitgehend im Griff haben", sagte der Sprecher am Freitag der dpa: "Wir haben einige Hundert Kunden-Seiten sperren müssen." Die Zugangsdaten der Kunden seien ausgetauscht worden. Der Sprecher betonte aber auch, dass es kein Datenleck im Lufthansa-System gegeben habe.

Wie der Spiegel berichtet, konnten vor der Sperrung "unberechtigte Zugriffe auf einige Kundenseiten nicht verhindert werden". Nach den Angaben des Sprechers haben die Hacker mit den Zugangsdaten Kunden-Meilen in Gutscheine umgetauscht und verschiedene Prämien eingelöst. Und zwar vor allem Dinge wie Voucher, die nicht per Post an eine Adresse geschickt werden müssten. "Die Meilen sind sofort zurückgebucht worden", betonte der Sprecher.

Das Unternehmen bestätigte, dass zu den Geschädigten auch "eine kleine einstellige Zahl" von Lufthansa-Top-Kunden gehörte, sogenannte "HON Circle"-Mitglieder. Das sind Vielflieger in der Business- und First-Class.

Quelle : www.heise.de

[SiLæncer]

Hacker haben eine Domain der Dating-Plattform Lovoo entführt, wodurch der Dienst mehrere Stunden nicht nutzbar war. Ob auch Nutzerdaten kopiert wurden, ist derzeit unklar.

Die Dating-Plattform Lovoo ist offenbar einem Hackerangriff zum Opfer gefallen. Die Domain Lovoo.net wurde bis Dienstagnachmittag auf eine Seite mit politischen Forderungen umgeleitet. Ob die Angreifer auch Nutzerdaten kopieren konnten, ist aktuell nicht bekannt.

Der Hack sorgte anscheinend auch dafür, dass sich die Nutzer der Dating-App nicht einloggen konnten. Die Dresdner Betreiber erklärten daraufhin über Twitter, dass "kleine technische Probleme" verantwortlich seien. Zu dem Umstand, dass eine der Lovoo-Domains entführt wurde, äußerte sich das Unternehmen bisher nicht. Lovoo zählt zu den prominenteren Dating-Plattformen. Allein die Android-App wurde laut den Angaben im Play Store weltweit zwischen 10 und 50 Millionen Mal installiert.

Quelle : www.heise.de

[SiLæncer]

Dass unbekannte Hacker Daten von Bundestags-Computern abgezweigt haben, ist bekannt. Doch die Cyberattacke war offenbar so massiv, dass das Parlament ein völlig neues IT-Netzwerk aufsetzen muss.

Die Cyberattacke auf den Bundestag hat Medienberichten zufolge deutlich mehr Schaden angerichtet als bisher bekannt. Nach Informationen von NDR, WDR und Süddeutscher Zeitung muss das Parlament sein gesamtes Computer-Netzwerk neu aufbauen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei zu dem Ergebnis gekommen, dass das Netz nicht mehr gegen den Angriff verteidigt werden könne und aufgegeben werden müsse. Einem Bericht von Spiegel Online zufolge fließen noch immer Daten in unbekannter Richtung ab.

"Totalschaden"

Der Bundestag wollte sich am Mittwoch nicht zu den Berichten äußern. Das geschehe auch aus Respekt vor den zuständigen parlamentarischen Gremien, sagte Bundestagssprecher Ernst Hebeker. Seinen Angaben zufolge wird sich der Ältestenrat des Parlaments an diesem Donnerstag mit dem Hackerangriff beschäftigen.

Laut Spiegel Online wird in Parlamentskreisen bereits ein "Totalschaden" befürchtet. Womöglich müsse nicht nur die Software der Rechner neu installiert, sondern auch die komplette Hardware ausgetauscht werden. Dies würde Monate dauern und Kosten in mehrstelliger Millionenhöhe verursachen. Insgesamt sind in dem Netzwerk wohl über 20.000 Rechner angeschlossen.

Spur nach Moskau?

NDR, WDR und SZ berichten, die Angreifer hätten mittlerweile sogar Administratoren-Rechte an sich gebracht. Sie hätten somit Zugriff auf beliebige Systeme des Bundestags sowie auf alle Zugangsdaten der Fraktionen, Abgeordneten und Mitarbeiter. Nicht betroffen seien die Geheimschutzstelle, der NSA-Untersuchungsausschuss und die Personalverwaltung des Bundestages, da sie besonders gesicherte Netzwerke nutzten.

Vor vier Wochen war bekannt geworden, dass Bundestags-Computer das Ziel einer beispiellosen Cyberattacke geworden waren. Unbekannte hatten einen Trojaner ins Netzwerk eingeschleust und Daten abgezweigt. Wer hinter dem Angriff steckt, ist bislang unklar. Wiederholt war aber darüber spekuliert worden, dass ein ausländischer Geheimdienst dahinterstecken könnte. Spiegel Online zufolge verdichteten sich Hinweise, die auf den russischen Auslands-Geheimdienst SWR deuten.

Quelle : www.heise.de

[SiLæncer]

Als wenn die Parlamentarier nicht schon genug Probleme hätten. Jetzt werden auch noch unschöne Lücken in den Webservern der Volksvertretung aufgedeckt.

Nach den Hacker-Angriffen auf den Deutschen Bundestag versucht jetzt offensichtlich jeder sein Glück. Dabei stehen nun neben dem internen Parlakom-Netz auch die öffentlichen Webserver des Bundestages unter Beschuss. Neben jeder Menge offener Directory-Listings und veralteter Server-Software haben findige Hacker jetzt auch XSS-Lücken im Server des Bilderdienstes des Gremiums gefunden. Cross-Site Scripting? Neuland!

Quelle : www.heise.de

 

[SiLæncer]

Ein Hacker hat Nutzer-Namen und Passwörter von BitDefender-Kunden kopiert und den Anbieter erpresst.

In einer Komponente des Cloud-Services von BitDefender klaffte eine Schwachstelle, über die der Hacker DetoxRansome Datensätze mit Zugangsdaten von aktiven Nutzern abziehen konnte. Dabei hat er BitDefender zufolge aber keinen Server kapern können. Wie der Hacker gegenüber dem Nachrichten-Portal Forbes erklärte, lagen die Nutzer-Namen und Passwörter unverschlüsselt auf dem Server.

BitDefender hat angegeben, dass davon weniger als ein Prozent ihrer Kunden betroffen sind. Von denen sollen bereits alle eine E-Mail erhalten haben mit der Bitte, die Zugangsdaten zurückzusetzen. Die Lücke wurde BitDefender zufolge umgehend geschlossen.

Mit den erbeuteten Daten wollte DetoxRansome BitDefender erpressen und forderte 15.000 US-Dollar ein. Um seine Forderung zu unterstreichen, veröffentlichte er einen Teil der Daten. Berichten zufolge hat BitDefender die Summe nicht gezahlt. Die Ermittlungen sollen noch andauern.

Quelle : www.heise.de

[SiLæncer]

Ein Online-Erpresser hat sich weitreichenden Zugriff auf die Infrastruktur von 1blu verschafft – darunter Passwörter und Bankverbindungen sämtlicher Kunden. Um die Veröffentlichung zu verhindern, sollte der Hoster 250.000 Euro zahlen.

Die Webhosting-Firma 1blu ist Opfer eines Cyber-Erpressers geworden. Ein bislang unbekannter Täter ist in die Infrastruktur des Unternehmens eingedrungen und konnte dabei unter anderem auf die Daten sämtlicher Kunden zugreifen.

Betroffen sind unter anderem die bei 1blu gespeicherten Passwörter, persönliche Daten, Bankverbindungen und Interna. Anschließend versuchte er das Unternehmen zur Zahlung von umgerechnet 250.000 Euro in Bitcoins zu erpressen, wie das Unternehmen im Gespräch mit heise Security erklärte. Andernfalls wolle er die erbeuteten Daten veröffentlichen.

Erpressung

1blu erklärte, dass es für das Unternehmen nie eine Option gewesen sei, den geforderten Betrag zu zahlen. Stattdessen wandte sich der Hoster an das LKA Berlin, das daraufhin die Ermittlungen aufnahm. Der Erpresser hat 1blue bereits am 1. Juli kontaktiert, auf Anraten der Ermittler hat der Hoster den Vorfall jedoch bis heute unter Verschluss gehalten.

Das Unternehmen hat seine Kunden am heutigen Donnerstag per Mail über den Erpressungsversuch infomiert und sie aufgefordert, die Passwörter für die Dienste E-Mail, FTP, MySQL und 1blu-Drive zu ändern. Die alten Passwörter wurden gesperrt.

Entschlüsselte Passwörter

Nach Angaben des Hosters wurden die Kundenpasswörter zwar "verschlüsselt gespeichert", dem Täter sei es jedoch gelungen, die Passwörter zu entschlüsseln. heise Security hat weitere Informationen zu dem eingesetzten Verschlüsselungsverfahren angefordert.

Üblicherweise werden Passwörter bei Online-Diensten nicht verschlüsselt, sondern gehasht gespeichert. Kommt dabei ein etabliertes Hash-Verfahren wie PBKDF2 zum Einsatz, kann man von den beim Anbieter gespeicherten Passwort-Hashes nur mit extrem hohen Aufwand auf die Klartext-Passwörter schließen.

Fehlerhafte Konfiguration

Der Cyber-Einbruch ist laut 1blu durch eine fehlerhafte Serverkonfiguration gelungen. Nachdem der Angreifer durch dieses Schlupfloch eingestiegen war, hangelte er sich nach und nach weiter.

Das Unternehmen erklärt, dass er Angriff durch nachlässige Mitarbeiter erleichert wurde, die sich nicht an "die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern" gehalten habe. Der Hoster will daraus "unmittelbar Konsequenzen für die interne personelle und technische Organisationsstruktur gezogen" und seine Infrastruktur weitmöglich abgesichert haben.

Quelle : www.heise.de

[SiLæncer]

Vor zwei Monaten Erfuhr die Hosting-Firma, dass sich ein Angreifer weitreichenden Zugriff auf Kundendaten verschaffen konnte. Jetzt stellt sich heraus, dass offenbar auch die SSL-Zertifikate der Kunden betroffen sind.

Die Berliner Webhosting-Firma 1blu hat nach einem folgenschweren Hackerangriff die SSL-Zertifikate ihrer Kunden ausgetauscht. Vor über zwei Monaten setzte sich ein Erpresser mit 1blu in Verbindung, um mitzuteilen, dass er sich weitreichenden Zugriff auf die Infrastruktur des Unternehmens verschafft und große Datenmengen kopiert hatte. Darunter befinden Interna sowie Passwörter, persönliche Daten und Bankverbindungen der Kunden. Betroffen sind hunderttausende Kundenverträge. Der Täter forderte von dem Unternehmen 250.000 Euro in Bitcoins, andernfalls wolle er die erbeuteten Daten veröffentlichen.

Auch SSL-Zertifikate kompromittiert

Ob von dem Vorfall auch SSL-Zertifikate betroffen sind, hatte 1blu gegenüber seinen Kunden bisher nicht kommuniziert. heise Security hat das Unternehmen kürzlich um weitere Informationen zu dem Angriff gebeten und dabei auch explizit gefragt, ob die Sicherheit der Zertifikate gewährleistet ist. Stichproben ergaben, dass nach wie vor Zertifikate zum Einsatz kamen, die vor dem Cyber-Einbruch ausgestellt wurden. 1blu erklärte, dass man just am Tag unserer Anfrage damit begonnen hat, die Zertifikate der Kunden auszutauschen.

Das deutet darauf hin, dass der Täter die zu den SSL-Zertifikaten gehörigen privaten Krypto-Schlüssel erbeuten konnte. Mit diesen kann sich ein Angreifer in der Position des Man-in-the-Middle in verschlüsselte SSL-Verbindungen einklinken und die übertragenen Daten im Klartext mitlesen sowie manipulieren.

Zertifikatstausch im großen Stil

heise Security hat daraufhin mehrere tausend Zertifikate untersucht, die 1blu aktuell für seine Kunden ausliefert. Tatsächlich wurden am Tag unserer Anfrage oder später fast 90 Prozent der von uns gesichteten Zertifikate erneuert. Die neuen Zertifikate wurden, genauso wie die alten, von Comodo ausgestellt. Bei den übrigen Fällen handelt es sich vermutlich um Kunden, die ein selbst zu adminstrierendes Server-Paket bei 1blu gebucht haben (vServer, RootServer oder DedicatedServer). Diese müssen das kompromittierte Zertifikat selbst austauschen. Laut 1blu finden diese Nutzer im Kundencenter hierzu ein neues SSL-Zertifikat vor.

Zwei Monate Vorbereitungszeit

Der Täter hatte sich bereits am 1. Juni 2015 mit 1blu in Verbindung gesetzt – die Zertifikate wurden allerdings erst zwei Monate später getauscht. Das Unternehmen begründet die Verzögerung damit, dass der Massenaustausch "zunächst technisch vorbereitet werden musste". Allerdings hat 1blu seine Kunden nicht im Vorfeld darüber informiert, dass die verschlüsselten Verbindungen ihrer Webhosten-Pakete und Server nicht mehr als sicher zu betrachten sind.

Auch wenn die kompromittierten Zertifikate inzwischen offenbar nicht mehr ausgeliefert werden, ist die Gefahr noch nicht gebannt: Sie wurden laut 1blu noch nicht auf die entsprechende Zertifikatssperrliste gesetzt. Somit lassen sie sich weiterhin uneingeschränkt für missbräuchliche Zwecke einsetzen. Die Sperrung der betroffenen Zertifikate soll voraussichtlich "in den nächsten Tagen erfolgen".

Quelle : www.heise.de

[SiLæncer]

13 Millionen Datensätze von Nutzern des Web-Hosters 000webhost sind in das Internet durchgesickert. Darin sollen neben E-Mail-Adressen auch Passwörter im Klartext zu finden sein.

Unbekannte Hacker haben eine Datenbank des Webhosters 000webhost mit 13 Millionen Nutzereinträgen veröffentlicht. Diese Informationen wurden dem Sicherheitsforscher Troy Hunt zugespielt, der die Webseite Have I Been Pwned betreibt. Die Verantwortlichen von 000webhost bestätigen den Vorfall.

Der unbekannte Kontakt versicherte gegenüber Hunt, dass der Einbruch in das Computersystem des Web-Hosters bereits vor rund fünf Monaten stattgefunden haben soll.

Passwörter im Klartext

Hunt zufolge finden sich in den geleakten Daten neben den E-Mail-Adressen von Nutzern auch deren Vor- und Nachnamen, zudem sind die Passwörter im Klartext einsehbar. Er hat weiterhin Hinweise entdeckt, dass noch andere Web-Hoster, die mit 000webhost zusammenarbeiten, von dem Online-Einbruch betroffen sein könnten.

Die Betreiber von 000webhost erläutern, dass die Angreifer sich über einen Exploit für eine alte PHP-Version Zugang zum Computersystem verschafft haben. Anschließend kopierten die Hacker Nutzerdaten. Eigenen Angaben zufolge hat der Web-Hoster alle Passwörter geändert und die Verschlüsselung optimiert. Nutzer sollten umgehend ihr Passwort ändern, rät 000webhost.

Hunt hat die Webseite des Web-Hosters zudem untersucht und herausgefunden, dass der Mitgliederbereich unverschlüsselt über HTTP aufgerufen wird. Zudem sollen die Log-in-Daten inklusive Passwort mit der URL verwoben sein.

Quelle : www.heise.de