Thema: Webhoster gehackt: Hetzner empfiehlt Passwortwechsel

[SiLæncer]

Der Webhoster Hetzner wurde gehackt. Seinen Kunden empfiehlt das Unternehmen umgehend, sämtliche Passwörter auf ihren Hetzner-Systemen zu ändern.

Hetzner hat einen missbräuchlichen Zugriff auf sein internes System festgestellt. Von dem Servereinbruch sollen alle Kunden der Hetzner Online AG betroffen sein.

"Soweit wir es derzeit rekonstruieren können, war es dem Angreifer möglich, auf interne Kundendaten der Hetzner Online Administrationssysteme zuzugreifen", heißt es in einer auch per E-Mail an Kunden verschickten Mitteilung.

Zwar lägen auf Kundenseite noch keine Hinweise über Datenmissbrauch vor. Da sich das jedoch nicht völlig ausschließen lasse, bittet Hetzner seine Kunden darum, "sämtliche Passwörter auf ihrem Hetzner-System umgehend zu ändern". Zudem empfehle es sich, keine identischen Passwörter für mehrere Systeme zu verwenden, so das Unternehmen weiter.

"Wir setzen alles daran, damit Ihre Kundendaten bei uns in sicheren Händen sind. Das Thema Datenschutz hat für uns eine sehr hohe Priorität. Doch leider können Vorfälle wie dieser nicht ganz ausgeschlossen werden. Um eine lückenlose und transparente Aufklärung zu garantieren, werden wir diesen Vorfall in Kürze den Aufsichtsbehörden melden", so Hetzner.

Über den aktuellen Stand der Ermittlungen soll unter http://hetzner-status.de/ informiert werden.

Quelle : www.golem.de

[SiLæncer]

Der gehackte Webhoster Hetzner Online hatte die Administratoren- und Kundenpasswörter lange Zeit nicht verschlüsselt abgelegt. Der mittlerweile bekannte Eindringling konnte die Daten aus einem früheren Angriff nutzen, um sich trotz verbesserter Sicherheit Zugang zu den Kundendaten zu verschaffen.

Hetzner Online wurde vom Unternehmer Tobias Huch gehackt, der schon einige Sicherheitslücken aufgedeckt hatte. Martin Hetzner dazu: "Vor geraumer Zeit wurden bei uns aufgrund einer sicherheitsrelevanten Schwachstelle in unseren Systemen Passwortdaten ausgespäht. Diese Sicherheitslücke wurde bereits vor einigen Monaten aufgrund von fortlaufenden Sicherheitsupdates auf unseren Servern geschlossen. Kürzlich wurden diese Passwortdaten wieder aufgegriffen und sich damit Zugang zu unseren Systemen verschafft."

Die Passwörter auszuwerten war kein Problem: Sie waren unverschlüsselt gespeichert, wie aus einer Beschreibung von Hetzner hervorgeht. Das galt bis zum 12. September 2011 auch für das Zugangspasswort für das Login bei der Administrationsseite von Hetzners Shared Hosting und Managed Server (KonsoleH). Erst seit dem 13. September 2011 wurde dieses Passwort mit SHA256 und SALT abgesichert.

Am 6. Oktober meldete Hetzner den Servereinbruch und empfahl seinen Kunden den schnellen Austauch der Passwörter. Die Kundenkennwörter waren aber zumindest bis zu 7. Oktober 2011 noch unverschlüsselt. Das soll sich aber laut Hetzner ändern: "An der Verschlüsselung der restlichen Kennwörter im Managed Umfeld arbeiten wir - und werden unsere Systeme schrittweise umstellen - soweit das technisch realisierbar ist."

Tobias Huch gab gegenüber Hetzner Online an, von seiner Seite die erspähten Kundendaten "nicht missbräuchlich verwendet" zu haben. Allerdings könne nicht ausgeschlossen werden, dass andere Personen ebenfalls Zugriff auf die Systeme hatten. So hieß es seitens Hetzner vor der detaillierten Beschreibung der Vorgänge noch, dass nicht völlig ausgeschlossen werden könne, dass Kontodaten betroffen sind. Kunden wurden daher gebeten, ihre "Kontoaktivitäten in den nächsten Wochen genauer zu beobachten". Kreditkartendaten sollen nicht betroffen sein, da die Kreditkartenzahlungen über einen externen Dienstleister abgewickelt und deshalb keine Daten dazu gespeichert würden.

Martin Hetzner hat angekündigt, dass in den kommenden Tagen noch genauer untersucht werden müsse, "ob sich aufgrund der starken Vernetzung und der Infiltration der internen Systeme noch weitere Schwachstellen ergeben". Das könne zum jetzigen Zeitpunkt noch nicht ausgeschlossen werden. In den kommenden Tagen sollen deshalb in Kooperation mit Huch und einer externen Sicherheitsfirma die Hetzner-Server weiter untersucht werden.

"Wir möchten uns an dieser Stelle für Ihre bisherige Unterstützung, Ihre wertvolle Kritik und Ihr Vertrauen bedanken! Wir geben unser Bestes, und doch können wir Fehler nie völlig ausschließen. Wir wollen diese bzw. jede Gelegenheit nutzen und aus vergangenen Fehlern zu lernen und unsere Systeme und Konzepte weiter zu optimieren", so der Hetzner-Chef unter hetzner-status.de.

Quelle : www.golem.de

[SiLæncer]

Nach und nach kommen Einzelheiten des Cyber-Einbruchs beim Web-Hoster Hetzner ans Tageslicht: In einem Interview mit Netzwelt.de erklärt Medienunternehmer Tobias Huch, dass er hinter dem Einbruch steckt. Er behauptet, dass er sich nach einem Hinweis mit einem normalen Kundenaccount über FTP in der Verzeichnisstruktur hochhangeln und so auf kritische Bereiche des Servers vordringen konnte.

Auf diese Weise will er an das Root-Passwort des Server und weiterer Verwaltungsserver gelangt sein. Dadurch will Huch schließlich Zugriff "auf wirklich alle Systeme" gehabt haben. Anschließend habe er einen Redakteur des Spiegel mit der Sache vertraut gemacht, damit sich dieser mit Hetzner in Verbindung setzt. Zu Demonstrationszwecken will er den Redakteur "unter anderem mit einem Passwort von Martin Hetzner persönlich" versorgt haben.

Gegenüber heise Security bestätigte Geschäftsführer Martin Hetzner, dass ihn der Spiegel am vergangenen Mittwoch auf das Sicherheitsproblem aufmerksam gemacht habe. Die bislang von Huch bereitgestellten Informationen würden jedoch nicht ausreichen, um den Einbruch lückenlos nachvollziehen zu können. Huch sei "nicht so auskunftsfreudig, wie gewünscht" und habe das Unternehmen mit "wenig bis nichts" an Informationen versorgt. Hetzner könne jedoch anhand eines Datenbankauszugs zweifelsfrei nachvollziehen, dass ein Zugriff auf die interne Datenbank stattgefunden hat. Für Irritationen sorgte auch der Zeitpunkt, zu dem Huch mit Hetzner in Verbindung trat.

Während Huch in dem Interview behauptet, dass die "gröbsten Lücken direkt" nach der Kontaktaufnahme seitens des Spiegel geschlossen wurden, gab er gegenüber Hetzner an, dass er sich bereits im vergangenen Jahr Zugriff auf die Zugangsdaten verschaffte und die Lücke Anfang dieses Jahres vermutlich unwissentlich von Hetzner geschlossen wurde. Da Hetzner die genaue Ursache des Problems noch nicht kenne, arbeite das Unternehmen mit einem externen Dienstleister an der Aufklärung. Laut Hetzner gibt es bislang keine Hinweise darauf, dass die Schwachstelle für kriminelle Zwecke missbraucht wurde.

Quelle : www.heise.de

[SiLæncer]

Die Webhoster Hetzner wurde Opfer eines Hackerangriffs, bei dem Unbekannte auch Kundendaten kopiert haben. Die Eindringlinge hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Bei dem Angriff soll ein bislang unbekanntes Server-Rootkit zum Einsatz gekommen sein.

In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. Dabei fiel dem Hoster zunächst eine Backdoor in einem seiner Nagios-Überwachnugsserver auf. Bei der anschließend eingeleiteten Untersuchung wurde klar, dass auch die Robot genannte Verwaltungsoberfläche für dedizierte Server kompromittiert wurde. Die Eindringlinge haben auf die dort gespeicherten Kundendaten zugegriffen.

Wie viele Kunden davon betroffen sind, könne man "technisch noch nicht bewerten", wie Michael Hetzner gegenüber heise Security sagte. In der Robot-Datenbank sind auch Zahlungsinformationen gespeichert, wie etwa Bankdaten von Kunden, die per Lastschrift bezahlen. Diese seien zwar asymmetrisch verschlüsselt, allerdings kann der Hoster derzeit nicht ausschließen, dass auch die zur Entschlüsselung notwendigen privaten Krypto-Schlüssel kopiert wurden. Darüber hinaus hatten die Angreifer Zugriff auf Kreditkartendaten (die letzten drei Ziffern der Kreditkartennummer, das Ablaufdatum sowie der Kartentyp) und gesalzene SHA256-Passwort-Hashes.

Hetzners Angaben zufolge handelt es sich um einen Angriff auf ungewöhnlich hohem technischen Niveau: Es soll sich um eine bislang unbekanntes Rootkit handeln, die keine Dateien auf der Festplatte berührt. "Stattdessen werden bereits auf dem System laufende Prozesse gepatcht und der Schadcode direkt in das Ziel-Prozessimage injiziert", erklärte Michael Hetzner. Das Rootkit soll den OpenSSH-Daemon und Apache im Arbeitsspeicher manipuliert haben. Dies geschah anscheinend nahtlos ohne Neustart der Dienste. Prinzipiell sei das Rootkit vermutlich auch dazu in der der Lage, ProFTPD zu manipulieren. Berichte über Angriffe, bei denen Daemons wichtiger Programme manipuliert werden, häufen sich derzeit. Dass die Manipulation jedoch nur im Arbeitsspeicher vorgenommen wird, scheint neu zu sein.

Laut Michael Hetzner wurden die manipulierten Apache-Instanzen nach derzeitigem Kenntnisstand nicht zur Verbreitung von Malware missbraucht. Wer hinter dem Angriff steckt, ist derzeit noch unklar. Auch wie die Hacker in die Server eingestiegen sind, muss noch geklärt werden. Die Hosting-Firma gibt an, bereits das BKA eingeschaltet zu haben.

Quelle : www.heise.de