Scheinbar Kundendaten davon betroffen
Beim Hoster Hetzner wurde virtuell eingebrochen und die Verwaltungsoberfläche für dedizierte Server gehacked. Dabei kann es möglich sein, dass die Kundendaten bzw. auch die Passwörter vom Hetzner Robot System entwendet worden sind. Aus diesem Grund wurden Kunden gebeten ihr Passwort vorsichthalber zu ändern. Folgende Email wurde an die betroffenen Kunden verschickt:
Email Hetzner Servereinbruch:
Sehr geehrter Kunde,
Ende letzter Woche haben Hetzner-Techniker eine „Backdoor“ in einem unserer
internen Überwachunssysteme (Nagios) entdeckt.
Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungs-
oberfläche für dedizierte Server (Robot) davon betroffen war. Aktuelle
Erkenntnisse legen den Schluss nahe, dass Fragmente unserer Kundendatenbank
nach extern kopiert wurden.
Infolge dessen müssen wir derzeit die bei uns im Robot hinterlegten
Kundendaten als kompromittiert betrachten.
Der von uns entdeckte Schädling ist nach unserem Kenntnisstand bisher
unbekannt und noch nicht in Erscheinung getreten.
Der im Backdoor eingesetzte Schadcode setzt sich ausschließlich im
Arbeitsspeicher fest. Eine erste Analyse lässt vermuten, dass der Schadcode
direkt im laufenden Apache- und sshd-Prozess eingeschleust wird. Dabei werden
weder die Binaries des kompromittierten Dienstes modifiziert, noch wird der
betroffene Dienst durch die Infektion neu gestartet.
Übliche Analysetechniken, wie das Prüfen von Checksummen oder Tools wie
„rkhunter“ können die Schadsoftware deshalb nicht aufspüren.
Zur detaillierten Analyse des Vorgangs haben wir eine externe Sicherheitsfirma
beauftragt, unsere eigenen Administratoren zu unterstützen. Zum jetzigen Stand
sind die Analysen über den Vorgang noch nicht abgeschlossen.
Die Zugangspasswörter für Ihren Robot-Kundenaccount werden als Hash (SHA256)
unter Verwendung eines Salt in unserer Datenbank abgelegt. Zur Sicherheit
empfehlen wir, Ihre Kundenpasswörter im Robot auszutauschen.
Bei Kreditkarten werden in unseren Systemen nur die letzten 3 Ziffern der
Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert.
Alle anderen Kartendaten werden ausschließlich von unserem Zahlungsdienstleister
gespeichert, und über eine Pseudokartennummer referenziert. Deshalb sind nach
unserem bisherigen Kenntnisstand keine Kreditkartendaten kompromittiert.
Hetzner-Techniker arbeiten permanent daran, mögliche Sicherheitslücken zu
lokalisieren und zu unterbinden sowie unsere Systeme und Infrastruktur so
sicher wie möglich zu halten. Das Thema Datenschutz hat für uns eine sehr
hohe Priorität. Um die Aufklärung weiter voranzutreiben, haben wir diesen
Vorfall der zuständigen Datenschutzbehörde gemeldet.
Darüber hinaus stehen wir bezüglich dieses Vorfalls mit dem Bundeskriminalamt
in Kontakt.
Selbstverständlich werden wir Sie bei neuen Erkenntnissen umgehend informieren.
Wir bedauern den Vorfall außerordentlich und bedanken uns für Ihr Verständnis
und Ihr Vertrauen.
Sollten Sie Fragen dazu haben, so werfen Sie bitte einen Blick auf unsere
speziell dafür eingerichtete FAQ-Seite unter
http://wiki.hetzner.de/index.php/Security_Issue
Mit freundlichen Grüßen
Martin Hetzner
Hetzner Online AG
Wer einen eignen Server besitzt sollte zur eigenen Sicherheit seine Zugänge bzw. die Passwörter dazu erneuern!
Tags:
- hetzner eingebrochenb
- hetzner sicherheit