Domainfactory ruft alle Kunden zum Wechsel ihrer Passwörter auf. In der vergangenen Woche wurde bekannt, dass ein unbekannter Angreifer Zugriff auf Systeme des Hosters hatte. Darunter ein nicht nährer bezeichneter „Datenfeed“ mit sensiblen Kundeninformationen.
Der Angreifer hat am Dienstag im Support-Forum der Firma behauptet, in die Kundendatenbank eingebrochen zu sein. Als Beweis lieferte er dafür interne Daten mehrere Kunden, welche daraufhin die Echtheit der Informationen bestätigten.
Domainfactory nahm das ganze zuerst nicht ernst und ging wohl von einem Wichtigtuer aus, welcher nur Unmut im Forum streuen möchte. In der vergangenen Woche wurde jedoch klar, dass es sich wirklich um einen Hack gehandelt habe.
Motive des Angreifers
Der Hacker machte seinen Angriff öffentlich, da er gemerkt habe, dass Domainfactory diesen Umstand den eigenen Kunden nicht mitteilen wollte. Ihm ging es angeblich nur um Informationen zur einer Person, welche ihm einen siebenstelligen Betrag schuldet. Der Hacker, der sich selbst als Österreicher bezeichnet, gab zudem an, den Hoster auch im vergangenen Jahr bereits gehackt zu haben.
Kundendaten waren für Dritte zugänglich – Passwörter ändern!
Laut Domainfactory waren die Kundendaten ab dem 29. Januar „außenstehenden Dritten zugänglich“. Das bedeutet, dass folgende Kundendaten als kompromittiert angesehen werden können:
Klarname, Firmenname, E-Mail-Adressen, Anschrift, Geburtsdatum, Telefonnummer, Telefonpasswort, Bankname, IBAN (Kontonummer), sowie der zuletzt abgefragte Schufa-Score.
Im Blog des Unternehmens wird zudem dazu aufgerufen, alle Passwörter zu ändern. Dies umfasst folgende Passwörter im Detail:
Kundenpasswort, Telefonpasswort, E-Mailpasswörter, FTP-/LiveDisk-Passwörter, SSH-Passwörter, MySQL-Datenbankpasswörter
Domainfactory rät den Kunden dazu verstärkt die eigenen Kontobewegungen im Auge zu behalten. Die erbeuteten Daten lassen sich hervorragend für Phishing oder andere Social Engineering Kampagnen nutzen. Verdächtige Aktivitäten sollten umgehend der Polizei gemeldet werden.
Ob alle Kunden von diesem Hack betroffen sind, ist nicht bekannt. Die zuständige Datenschutzbehörde soll bereits informiert wurden sein.
Die Hintergründe
Domainfactory bezeichnet in seiner Stellungnahme den Einbruch als „Datenpanne“. Hier gibt es also noch einiges aufzuarbeiten.
Der Angreifer behauptet, er habe eine Variante des DirtyCow-Angriffes benutzt, um root-Zugang zu den Servern zu erhalten. Einige Kunden spekulieren mittlerweile darüber, dass der offene „Datenfeed“ zeitgleich mit der Verlagerung von Infrastruktur zu einem Dienstleister in der Ukraine aufgetaucht sei. Der ukrainische Dienstleister LvivIT! verarbeitet für den Hoster Kundeninformationen und stand dafür im Kundenforum in der Kritik. Das Forum ist im Zuge des Hacks derzeit „Aufgrund von technischen Problemen“ nicht erreichbar.