Der internationale Webhosting-Anbieter Hostinger teilte am 25. August in einem Blogpost mit, dass ein unbekannter Hacker sich Zugriff auf einen internen sAPI-Server verschafft hatte. Der Server enthielt gehashte Passwörter und andere Kundendaten. Daraufhin musste Hostinger die Passwörter von etwa der Hälfte seiner Kunden zurücksetzen.

Hostinger wurde am 23. August auf den Verstoß aufmerksam gemacht, durch interne Warnsysteme, die meldeten, dass ein nicht autorisierter Dritter auf einen seiner Server zugreifen würde. Hostinger erklärte:

„Dieser Server enthielt einen Token zur Autorisierung der verwendet wurde, um weiteren Zugriff zu erhalten und die Privilegien für unseren RESTful-API-Server des Systems zu erhöhen. Dieser API-Server wird verwendet, um die Details über unsere Kunden und deren Konten abzufragen.“

Die API-Datenbank enthielt Benutzernamen, E-Mails, Hash-Passwörter, Vornamen und IP-Adressen der User, aber keine finanziellen Daten. Die Herkunft des unbefugten Zugriffs wurde ebenfalls identifiziert und das anfällige System zugleich gesichert. Ein Unternehmenssprecher erklärte dazu:

„Unmittelbar nach der Datenpanne wurden alle Passwörter mit dem SHA-256-Hashing-Algorithmus zurückgesetzt. Vor dem Sicherheitsvorfall wurde der SHA-1-Hashing-Algorithmus verwendet, um Benutzerpasswörter zu hashen.“

Dieser Schutzmechanismus sei nicht zu 100 % wirksam gewesen, hieß es dazu.

Hostinger machte sich noch am gleichen Wochenende mit internen und externen IT-Forensikern ans Werk, um seine Netzwerk- und Serverprotokolle zu analysieren. Neue Sicherheitsverfahren und striktere Server- und Netzwerkeinstellungen wurde implementiert. Insgesamt hat sich das Unternehmen vorbildlich verhalten beim Umgang mit und der Kommunikation über die Datenpanne. Für alle Kunden wurden Updates zum Vorfall auf einer Statusseite bereitgestellt, während im Hintergrund alles getan wurde, um die Angelegenheit zu untersuchen und zu bereinigen. Obwohl Hostinger keine Belege für eine Extraktion der Daten finden konnte, wurden der beschädigte Server und die API sicherheitshalber heruntergefahren und außer Dienst gestellt. Sämtliche auf den Kundenkonten gespeicherte Daten wie Websites, Domains, gehostete E-Mails usw. waren nicht von der Datenpanne betroffen. Die Behörden wurden ebenfalls sofort informiert. Aufgrund deren laufenden Untersuchungen, könne man keine näheren Details veröffentlichen, ergänzte das Unternehmen.

Hostinger nutzte die Gelegenheit seine Kunden daran zu erinnern, niemals Passwörter bei mehreren Dienstanbietern zu verwenden. Auch andere IT-Sicherheitsexperten gaben wiederholt gute Ratschläge über die verschiedenen Möglichkeiten die Sicherheit von Onlinezugängen zu erhöhen.

Eine wirkungsvolle Möglichkeit sei beispielsweise die Aktivierung der Multi-Faktor-Authentifizierung. Auch SANS IT-Security Experte Lee Neely sah das so und lobte das Vorgehen von Hostinger. Der Vorfall, so Neely weiter, sei für alle User eine ausgezeichnete Gelegenheit, einen Passwortmanager einzurichten, wenn sie es nicht schon getan hätten.

Artikel von threatpost.com, 26.08.2019: Hostinger Data Breach: 14M Customer Passwords, Personal Data at Risk
Artikel von zdnet.com, 26.08.2019: Hostinger resets customer passwords after security incident
Artikel von cyberscoop.com, 26.08.2019: A hacker accessed a Hostinger database containing information on 14 million customers
Artikel von hostinger.com, Security incident Report, Incident Report for Hostinger International
Artikel von hostinger.com, 25.08.2019: Security Incident: What You Need To Know