Ab Ende Januar dieses Jahres trieb ein vermutlich österreichischer Hacker sein Unwesen mit den Daten eines der größten deutschen Hosting Unternehmen, der domainfactory GmbH. Bekannt wurde der Vorfall erst am 03. Juli, als der Hacker dies im Kundenforum der domainfactory selbst bekannt gab.

Dort gab er für alle zum Mitlesen an, dass er sich in die Kundendatenbank gehackt hätte. Obwohl das Unternehmen zunächst von einem üblen Scherz ausging, postete der Hacker Beweise im Forum. Dort tauchten dann personenbezogene Daten von einigen domainfactory Kunden auf. Das Unternehmen musste daraufhin anerkennen, dass es sich tatsächlich um Daten seiner Kunden handelte und es zu einer Datenpanne gekommen war. Die nötigen Maßnahmen wurden sofort eingeleitet, das Forum geschlossen, Kunden informiert und öffentliche Erklärungen abgegeben. Es hieß darin:

„Kunden- und Firmennamen, Kundennummern, Adressen, E-Mail-Adressen, Telefonnummern und -kennwörter; Geburtsdaten; Banknamen und Kontonummern und Schufa-Daten“

wurden möglicherweise kompromittiert. domainfactory sicherte sofort ihre Systeme gegen weiteren Missbrauch. Der Hacker indes führte interessanterweise die Konversation mit domainfactory Kunden auf Twitter weiter.

Dort wurden die Hintergründe für seinen Hack bekannt. Demnach hatte der Hacker sich zum Ziel gesetzt, an Daten eines bestimmten Kunden der domainfactory zu kommen. Dieser schuldete dem Angreifer wohl einen nicht ganz unerheblichen Geldbetrag in siebenstelliger Höhe. Bereits im Forum hatte der Hacker dies bekannt gemacht, um diese Person bloßzustellen und so eine Schuldenbegleichung zu erreichen. Sein Vorhaben hat vermutlich nicht die erhoffte Wirkung erreicht.

Weitere Untersuchungen der Datenpanne, insbesondere durch die Heise Gruppe, deckten mehr Einzelheiten auf. Der Hacker konnte sich demnach durch die internen Systeme der domainfactory hacken. Er hatte auf diese Weise auf Kundendaten Zugriff, die im internen Netzwerk zur Verfügung standen. Die Kundendaten waren aufgrund eines Speicherfehlers in einen internen Datenfeed eingespielt worden. Dieser Datenfeed listete alle durch Kunden vorgenommenen Datenänderungen auf. Interessanterweise verfügte der Hacker aber auch über Daten von Kunden, die sich schon lange nicht mehr in ihr Konto eingeloggt hatten. Hierzu erläuterte der Hacker im Twitter-Feed Details zu seinem Vorgehen, unter anderem:

„Hab mich nur von dort weitergehangelt. Username/Passswort um die „checkpw“-Routine in PostgreSQL aufzurufen im World-Readable Apache-LDAP-Modul (Shared-Hoste), anderer Nutzer==Passwort, anderer Nutzer Benutzername-als-Leetspeak-Passwort. Hab nur drei DB-User knacken können.“

Laut Heise verwendete der Angreifer eine Variante der Dirty Cow Schwachstelle.

domainfactory forderte alle Kunden auf die allgemeinen Account-Passwörter zu ändern und auch alle Kennwörter für MySQL-Datenbanken, SSH, FTP und LiveDisk. Das Unternehmen könne nicht ausschließen, dass diese Konten nicht ebenfalls kompromittiert wurden, hieß es. Auch das Telefon-Passwort für den Kundenservice wurde zunächst gesperrt sowie alle Zugangsdaten der Mitarbeiter und auch Systempasswörter geändert. Alles Weitere liegt in den Händen von externen IT-Forensikern und Experten.

Artikel von theregister.co.uk, 09.07.2018: Web biz DomainFactory confirms: We were hacked in January 2018
Artikel von zdnet.com, 09.07.2018: User data exposed in Domain Factory hosting security breach
DomainFactory: Informationen und Meldungen bei Systemausfällen oder Problemen.
Artikel von heise.de, 06.07.2018: Datenleck bei Domainfactory: Hacker knackt Systeme, lässt Kundendaten mitgehen

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0