Zum Wochenende hatte ich über die 'per Hack entwendeten' Kundendaten beim Hoster Domainfactory berichtet. Jetzt wird klar, dass diese Daten, auf Grund eines Fehlers, öffentlich per Atom-Feed abrufbar waren. Als Folge konnte ein Angreifer unter Ausnutzung von Sicherheitslücken in die Domainfactory-Systeme eindringen und auf weitere Informationen zugreifen.
Anzeige
Worum geht es?
Domainfactory (DF) ist ein Hoster, der vor einiger Zeit von Host Europe aufgekauft wurde und nun, nach dem Aufkauf von Host Europe, zum US-Anbieter Go Daddy gehört. Ein Unbekannter behauptete letzte Woche, dass er Zugriff auf Kundendaten bzw. die Kundendatenbank sowie auf verschiedene Systeme von Domainfactory habe. Inzwischen gibt es von DF die Bestätigung, dass es Zugriff auf folgende Kundendaten gab:
Kundenname
Firmenname
Kundennummer
Anschrift
Telefonnummer
DomainFactory Telefon-Passwort
Geburtsdatum
Bankname und Kontonummer (z.B. IBAN oder BIC)
Schufa-Score
Gegenüber heise.de hatte der Unbekannte sogar Datensätze zur Verifizierung angegeben, die sich als echt entpuppten. Domainfactory (DF) bestätigte den Hack – und laut diesem Kommentar wurden DF-Kunden per Mail informiert. Der Hoster bat die Kunden, ihre Kennwörter für Domainfactory-Konten zurückzusetzen und Bankkontoauszüge zu überwachen.
Domainfactory hat vorsorglich auch alle internen Passwörter und andere Zugangsdaten der eigenen Mitarbeiter geändert. Das Ganze ist also wirklich brisant. Ich hatte über diese Details im Blog-Beitrag Datenlecks bei Domainfactory und allestechnik.de? berichtet.
Daten wegen Panne als RSS-Feed öffentlich
Nun wird bekannt, dass Kollege Zufall, ein Programmierfehler, eine ungepatchte Sicherheitslücke und unglückliche Umstände dazu führten, dass die Kundendaten öffentlich per Atom-Feed abrufbar waren. Die Redaktion von heise.de geht hier auf die Details ein. Die ganze Geschichte in kurz:
Domainfactory gibt an, dass die Kundendaten aus einem Daten-Feed stammten, der Systemfehler zusammenfasst. Die Kundendaten wurden in den Feed übertragen, sobald ein Kunde im Kundenmenü des Kontos Datenänderungen vorgenommen hatte. Der Hintergrund: Beim Speichern der Änderungen trat dann schlicht ein Fehler auf.
Doppelt doof: Das Ganze geht auf eine Anpassung bzw. einen Programmierfehler im Hinblick auf die Datenschutzgrundverordnung (DSGVO) zurück. Dort sollte in einem Datenbankfeld gespeichert werden, dass der Kunde die DSGVO-Hinweise zur Kenntnis genommen habe. Das betreffende Datenbankfeld war vom Typ Boolean, der zu speichernde Datensatz wies aber einen String auf. Das ging schief und es gab einen Fehler beim Speichern – die Daten gingen in den Atom-Feed mit den Fehlerdaten. Nur ist niemandem von den Entwicklern und Administratoren dieser Fehler aufgefallen.
Unklarheit über den eigentlichen 'Hack'
Wie heise.de im Artikel aber richtig anmerkt, erklärt die oben beschriebene Datenpanne nicht, wieso der der Unbekannte an Kundendaten von Leuten kommen konnte, die sich längere Zeit nicht beim Hoster am Benutzerkonto angemeldet haben. Ein heise.de-Redakteur hatte beispielsweise ein seit längerem nicht mehr benutztes Konto bei Domainfactory, dessen Daten der Redaktion zur Prüfung zugingen.
heise.de schreibt, dass der Unbekannte wohl auf den RSS-Feed stieß und anhand der enthaltenen sensiblen Daten sowie in Kombination mit weiteren Systemfehlern (DirtyCow-Angriff auf den Linux-Kernel – seit 27. November 2017 gibt es einen Patch) in die Systeme des Hosters eindringen konnte. Der heise.de-Artikel zeigt diverse Screenshots von Tweets des Unbekannten, der dort ausführt, was er unternommen hat. Alles in allem eine sehr unschöne Geschichte, die zeigt, was alles schief gehen kann.
Anzeige
2015
