Angriff auf Domain Factory, den Hoster des APH-Forums

  • Siehe Netzwelt:

    Zitat

    Nach einer eingehenden Untersuchung, gab DF bekannt, dass über einen Datenfeed nach einer Systemumstellung die Kundeninformation vom 29. Januar 2018 bis zum 3. Juli 2018 Außenstehenden zugänglich waren. Auf folgende Daten hatten die Angreifer Zugriff: Kundenname, Firmenname, Kundenummer, Anschrift, Mail-Adresse, Telefonnummer, DomainFactory Telefon-Passwort, Geburtsdatum, Bankdaten und den Schufa-Score. Die gestohlenen Daten können unter anderem für einen Identitätsdiebstahl genutzt werden.

    Übrigens gehört die Domain Factory ja nicht nur seit Jahren zu Hosting Europe, sondern inzwischen zum amerikanischen Schrott-Hoster GoDaddy, der tatsächlich die Kundeninformationen nicht mehr in München, sondern in der Ukraine verarbeiten läßt.

    Zitat

    Viele Kunden spekulieren, dass dieser öffentliche Datenfeed zeitgleich mit dem Umzug von DomainFactory-Infrastruktur zu einem Dienstleiter in der Ukraine aufgetaucht sei. Der Hosting-Anbieter verarbeitet nach eigenen Angaben Kundeninformationen beim Dienstleister "LvivIT!" in der Ukraine. Für diese Entscheidung wurde DF immer wieder im Forum kritisiert.

    Wir sind davon als APH-Forumsnutzer aller Wahrscheinlichkeit nach nicht betroffen, da nur die Daten des Vereins gestohlen wurden. Die APH-Forumsdaten liegen ja alle in separaten Datenbanken mit eigenen Kennwörtern, auch die Kennwörter für die Forumsnutzer sind in den Datenbanken verschlüsselt.


    Das hiesige Forum wird ja bei All-inkl. gehostet und ist davon sowieso nicht betroffen, alle Server stehen in Dresden


    P.S. Habe den irreführenden Titel selbst geändert.

  • Das ist ja nett, dass du da noch antwortest. Was motiviert dich dazu?

    Ich kam mal in eine ähnliche Situation, aber nicht im digitalen Bereich. Ich überlegte mir, einfach nicht zu reagieren, also zu schmollen, oder meine Überlegenheit zu einem bestimmten Thema zu demonstrieren. Ich meldete mich dann schliesslich, rückte aber mit meiner Lösung nicht sofort heraus.

  • Na ja, in erster Linie Fairness gegenüber den Forumsnutzern. Allerdings zeigt die Art der Frage seitens Lars, daß er offensichtlich das ganze Datenbank-Speicherprinzip gar nicht verstanden hat.

  • Kann man irgendwie nachschauen, mit welcher Email ich bei Stadtbild registriert bin?

    Denn mein E-Mail-Konto "t.huesken@online.de" wurde gestern gehackt und als Mailbot genutzt. Das seltsame ist, dass ich dieses Konto schon seit über einem Jahr nicht mehr nutze, weswegen es mir schleierhaft ist, warum ausgerechnet dieses Konto betroffen ist und keins von meinen Aktiven. Die DF-Attacke könnte da eine mögliche Erklärung bieten. 1&1 hat das Konto stillgelegt, daher kann ich da noch nicht selber nachschauen, ob ich die Adresse fürs Forum genutzt habe und auf mein Profil beim APH habe ich ja derzeit keinen Zugriff.

  • Heißt das jetzt, daß der Datenklau aktiv missbraucht wird? Was sind die Indizien für einen gehackten Email-Account? Die APH-Adresse ist nicht meine Hauptadresse , aber eine andere beim selben Email-Provider.!


    Man APH und Stadtbild bekommen's aber auch dicke ab zur Zeit, ...

  • Heißt das jetzt, daß der Datenklau aktiv missbraucht wird? Was sind die Indizien für einen gehackten Email-Account?

    Laut Berichterstattung im Internet wollte der Hacker die Daten nicht mißbrauchen und auch nicht veröffentlichen. Eigentlich sollten auch nur Kunden der Domain Factory betroffen sein, keine Forumsnutzer - und wer als Kunde ein anderes Kennwort für die Domain Factory als für seine E-Mail verwendet, hat sowieso nichts zu befürchten.


    Das ist ja nett, dass du da noch antwortest. Was motiviert dich dazu?

    Daß auch jetzt keinerlei Rückmeldung kommt, ein kurzes "danke für die Info" würde schon völlig ausreichen, motiviert mich aber nicht, noch weiter unterstützend zu wirken.

  • Was sind die Indizien für einen gehackten Email-Account?

    Ich wurde von 1&1 per Mail an ein anderes Konto informiert, dass jenes Konto sicherheitshalber vorläufig stillgelegt und das Passwort geändert wurde, da es ca 3000 E-Mails in kürzester Zeit verschickt hatte.

    Sonst hätte ich das wohl nicht bemerkt, denn inzwischen kann ich wieder rein und im Postausgang ist nichts zu finden und auch sonst kein Hinweis darauf, dass es als Spambot missbraucht wurde.

  • Ich glaube aber nicht, daß das mit dem obigen DF-Hack etwas zu tun hat, der Hacker müßte ja dazu die komplette Datenbank mit 1 GB herunterladen und auswerten, und Kennwörter sind darin keine auslesbar.

  • Laut Berichterstattung im Internet wollte der Hacker die Daten nicht mißbrauchen

    Das Problem ist nur, dass die Daten teilweise offen lagen. Also hat mit an Sicherheit grenzender Wahrscheinlichkeit nicht nur jener Hacker, sondern auch zig andere Zugriff gehabt.


    In seiner Stellungnahme schreibt der Hoster, man gehe davon aus, "dass der unbefugte Zugriff durch eine Einzelperson erfolgte." Wie Domainfactory zu dieser Einschätzung kommen konnte, wenn der XML-Feed mit den Kundendaten öffentlich im Netz stand und von jedem hätte entdeckt und abgerufen werden können, ist unklar.

  • Ich glaube aber nicht, daß das mit dem obigen DF-Hack etwas zu tun hat

    Kann natürlich Zufall sein, aber das Konto nutzte ich als Student und danach so gut wie nicht mehr. Der letzte E-Mail Verkehr war vor eineinhalb Jahren im Januar 2017.

    Es kann durchaus auch sein, dass das Ausmaß des Datenverlustes von DF noch garnicht bekannt ist.

  • Das Problem ist nur, dass die Daten teilweise offen lagen. Also hat mit an Sicherheit grenzender Wahrscheinlichkeit nicht nur jener Hacker, sondern auch zig andere Zugriff gehabt.

    Glaube ich nicht unbedingt, viele Lücken existieren jahrelang, ohne daß das bemerkt wird.


    Der Hacker hatte ja nur Zugriff auf die hinterlegte E-Mail-Adresse des DF-Kunden, in diesem Fall webmaster@stadtbild-deutschland.org - die im Forum hinterlegten E-Mail-Adressen sind ja separat in einer Datenbank hinterlegt, und mehr als die E-Mail-Adresse als solche ist da auch nicht auslesbar - und die kennen ja sowieso viele Leute allein durch Nutzung.

  • Ergänzung von Heise:

    Zitat

    Hacker hatte wohl noch mehr Zugang zu Domainfactory-Systemen

    Das erklärt allerdings nicht, wie der unbekannte Angreifer in den Besitz der Daten von Kunden kam, die sich seit über einem Jahr nicht mehr in ihr Domainfactory-Konto eingeloggt haben.


    Also gab es mindestens bei den direkten DF-Kunden noch mehr Fehler als bisher bekannt. Der Boolean/String Fehler bei der DSGVO-Erklärung kann nicht der einzige sein.

  • Aber es ist durchaus möglich, dass bei den Foren-Datenbanken derselbe Fehler vorlag, was aber noch nicht offen bemerkt wurde.

    Er schreibt ja unter dem Heise-Link selbst "hab nur 3 DB-User knacken können" - vielleicht, weil hier dasselbe Kennwort wie für das Benutzerkonto verwendet wurde (habe ich natürlich nicht gemacht).


    Die Datenbanken sind ganz normale MySQL-Datenbanken (also im Klartext lesbar), um die herunterzuladen, müßte der Hacker erst einmal per SSH einen Datenbankauszug erstellen, bräuchte dann die hinterlegten Zugriffsdaten für den FTP-Server und müßte dann die Datenbanken auch noch physisch herunterladen bzw. irgendwie in PHPMyAdmin in den Datenbanktabellen herumsuchen (falls er das überhaupt irgendwie öffnen kann), um dort E-Mail-Adressen zu finden usw. (dazu müßte er wiederum wissen, welche der zahlreichen Datenbanken überhaupt die richtige ist).


    Dann würde er einfach nur eine Auflistung von Nutzernamen und E-Mail-Adressen sehen (wenn er zufällig weiß, wo er das in PHPMyAdmin findet), aus der heruntergeladenen Datenbank könnte dann das Forum wiederhergestellt werden, aber nur, wenn der Hacker ein leeres Forum installieren und vorher alle zugehörigen Daten (bei uns: 9 GB) herunterladen würde usw.


    Niemand würde einen solchen Aufwand treiben (selbst wenn es möglich wäre), nur um eine Handvoll gültiger E-Mail-Adressen zu erhalten, ohne Kennwörter oder Klarnamen.


    Es gibt aber noch einen anderen Bug:


    Sendet man eine PN an einen Benutzer im Forum, der eine nicht erreichbare E-Mail-Adresse für die Benachrichtigung hinterlegt hat, so sendet der Host Europe-Mailserver eine Fehlermeldung an die im Forum hinterlegte Admin-Adresse, die leider auch die PN im Klartext enthält. In diesem Fall könnte also Schinkel oder wer auch immer die PNs lesen - aufgrund meines Rücktritts kann ich nicht nachverfolgen, ob dieser Bug seitens des jetzigen Admins gegenüber der Domain Factory reklamiert wurde.

  • Kennwörter sind darin keine auslesbar.

    Naja, bei veralteten Emails sind oft auch Passwörter nach veralteten Sicherheitsstandards. War ein sechsstelliges Passwort mit Buchstaben und Zahlen vor 10 Jahren noch recht sicher, ist das heute für ein Passwort-Bot keine Herausforderung mehr, somit sind alte Mailaccs bei vielen auch gefährdet, wenn die Passwörter nicht mit ausgespäht wurden.


  • Er schreibt ja unter dem Heise-Link selbst "hab nur 3 DB-User knacken können" - vielleicht, weil hier dasselbe Kennwort wie für das Benutzerkonto verwendet wurde (habe ich natürlich nicht gemacht).

    Ja, aber die schrieben doch auch, dass sie nicht nachvollziehen können, wie DF zu der Einschätzung kommt, dass es nur dieser eine Hacker war.

  • Damit meinte ich das Kennwort für das Forum, das für den Mailprovider ist ja sowieso nicht hinterlegt. Ich weiß nicht, wie oft man bei den Mailanbietern ein falsches Kennwort eingeben darf, bevor man zeitweise oder ganz gesperrt wird, unzählige Versuche hat der Bot aber sicherlich nicht.

  • Ich habe es gerade ausprobiert, bei 1&1 kann ich 10 mal das falsche Passwort eingeben und danach kam nach jeder Falscheingabe lediglich eine etwa 5-Sekunden Sperre für die erneute Eingabe. Und das scheinbar unendlich lange. Hab es nun über 30 mal probiert ohne das irgendwas passiert.

    1&1 scheint nicht auf der Höhe der Zeit zu sein.