Passwörter-Ausverkauf bei Hetzner
Beim großen Web-Hosting-Spezialisten Hetzner sind über Monate massive Sicherheitslücken unentdeckt geblieben. Speziell im Bereich der Administrator-Kundenpasswörter scheinen sensible Daten und Passwörter unverschlüsselt abgelegt worden zu sein – über Monate. Tausende Kundendaten konnten durch die Sicherheitslücke abgegriffen werden, auch hochsensible Daten konnten ausgespäht werden. Unter anderem auch Bankverbindungen, Listen mit Passwörtern und Daten von Polizeibehörden.
Das Problem entdecke Tobias Huch, ein Medienunternehmer, der zuvor schon mehrere Sicherheitslücken aufgedeckt hatte. Unter anderem im Jahr 2000, als er auf einem Webserver des Bundesministeriums für Justiz eine Sicherheitslücke entdeckte und diese nutzte, um eine Textdatei zu hinterlassen – daraufhin wurde die Sicherheitslücke geschlossen.
Anfang 2008 deckte er beim Telekommunikationsunternehmen Deutsche Telekom einen Datenskandal auf. Er war im Besitz der halben T-Mobile-Kundendatenbank und kontaktierte daraufhin die Telekom. Diese zweifelte aber an der Ernsthaftigkeit seiner Angaben und konnte sich dann anhand privater T-Mobile-Kundendaten davon überzeugen, dass Huch tatsächlich 17 Millionen Kundendaten vorliegen hatte.
Am 6. Oktober gab Hetzner die Nachricht vom Servereinbruch an seine Kunden weiter und empfahl einen schnellen Austausch der Passwörter. Hetzner entschuldigte sich bei den Kunden und versprach, aus den Fehlern zu lernen. Auf der Website der Hetzner Online AG wurde über den Verlauf der Arbeiten an der Sicherheitslücke informiert.
Weiterführende Links
24.10.2011
tk