UseNeXT abgeschaltet, Usenet.nl down – was ist da los?

Der Münchner Zugangsprovider UseNeXT ist seit mehreren Tagen down. Einer der eigenen IT-Partner wurde Opfer eines umfangreichen Hackangriffs.

Der Münchner Zugangsprovider UseNeXT ist seit mehreren Tagen down. Einer der eigenen IT-Partner wurde Opfer eines umfangreichen Hackangriffs, weswegen die Aviteo Ltd. alle Stecker herausgezogen hat.

UseNeXT hat sich selbst abgeschaltet

Manche Quellen wie Usenet1.de sprechen übereinstimmend davon, dass seit dem 26.4. um ca. drei Uhr nachts der Usenet-Provider UseNeXt nicht mehr erreichbar ist. Zeitgleich soll es auch bei Usenet.nl, Gigaflat, HolmeZ.com und Momentum PLUS zu technischen Störungen gekommen sein. Gigaflat.com ist wieder funktionsfähig, der Usenet-Indexer Holmez.com hat Probleme mit der Suche. Egal, was man eingibt, holmez.com zeigt einem zur Antwort stets die drei leeren Ergebnis-Felder an (siehe Screenshot).

Wir wollen wissen, was da vor sich geht. Wir haben heute früh über die Facebook Gruppe von UseNeXt Germany eine Presseanfrage verschickt, die seit 9.31 Uhr (Ergänzung: dann nach 24 Stunden) beantwortet wurde:

Presseanfrage UseNeXt Germany
Keine Antwort über X Stunden hinweg ist auch eine. Screenshot unseres Kontaktversuchs.

Keine Presseanfrage bei UseNeXt möglich

Bei den beiden ersten Anrufen hat man uns direkt wieder aus der Leitung geworfen. Beim dritten Versuch um 13.56 Uhr teilte man uns an der Zentrale mit, man könne uns nicht mit einer Person verbinden, die für Presseanfragen zuständig wäre. Journalisten sollen sich per E-Mail an das Unternehmen wenden. Eine Durchwahl oder spezifischere E-Mail-Adresse wollte uns die Dame an der Zentrale auch nicht mitteilen. Dass Anfragen an eine zentrale und zudem öffentlich einsehbare E-Mail-Adresse nicht zeitnah bearbeitet werden können, war zu befürchten. Bis jetzt kam auf unsere E-Mail (Screenshot) zumindest keine Antwort (siehe Update ganz unten). Wir hätten von den Verantwortlichen von UseNeXT gerne gewusst, was genau geschehen ist, was zur Abschaltung der kompletten IT geführt haben soll. Die Hacker sind offenbar recht tief in die technische Infrastruktur dieses Usenet-Providers vorgedrungen.

Rundmail an alle UseNeXT Kunden

Ein User des Forums House of Usenet erhielt heute eine E-Mail. Ihm als UseNeXT Kunden teilte man mit, dass einer ihrer „IT-Partner Opfer eines virtuellen Angriffs wurde.“ Nach Bekanntwerden des virtuellen Einbruchs habe man „sofort reagiert“, um die eigenen Systeme vor weiteren Zugriffen abzuschirmen. „Zwischenzeitlich wurden auch unsere Systeme attackiert und somit bestand die Gefahr eines unautorisierten Datenzugriffs.“ Das wäre auch eine der zu klärenden Fragen gewesen, wie weit die Attacke von den Cyberkriminellen durchgeführt werden konnte. Auch die Hintergründe der zeitlichen Überschneidung der Ausfälle bei Momentum Plus, Usenet.nl, Gigaflat und HolmeZ.com hätten uns sehr interessiert.

Aktuell prüfe man die eigenen Server und Datenbanken auf unautorisierte Zugriffe. Man könne erst nach Abschluss der Prüfung wieder online gehen. Angeblich soll es den Hackern nicht gelungen sein, personenbezogene Daten zu kopieren. Auch soll es unmöglich gewesen sein, auf das Downloadverhalten der eigenen Kunden zuzugreifen, weil man dieses nach eigenen Angaben nicht protokolliert.

Passwörter ändern! Konten auf verdächtige Abbuchungen überprüfen!

usenet1 logoDennoch soll man auf verdächtige Abbuchungen achten. Auch bittet man die Empfänger der Mitteilung, nach dem Relaunch das Passwort zu ändern. „Ändern Sie schnellstmöglich Ihr Passwort bei allen anderen Diensten, bei denen sie das gleiche Passwort verwendet haben. Sollten Sie feststellen, dass sich eine fremde Person als Sie ausgibt, benachrichtigen Sie bitte umgehend den Diensteanbieter des betroffenen Accounts und veranlassen Sie die Sperrung des Kontos. Informieren Sie auch Ihre Freunde über den Identitätsdiebstahl.“ Diese Warnung deutet darauf hin, dass der Hack möglicherweise doch tiefer ging, als es dem Betreiber lieb war. Auch sollen die UseNeXt Kunden verstärkt auf den Eingang von Phishing-E-Mails achten.

Unter Abwägung aller relevanten Sicherheitsüberlegungen werde man versuchen, den UseNeXT Zugang so schnell wie möglich zu reaktivieren, heißt es in der Rundmail. Den zahlenden Nutzern verspricht man eine Entschädigung, über die man sie gesondert informieren wird. Die Reaktionen bei House of Usenet sind dennoch eindeutig negativ ausgefallen.

Sollten wir noch eine offizielle Reaktion auf unsere Presseanfrage erhalten, werden wir diese sofort in einem Update veröffentlichen. Was Usenet.nl betrifft, tappen wir noch im Dunkeln. Ob es einen Zusammenhang zwischen den ganzen bekannt gewordenen Ausfällen gibt, ist bisher nicht bekannt. In dem Punkt halten wir uns lieber an die Fakten, statt wie früher wild zu spekulieren.

Update

Mittlerweile hat auch heise online über den Vorfall bei UseNeXT berichtet. Demnach ist auch der TV-Recorderdienst Save.TV von der Problematik betroffen. Ursächlich soll eine Sicherheitslücke beim IT-Dienstleister Omniga sein. Es sei derzeit noch immer unklar, ob es den Tätern gelungen ist, Daten von SAFE.TV- bzw. UseNeXT.de-Kunden abzugreifen. Dies überprüfe man derzeit mittels forensischer Analysen der Log-Dateien. Zudem habe man die Datenschutzaufsichtsbehörden unmittelbar informiert. Ursächlich soll eine Schwachstelle bei der VPN-Software sein, die Omniga-Mitarbeiter im HomeOffice genutzt haben. Weitere Details wollte man gegenüber heise security nicht preisgeben. Und was ist eigentlich mit SpyOff, einem weiteren Partner?

Update: Das ist genau das, was von Anfang an zu befürchten war. E-Mails können bei UseNeXT gar nicht ankommen, weil alles abgeschaltet wurde. Leider lehnt man derzeit leider alle anderen Kontaktmöglichkeiten ab.

Update: Am heutigen Mittwoch rief die Pressesprecherin des IT-Partners Omniga hier an, auch hat nach ca. 24 Stunden der Support von UseNeXT auf unsere Anfrage per Facebook reagiert. Die Pressemitteilung der Omniga lautet wie folgt:

Illegaler Zugriff auf Omniga – Systeme bleiben vorerst offline

Unbefugte haben sich am 26.04.2020 Zugriff auf Systeme des IT-Unternehmens Omniga inRegensburg verschafft. Spezialisten analysieren derzeit den Umfang und die Art der betroffenenDaten. Bis zum Abschluss der Analyse hat die Omniga proaktiv und im Sinne des Datenschutzes alleSysteme offline gestellt. Auch potentiell betroffene Kunden wurden umgehend informiert. In derKonsequenz haben auch diese stellenweise ihre Systeme heruntergefahren. Das Amt fürDatenschutz und die Ermittlungsbehörden sind über den Vorfall informiert.

Die Omniga GmbH & Co. KG registrierte am vergangenen Wochenende erstmalig einen illegalenZugriff auf ihre IT-Systeme. Das genaue Ausmaß ist derzeit noch unklar. Ursache des Angriffs ist wahrscheinlich eine Sicherheitslücke in der Software eines externen Dienstleisters. Die PartnerUseNeXT.com und Save.TV wurden umgehend gewarnt, da sie ebenfalls betroffen sein können. Auch diese stoppten ihre Systeme, um die bestmögliche Eindämmung sicherzustellen und gleichzeitig eine lückenlose Analyse und Aufklärung zu gewähren.

Überprüfung läuft bei UseNeXt…

Bei den beiden Partnern besteht theoretisch die Möglichkeit, dass auch Kundendaten zugänglich wurden. Aktuell werden alle Server und Datenbanken auf unautorisierte Zugriffe überprüft. DiePartner UseNeXT.com und Save.TV haben ihre Kunden ins Bild gesetzt. Darüber hinaus empfehlen sie ihren Kunden, die Passwörter ihrer Accounts zu ändern und die Einstellungen ihrer Accounts zu überprüfen. Für Fragen haben beide Online-Dienste eine Notfall-Hotline eingerichtet. UseNeXT.com:089 20172022 und Save.TV: 0341 30213021. Zudem informieren beide Unternehmen ihre Kunden via Facebook und Ihren Websites über die aktuellen Entwicklungen. Wann die Erreichbarkeit derDienste wieder vollständig hergestellt ist, kann derzeit nicht genau benannt werden. Die Sicherheit und Integrität der Daten hat hier natürlich oberste Priorität.

„Unsere internen und externen ​Spezialisten​ arbeiten mit Hochdruck an der Analyse des genauenHergangs und der schnellstmöglichen Behebung des Problems. Dabei stehen für uns die Datensicherheit und der Datenschutz an erster Stelle. Erst nach einer lückenlosen Aufklärung werden wir unsere Systeme wieder aktivieren und somit den Service für die Produkte unserer Partner online stellen. Für uns alle ist es das Gebot der Stunde, unsere Kunden schnell und klar​ zu informieren. Hier sind wir uns der Verantwortung vollkommen bewusst und informieren und kooperieren bestmöglich”, sagt Nikolai Horn, Geschäftsführer der Omniga GmbH & Co. KG.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.