Der in Lettland beheimatete Domain-Registrar und Webhoster Hostinger hat ein ernstes Problem. Hostinger musste kürzlich die Passwörter von 14 Millionen Kunden zurücksetzen. Zuvor bemerkte man unerlaubte Zugriffe auf das eigene Verwaltungs-System inklusive der Kunden-Datensätze und der unzureichend verschlüsselten Passwörter. Ein Unglück kommt selten allein, wie der Volksmund ein solches Dilemma so schön beschreibt.
Der Hack soll am vergangenen Donnerstag gelungen sein. Hostinger schrieb in einem Blogbeitrag, dass laut einer internen Warnung Dritte auf einen der eigenen Server unsachgemäß zugegriffen haben. Zu allem Überfluss kopierten sich die Hacker einen Zugriffstoken (Security-Token), mit dem man auch ohne Login-Daten Zugriff auf einige Systeme erlangen kann. Betroffen sind von der Schwachstelle auch die sogenannten API-Datenbanken, wo diverse Kundeninformationen hinterlegt wurden.
Hostinger: Hacker konnten tief ins System eindringen
Hostinger gab bekannt, dass die kopierte API-Datenbank etwa 14 Millionen Datensätze ihrer Webhosting-Kunden beinhaltet. Die reinen Domain-Kunden waren also außen vor. Das Unternehmen verfügt insgesamt über mehr als 29 Millionen Kunden, den Hackern gelang der Zugriff auf fast die Hälfte aller Vertragspartner.
Passwörter zurückgesetzt, schwachen Algorithmus rausgeworfen
Finanzdaten waren zufällig sicher
Kunden beschwerten sich indes darüber, dass die Angaben des Unternehmens irreführend seien. Kundendienstmitarbeiter gaben bei Telefongesprächen zu Protokoll, dass man die Finanzdaten der Kunden (Kreditkarte etc.) sehr wohl über die eigene API abrufen kann. Doch da würden die Cyberkriminellen leer ausgehen, weil man selbst keine Zahlungsdaten speichert.
Die Abwicklung überlässt man mehreren Zahlungs-Dienstleistern, die die Transfers der Kunden durchführen bzw. beaufsichtigen. Wie viel an Daten nun wirklich kompromittiert sei, steht laut Chief Executive Balys Kriksciunas noch gar nicht fest. Gegenüber dem Magazin TechCrunch gab Kriksciunas bekannt, eine ausführliche Untersuchung seiner Mitarbeiter sei diesbezüglich noch im vollen Gange. Details über den genauen Umfang des Datendiebstahls könne man demnach erst später bekannt geben.
Der Vorfall bestätigt erneut, dass die besten Daten keine sind. Doch als Vertragsnehmer eines Webhosters ist es schwierig, sich um die Angabe der korrekten Angaben zu drücken. Schon wegen der Rechtslage erlauben die wenigsten Anbieter ein anonymes Hosting inklusive der Zahlung per Kryptowährung, im Idealfall per Monero. Doch wo geht das schon?
Beitragsbild Jordan Harrison, thx! (Unsplash Lizenz)
Tarnkappe.info