Hostinger Webhoster: Sicherheitslücke bedroht Daten von 14 Mio. Kunden

Der in Lettland beheimatete Domain-Registrar und Webhoster Hostinger hat ein ernstes Problem. Hostinger musste kürzlich die Passwörter von 14 Millionen Kunden zurücksetzen. Zuvor bemerkte man unerlaubte Zugriffe auf das eigene Verwaltungs-System inklusive der Kunden-Datensätze und der unzureichend verschlüsselten Passwörter. Ein Unglück kommt selten allein, wie der Volksmund ein solches Dilemma so schön beschreibt.

Der Hack soll am vergangenen Donnerstag gelungen sein. Hostinger schrieb in einem Blogbeitrag, dass laut einer internen Warnung Dritte auf einen der eigenen Server unsachgemäß zugegriffen haben. Zu allem Überfluss kopierten sich die Hacker einen Zugriffstoken (Security-Token), mit dem man auch ohne Login-Daten Zugriff auf einige Systeme erlangen kann. Betroffen sind von der Schwachstelle auch die sogenannten API-Datenbanken, wo diverse Kundeninformationen hinterlegt wurden.

Hostinger: Hacker konnten tief ins System eindringen

Die Cyberkriminellen erhielten bei Hostinger offenbar Zugriff auf die Benutzernamen, Vornamen, IP-Adressen, E-Mail-Adressen und Passwörter, die lediglich mit dem schwachen SHA-1-Algorithmus versehen waren. Nach dem Hack hat Hostinger zum Schutz der Passwörter auf den SHA-2-Algorithmus umgestellt, der aber de facto auch als unsicher gilt. Doch für die vom illegalen Zugriff betroffenen Kunden kommt jede Änderung sowieso schlichtweg zu spät.

Hostinger gab bekannt, dass die kopierte API-Datenbank etwa 14 Millionen Datensätze ihrer Webhosting-Kunden beinhaltet. Die reinen Domain-Kunden waren also außen vor. Das Unternehmen verfügt insgesamt über mehr als 29 Millionen Kunden, den Hackern gelang der Zugriff auf fast die Hälfte aller Vertragspartner.

Passwörter zurückgesetzt, schwachen Algorithmus rausgeworfen

Nach eigenen Angaben ist man im Kontakt mit den zuständigen Behörden, um den Fall aufzuklären. Die Nachricht über den Hack muss sich im Netz wie ein Lauffeuer verbreitet haben. In der Folge wurden alle Passwörter neu vergeben. Hostinger verschickte eine Aufforderung per E-Mail an die betroffenen Personen, damit sich diese ein eigenes Passwort aussuchen können. Angeblich wurden die Finanzdaten der Kunden nicht erbeutet. Auch der Login auf einer der Kundenwebseiten soll mit den erbeuteten Informationen nicht möglich gewesen sein. Diese Aussage lässt sich zum jetzigen Zeitpunkt nicht überprüfen. Der schwache Schutz der Passwörter spricht zumindest für mögliche illegale Zugriffe.

Finanzdaten waren zufällig sicher

Kunden beschwerten sich indes darüber, dass die Angaben des Unternehmens irreführend seien. Kundendienstmitarbeiter gaben bei Telefongesprächen zu Protokoll, dass man die Finanzdaten der Kunden (Kreditkarte etc.) sehr wohl über die eigene API abrufen kann. Doch da würden die Cyberkriminellen leer ausgehen, weil man selbst keine Zahlungsdaten speichert.

Die Abwicklung überlässt man mehreren Zahlungs-Dienstleistern, die die Transfers der Kunden durchführen bzw. beaufsichtigen. Wie viel an Daten nun wirklich kompromittiert sei, steht laut Chief Executive Balys Kriksciunas noch gar nicht fest. Gegenüber dem Magazin TechCrunch gab Kriksciunas bekannt, eine ausführliche Untersuchung seiner Mitarbeiter sei diesbezüglich noch im vollen Gange. Details über den genauen Umfang des Datendiebstahls könne man demnach erst später bekannt geben.

Der Vorfall bestätigt erneut, dass die besten Daten keine sind. Doch als Vertragsnehmer eines Webhosters ist es schwierig, sich um die Angabe der korrekten Angaben zu drücken. Schon wegen der Rechtslage erlauben die wenigsten Anbieter ein anonymes Hosting inklusive der Zahlung per Kryptowährung, im Idealfall per Monero. Doch wo geht das schon?

Beitragsbild Jordan Harrison, thx! (Unsplash Lizenz)

Tarnkappe.info