magicteddy
Goto Top

Datenleck bei DomainFactory

Lt. Heise gab es einen Einbruch in die Systeme von DomainFactory, ich wollte mich gerade im Forum von DF informieren, doch dort heißt es: "Aufgrund von technischen Problemen steht das Forum derzeit nicht zur Verfügung. Wir bitten um etwas Geduld." Eigentlich wollte ich nach der Übernahme durch Host Europe schon den Abflug machen, war aber zu faul face-sad

Mehr bei Heise: Datenleck bei DF

-teddy

Content-ID: 379419

Url: https://administrator.de/knowledge/datenleck-bei-domainfactory-379419.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Dani
Dani 06.07.2018 um 19:32:18 Uhr
Goto Top
Moin,
das Leck gibt es definitiv. Dienstagnachmitttag/abend hat der Hacker über das Forum das erste Mal sich gemeldet. Auf Nachfragen von diversen Nutzern konnte er problemlos Kundennummer, Auftragsnummern, Ansprechpartner, Telefonpasswörtern, Telefonummern nennen. Anschließend bis in die Nacht immer wieder Infos veröffentlicht. Die Kommentare wurden nach und nach von dF gelöscht.

Gegen 02:30 Uhr wurde der Thread verschoben bzw. die Berechtigungen entzogen. Gegen 08:00 Uhr dann sogar das Forum, da er für seine Posts bestehende immer wieder bestehende Forenaccounts gekappert hat und in deren Namen die Information veröffentlicht hat.

Um auf dem Laufenden zu sein, haben wir alle 5 Minuten von dem betroffenen Thread Screenshots anfertigen lassen. Denn es war klar, dass dF zeitnah die entsprechenden Kommentare löschen wird.

Ich bin gespannt wie das erste öffentliche Statement ausfällt.


Gruß,
Dani
Dani
Dani 06.07.2018 um 20:45:32 Uhr
Goto Top
Moin,
seit knapp 40 Minuten gibt es auch eine kurze Info von dF selber.
Zu lesen unter http://status.df.eu.


Gruß,
Dani
MOS6581
MOS6581 06.07.2018 um 22:39:35 Uhr
Goto Top
Zitat von @Dani:

Moin,
seit knapp 40 Minuten gibt es auch eine kurze Info von dF selber.
Zu lesen unter http://status.df.eu.


Gruß,
Dani

Moin,

ich wollte schon meckern, dass der Saftladen(TM) immer noch kein Statement abgegeben hat. Der Hacker ist kommunikativer als dF. Von "Sorry, eure Daten wurden geklaut" lese ich da aber auch nix.
Der Vorfall und deren Kommunikationsstrategie (wir sagen nix, bis es nicht mehr anders geht - vielleicht merkt es keiner), bestätigt mich darin, dass deren goldene Zeiten nun endgültig vorbei sind und das einstige "Hosting Made in Germany" mit coolem Support mittlerweile mehr und mehr bröckelt. Abgesehen davon, dass sie sich vehement gegen LetsEncrypt wehren.
War mal ein großer Fan von dF, aber mittlerweile hab ich meinen eigenen Kram da runter und die Firmenwebsites und Mailpostfächer werden jetzt auch endgültig gekündigt... Schade, ich hab mich mal über ein extra zugeschicktes dF-Feuerzeug gefreut face-sad

Just my 2 Cents..
Schönen Restfreitag allerseits,
MOS
Frank
Frank 07.07.2018 aktualisiert um 13:19:25 Uhr
Goto Top
Hi,

wir sind betroffen und Domainfactory hat es bestätigt. Sie schreiben u.a.:

Während wir diese Datenpanne untersuchen wissen wir bereits jetzt, dass Dritte unbefugt auf nachstehende Datenkategorien Zugriff gehabt haben könnten:

  • Kundenname
  • Firmenname
  • Kundennummer
  • Anschrift
  • Telefonnummer
  • DomainFactory Telefon-Passwort
  • Geburtsdatum
  • Bankname und Kontonummer (z.B. IBAN oder BIC)
  • Schufa-Score

Seien Sie versichert, dass die bei dieser Datenpanne verwendeten Angriffspunkte nunmehr abgesichert sind, und wir haben die Sicherheit erhöht, um uns vor unberechtigtem Zugriff zu schützen

Nicht gut!

Ihr solltet alle so schnell wie möglich das Passwort ändern.

Gruß Frank
StefanKittel
StefanKittel 07.07.2018 um 20:24:54 Uhr
Goto Top
Hmmm....

da bin ich mal gespannt wie dies im Blick auf das neue DSGVO verläuft.
Die müsten dies ja melden und es müßte eine Untersuchung geben. Vermutlich auch eine deftige Geldstrafe.

Wenn dies nicht passiert, wissen wir, dass das DSGVO nichts Wert ist und wir uns wieder anderen Themen zuwenden können.

Btw. ich bin auch Kunde von DF.
Direkt informiert wurde ich noch nicht.Dies hätte die 2. Reaktion nach der offiziellen Meldung sein müssen.

Von veröffentlichen kann man einer eigenen Status-Seite nun auch nicht sprechen.

Ich bin mal gespannt.

Stefan
Dani
Dani 07.07.2018 um 20:42:29 Uhr
Goto Top
Guten Abend Stefan,
Wenn dies nicht passiert, wissen wir, dass das DSGVO nichts Wert ist und wir uns wieder anderen Themen zuwenden können.
ich kann mir gut vorstellen, dass sogar ein Exampel an dF durchgeführt wird. Um so zu zeigen, dass es DSGVO kein Ladenhüter ist. Alles andere wäre politisch gesehen für dei DSGVO ein Ente.

Von veröffentlichen kann man einer eigenen Status-Seite nun auch nicht sprechen.
Naja, was erwartest du denn? Eine extra Seite in Handelsblatt? Jedes Unternehmen versucht die PR so klein wie möglich zu halten. Ver schmückt sich schon gerne mit negativen Schlagzeilen.

@Frank
Ihr solltet alle so schnell wie möglich das Passwort ändern.
Welches meinst du genau? Es gibt neben den Telefon- und Kundenmenüpasswort noch E-Mailpostfächer, SSH, FTP, Datenbanken.

Wenn man es genau nimmt, müsste man die Passwörter innerhalb einer Applikation (z.B. CMS) auch ändern, oder? So wie ich das bisher verstanden habe, könnte er auch Datenbanken für CMS einzelner Kunden kopiert haben. Zwar legen die CMS die Passwörter verschlüsseld (Hash und Salt) ab, aber der Login wäre trotzdem angreifbar.


Gruß,
Dani
StefanKittel
StefanKittel 08.07.2018 um 11:55:45 Uhr
Goto Top
Moin

Zitat von @Dani:
ich kann mir gut vorstellen, dass sogar ein Exampel an dF durchgeführt wird. Um so zu zeigen, dass es DSGVO kein Ladenhüter ist. Alles andere wäre politisch gesehen für dei DSGVO ein Ente.
Schauen wir mal. Ich bin gespannt.

Zitat von @Dani:
Naja, was erwartest du denn? Eine extra Seite in Handelsblatt? Jedes Unternehmen versucht die PR so klein wie möglich zu halten. Ver schmückt sich schon gerne mit negativen Schlagzeilen.
Ein Newsletter an alle Kunden hätte ich erwartet.

Zitat von @Dani:
Welches meinst du genau? Es gibt neben den Telefon- und Kundenmenüpasswort noch E-Mailpostfächer, SSH, FTP, Datenbanken.
Wenn man es genau nimmt, müsste man die Passwörter innerhalb einer Applikation (z.B. CMS) auch ändern, oder? So wie ich das bisher verstanden habe, könnte er auch Datenbanken für CMS einzelner Kunden kopiert haben. Zwar legen die CMS die Passwörter verschlüsseld (Hash und Salt) ab, aber der Login wäre trotzdem angreifbar.
Alle. Und die Rechnung für den Aufwand an DF senden
StefanKittel
StefanKittel 08.07.2018 um 11:59:31 Uhr
Goto Top
Hach.... nicht zu vergessen...
Jeder bei DF muss nun auch seine Kunden/Partner über den Einbruch bei DF informieren.

Gehen wir mal davon aus, dass man eine VM mit Plesk bei denen gebucht und an Kunden vermietet hat.
Durch den Einbruch könnten die bösen die SSH Zugangsdaten erhalten haben und sich die Postfächer kopiert haben.

Man müßte also seine Kunden darüber informieren und die wiederrum alle Mitarbeiter, Geschäftspartner und Kunden.

Wie Glück, dass ich da immer nur ein paar Demo-VMs laufen habe face-smile
magicteddy
magicteddy 08.07.2018 um 13:20:14 Uhr
Goto Top
Das einzig gute an der Sache: Ich bin gleich fertig, KKs sind durch, ich bin dann mal weg von DF.
ipzipzap
ipzipzap 08.07.2018 um 22:25:47 Uhr
Goto Top
Was ist denn die Alternative zu DF? Ich habe da bisher keinen vergleichbaren Anbieter gefunden.

cu,
ipzipzap
StefanKittel
StefanKittel 08.07.2018 um 23:03:50 Uhr
Goto Top
Zitat von @ipzipzap:
Was ist denn die Alternative zu DF? Ich habe da bisher keinen vergleichbaren Anbieter gefunden.
Gegenfrage: für was denn?
Ich nutze eigentlich nur deren Jiffy-Box um mal schnell was auszuprobieren.
ipzipzap
ipzipzap 09.07.2018 um 14:20:17 Uhr
Goto Top
Ganz normal als Hoster. Also Webspace, SQL, SSH-Zugang, Mail, etc.

Ich lege nur Wert auf eine einfache und übersichtliche(!) Verwaltung. Bei 1&1 z.B. ist das Kundenmenü sowas von kompliziert und verbaut, das man zum anlegen oder ändern eines Nameserver-Eintrages 5 Minuten braucht. Und Übersichtlichkeit gleich null. Ok, 1&1 ist auf Consumer getrimmt, aber trotzdem finde ich die Verwaltung da grauenhaft.

Ich suche halt irgendwas, was da an dF rankommt.

cu,
ipzipzap
normic
normic 09.07.2018 um 17:38:08 Uhr
Goto Top
Ich würde jetzt mal all-inkl vorschlagen.

Als Schlund zu 1und1 wurde, haben wir gewechselt und es bis dato nicht bereut.
Die haben zwar ihre eigene (hässliche) Verwaltung, aber sie funktioniert einwandfrei. Achja, LetsEncrypt gibt's übrigens direkt per One-Click-Aktivierung.

Der Support ist tatsächlich 1A - kompetent und ziemlich schnell. Egal zu welcher Uhrzeit und an welchem Wochentag.
Obwohl wir den Support noch nie wegen Fehlern bei all-inkl gebraucht haben, waren dann eher Einstellungen die wir gesetzt haben wollten, mal eine Datenbankanforderung die uns über Nacht per Umzug auf einen anderen Server ermöglicht wurde, usw.

Ausfälle gab's auch keine ernstzunehmenden und was die Sicherheit angeht, nach dem was ich bisher so mitbekommen habe, wird das schon sehr ernstgenommen. Teils sehr restriktive Einstellungen.

Vor einigen Jahren habe ich mal bei dF reingeschnuppert, aber mir war das irgendwie alles zu überladen.

Gruß,
Michael
magicteddy
magicteddy 09.07.2018, aktualisiert am 04.12.2018 um 21:13:57 Uhr
Goto Top
Moin,

dahin bin ich gewechselt, ok ich gebe zu meine Anforderungen sind eigentlich Spielwiese, aber ich habe mich schnell zurecht gefunden. Einzig Quotas für die Mailbox vermisse ich oder habe ich übersehen, ist aber nicht wirklich dramatisch da nur Familie und enge Freunde die Nutzer sind.
Let¸´s Encrypt Zertifikate sind auf Wunsch schnell eingebunden.
normic
normic 09.07.2018 um 19:46:13 Uhr
Goto Top
Mailboxquotas habe ich noch nie vermisst, aber Du hast Recht ich sehe dazu keine Option.

Das geht (in einem Reselleraccount) m.E. nur komplett für ein Unterkonto.

Gruß,
Michael
Frank
Frank 11.07.2018 um 11:11:29 Uhr
Goto Top
Hier die Update Mail von DF:

Wir möchten Ihnen heute ein Update zur Datenpanne senden, über die wir Sie am 7. Juli 2018 informiert haben. 

Am 3. Juli 2018 behauptete ein Nutzer im DomainFactory Forum, Zugang zu Kundendaten der DomainFactory zu haben. 

Das Ergebnis einer ersten Untersuchung war, dass nach einer Systemumstellung, die Ende Januar erfolgte, unbeabsichtigt bestimmte Kundeninformationen für außenstehende Dritte über einen Datenfeed zugänglich waren. 

Dieser Datenfeed wurde ausgelöst, wenn Kunden an ihren DomainFactory-Konten Änderungen vorgenommen hatten, die beim Speichern jedoch Systemfehler ausgelöst haben. Die Informationen in dem Datenfeed umfassten: 

Kundenname, Firmenname, Kundennummer, Kunden E-Mail-Adresse, Anschrift, Telefonnummer, DomainFactory Telefon-Passwort, Bankname und Kontonummer (z.B. IBAN oder BIC), sowie den Schufa-Score. Der Feed enthielt keine weiteren Zahlungsdaten. 

Wir haben den Datenfeed unmittelbar nach Entdeckung geschlossen.

Nach unserem derzeitigen Untersuchungsstand gehen wir davon aus, dass der Datenfeed von einer Einzelperson eingesehen wurde. Dieser postete am 3. Juli Informationen über sechs Kunden in unserem Forum. 

Das Forum wurde rasch geschlossen, um einen weiteren Zugang zu diesen Informationen zu verhindern. 

Wir haben umgehend eine externe Sicherheitsfirma beauftragt, um uns mit zusätzlichen Ressourcen auf die Schadensbegrenzung konzentrieren zu können, um eine forensische Analyse der Situation vornehmen und um weitere möglicherweise problematische Systeme zu erkennen und zu schließen. 

Als zusätzliche Vorsichtsmaßnahme wurde die Authentifizierung für telefonische Anfragen bei unserem Kundenservice mit dem DomainFactory Telefon-Passwort gesperrt. Außerdem wurden sämtliche Zugangsdaten von Mitarbeitern und alle sonstigen systemrelevanten Passwörter abgeändert. 

Wir haben die Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik sowie alle unsere Kunden über die Datenpanne informiert. 

Bei unseren am Wochenende fortdauernden Untersuchungen haben wir weitere Systeme gefunden, auf die derselbe Angreifer zugegriffen hat. 

Sofort nach Entdeckung dieser Aktivität haben wir Gegenmaßnahmen ergriffen, um weiterem Missbrauch entgegenzuwirken – insbesondere durch die Aktualisierung von Accounts, um diese Teile unseres Systems zu sichern.

Wie bereits oben beschrieben gehen wir auf Grundlage unserer Untersuchungen davon aus, dass der unbefugte Zugriff durch eine Einzelperson erfolgte. 

Wir haben derzeit keinen Hinweis, dass weitere Personen Zugriff auf unsere Systeme hatten; und wir gehen davon aus, dass diese Zugangsmöglichkeit nunmehr geschlossen ist. 

Wir überwachen die Systemumgebung genau und optimieren sie weiter, falls erforderlich. 

Derzeit können wir noch nicht feststellen, auf welche Kundendaten der Angreifer zugegriffen hat. Daher handeln wir sicherheitshalber so, als wären sämtliche Kunden der DomainFactory betroffen. 

Zur Erinnerung: Wir empfehlen sämtlichen Kunden, ihre Passwörter bei DomainFactory so schnell wie möglich abzuändern. Eine genaue Anleitung zur Änderung Ihrer Passwörter finden Sie hier: blog.df.eu/pw. 

Weiter bitten wir Sie, Ihre Bankkontoauszüge zu überwachen. Sollten Sie verdächtige Kontobewegungen feststellen, ziehen Sie bitte in Erwägung, die Polizei zu verständigen. 

Sobald wir weitere Informationen für Sie haben, aktualisieren wir unsere Statusseite unter status.df.eu. 

Wir möchten erneut betonen, dass wir diese Datenpanne zutiefst bedauern, da uns die Privatsphäre unserer Kunden sehr wichtig ist. Seien Sie versichert, dass wir daran arbeiten, dass eine derartige Situation nicht erneut auftreten kann. 

Sofern Sie weiterer Unterstützung benötigen, senden Sie uns bitte eine E-Mail an serviceinfo@df.eu. 

Mit freundlichen Grüßen
 
Dr. Claus Boyens
Geschäftsführer, DomainFactory
 
LukasK
LukasK 11.07.2018 um 11:30:12 Uhr
Goto Top
Also ich kann dir noch die Hetzner Cloud empfehlen, ist sogar wesentlich günstiger face-smile

https://hetzner.cloud
Dani
Dani 12.07.2018 um 21:51:16 Uhr
Goto Top
@LukasK, @magicteddy, @normic
Bitte diskutiert das in einem seperaten Thread oder über PN, aber nicht hier.


Gruß,
Dani
Frank
Frank 13.07.2018 um 13:11:29 Uhr
Goto Top
Update von DF, gerade reingekommen:

Während es zunächst nicht erkennbar war, ob auch für frühere Kunden ein Risiko bestand, glauben wir jetzt, dass es möglich ist, dass auch Ihre personenbezogenen Daten eingesehen wurden. Aus diesen Gründen haben wir vorsorglich Ihre bei uns eingerichteten Zugänge zu Ihrem DomainFactory-Konto zurückgesetzt und es besteht hierzu kein weiterer Handlungsbedarf Ihrerseits. 

Es ist für jemanden, der unbefugt Zugang zu Ihren Daten erhalten hat, möglich, sich Ihrer Identität zu bedienen oder Lastschriften für Ihr Bankkonto zu erzeugen oder sonst Ihre bei DomainFactory liegenden Informationen zu missbrauchen. 

Wir möchten Sie bitten, Ihre Bankkontoauszüge zu überwachen. Sollten Sie verdächtige Kontobewegungen feststellen, ziehen Sie bitte in Erwägung, die Polizei zu verständigen. 

Gruß
Frank
MOS6581
MOS6581 13.07.2018 um 13:31:28 Uhr
Goto Top
Den habe ich, als ehemaliger Kunde, ebenfalls gerade erhalten. Besser spät als nie, aber dass ehemalige Kunden auch betroffen sind, hätte bestimmt zeitnaher herausgefunden werden können...

lG MOS
SachsenHessi
SachsenHessi 13.07.2018 um 15:39:44 Uhr
Goto Top
Ich bekomme eben von DF die Mail, das auch ich unter den beroffenen Kunden bin, und das damit auch ehemalige Kunden betroffen sind.
Ich habe schon einige Jahre (ca. 10 Jahre) kein DF-Konto mehr. Wie kann es also sein, dass die noch meine Kundendaten vorliegen haben (inl. Bankverbindung)??
Das ist eigentlich schon nach altem BDSG nicht zulässig, erst recht nicht nach der DSGVO.

Der eigentliche "Skandal" ist nicht das "hacken" bzw. der Programmierfehler, sondern der Umgang mit den Daten bei DF und die Informationspolitik im Schadensfall.

Eigentlich wäre das wirklich mal ein Fall für den Landesbeauftragten.

SH
StefanKittel
StefanKittel 13.07.2018 um 21:40:44 Uhr
Goto Top
Zitat von @SachsenHessi:
Eigentlich wäre das wirklich mal ein Fall für den Landesbeauftragten.
Das ist ja das was ich Oben meinte.
Die sagen sie hätten die Behörden informiert.
Eigentlich winkt jetzt ein fettes Bußgeld. Wenn also nix passiert ist die DSGVO quasi schon tot.