Datenleck bei DomainFactory
Lt. Heise gab es einen Einbruch in die Systeme von DomainFactory, ich wollte mich gerade im Forum von DF informieren, doch dort heißt es: "Aufgrund von technischen Problemen steht das Forum derzeit nicht zur Verfügung. Wir bitten um etwas Geduld." Eigentlich wollte ich nach der Übernahme durch Host Europe schon den Abflug machen, war aber zu faul
Mehr bei Heise: Datenleck bei DF
-teddy
Mehr bei Heise: Datenleck bei DF
-teddy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 379419
Url: https://administrator.de/knowledge/datenleck-bei-domainfactory-379419.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
22 Kommentare
Neuester Kommentar
Moin,
das Leck gibt es definitiv. Dienstagnachmitttag/abend hat der Hacker über das Forum das erste Mal sich gemeldet. Auf Nachfragen von diversen Nutzern konnte er problemlos Kundennummer, Auftragsnummern, Ansprechpartner, Telefonpasswörtern, Telefonummern nennen. Anschließend bis in die Nacht immer wieder Infos veröffentlicht. Die Kommentare wurden nach und nach von dF gelöscht.
Gegen 02:30 Uhr wurde der Thread verschoben bzw. die Berechtigungen entzogen. Gegen 08:00 Uhr dann sogar das Forum, da er für seine Posts bestehende immer wieder bestehende Forenaccounts gekappert hat und in deren Namen die Information veröffentlicht hat.
Um auf dem Laufenden zu sein, haben wir alle 5 Minuten von dem betroffenen Thread Screenshots anfertigen lassen. Denn es war klar, dass dF zeitnah die entsprechenden Kommentare löschen wird.
Ich bin gespannt wie das erste öffentliche Statement ausfällt.
Gruß,
Dani
das Leck gibt es definitiv. Dienstagnachmitttag/abend hat der Hacker über das Forum das erste Mal sich gemeldet. Auf Nachfragen von diversen Nutzern konnte er problemlos Kundennummer, Auftragsnummern, Ansprechpartner, Telefonpasswörtern, Telefonummern nennen. Anschließend bis in die Nacht immer wieder Infos veröffentlicht. Die Kommentare wurden nach und nach von dF gelöscht.
Gegen 02:30 Uhr wurde der Thread verschoben bzw. die Berechtigungen entzogen. Gegen 08:00 Uhr dann sogar das Forum, da er für seine Posts bestehende immer wieder bestehende Forenaccounts gekappert hat und in deren Namen die Information veröffentlicht hat.
Um auf dem Laufenden zu sein, haben wir alle 5 Minuten von dem betroffenen Thread Screenshots anfertigen lassen. Denn es war klar, dass dF zeitnah die entsprechenden Kommentare löschen wird.
Ich bin gespannt wie das erste öffentliche Statement ausfällt.
Gruß,
Dani
Moin,
seit knapp 40 Minuten gibt es auch eine kurze Info von dF selber.
Zu lesen unter http://status.df.eu.
Gruß,
Dani
seit knapp 40 Minuten gibt es auch eine kurze Info von dF selber.
Zu lesen unter http://status.df.eu.
Gruß,
Dani
Zitat von @Dani:
Moin,
seit knapp 40 Minuten gibt es auch eine kurze Info von dF selber.
Zu lesen unter http://status.df.eu.
Gruß,
Dani
Moin,
seit knapp 40 Minuten gibt es auch eine kurze Info von dF selber.
Zu lesen unter http://status.df.eu.
Gruß,
Dani
Moin,
ich wollte schon meckern, dass der Saftladen(TM) immer noch kein Statement abgegeben hat. Der Hacker ist kommunikativer als dF. Von "Sorry, eure Daten wurden geklaut" lese ich da aber auch nix.
Der Vorfall und deren Kommunikationsstrategie (wir sagen nix, bis es nicht mehr anders geht - vielleicht merkt es keiner), bestätigt mich darin, dass deren goldene Zeiten nun endgültig vorbei sind und das einstige "Hosting Made in Germany" mit coolem Support mittlerweile mehr und mehr bröckelt. Abgesehen davon, dass sie sich vehement gegen LetsEncrypt wehren.
War mal ein großer Fan von dF, aber mittlerweile hab ich meinen eigenen Kram da runter und die Firmenwebsites und Mailpostfächer werden jetzt auch endgültig gekündigt... Schade, ich hab mich mal über ein extra zugeschicktes dF-Feuerzeug gefreut
Just my 2 Cents..
Schönen Restfreitag allerseits,
MOS
Hi,
wir sind betroffen und Domainfactory hat es bestätigt. Sie schreiben u.a.:
Nicht gut!
Ihr solltet alle so schnell wie möglich das Passwort ändern.
Gruß Frank
wir sind betroffen und Domainfactory hat es bestätigt. Sie schreiben u.a.:
Während wir diese Datenpanne untersuchen wissen wir bereits jetzt, dass Dritte unbefugt auf nachstehende Datenkategorien Zugriff gehabt haben könnten:
- Kundenname
- Firmenname
- Kundennummer
- Anschrift
- Telefonnummer
- DomainFactory Telefon-Passwort
- Geburtsdatum
- Bankname und Kontonummer (z.B. IBAN oder BIC)
- Schufa-Score
Seien Sie versichert, dass die bei dieser Datenpanne verwendeten Angriffspunkte nunmehr abgesichert sind, und wir haben die Sicherheit erhöht, um uns vor unberechtigtem Zugriff zu schützen
Nicht gut!
Ihr solltet alle so schnell wie möglich das Passwort ändern.
Gruß Frank
Hmmm....
da bin ich mal gespannt wie dies im Blick auf das neue DSGVO verläuft.
Die müsten dies ja melden und es müßte eine Untersuchung geben. Vermutlich auch eine deftige Geldstrafe.
Wenn dies nicht passiert, wissen wir, dass das DSGVO nichts Wert ist und wir uns wieder anderen Themen zuwenden können.
Btw. ich bin auch Kunde von DF.
Direkt informiert wurde ich noch nicht.Dies hätte die 2. Reaktion nach der offiziellen Meldung sein müssen.
Von veröffentlichen kann man einer eigenen Status-Seite nun auch nicht sprechen.
Ich bin mal gespannt.
Stefan
da bin ich mal gespannt wie dies im Blick auf das neue DSGVO verläuft.
Die müsten dies ja melden und es müßte eine Untersuchung geben. Vermutlich auch eine deftige Geldstrafe.
Wenn dies nicht passiert, wissen wir, dass das DSGVO nichts Wert ist und wir uns wieder anderen Themen zuwenden können.
Btw. ich bin auch Kunde von DF.
Direkt informiert wurde ich noch nicht.Dies hätte die 2. Reaktion nach der offiziellen Meldung sein müssen.
Von veröffentlichen kann man einer eigenen Status-Seite nun auch nicht sprechen.
Ich bin mal gespannt.
Stefan
Guten Abend Stefan,
@Frank
Wenn man es genau nimmt, müsste man die Passwörter innerhalb einer Applikation (z.B. CMS) auch ändern, oder? So wie ich das bisher verstanden habe, könnte er auch Datenbanken für CMS einzelner Kunden kopiert haben. Zwar legen die CMS die Passwörter verschlüsseld (Hash und Salt) ab, aber der Login wäre trotzdem angreifbar.
Gruß,
Dani
Wenn dies nicht passiert, wissen wir, dass das DSGVO nichts Wert ist und wir uns wieder anderen Themen zuwenden können.
ich kann mir gut vorstellen, dass sogar ein Exampel an dF durchgeführt wird. Um so zu zeigen, dass es DSGVO kein Ladenhüter ist. Alles andere wäre politisch gesehen für dei DSGVO ein Ente. Von veröffentlichen kann man einer eigenen Status-Seite nun auch nicht sprechen.
Naja, was erwartest du denn? Eine extra Seite in Handelsblatt? Jedes Unternehmen versucht die PR so klein wie möglich zu halten. Ver schmückt sich schon gerne mit negativen Schlagzeilen.@Frank
Ihr solltet alle so schnell wie möglich das Passwort ändern.
Welches meinst du genau? Es gibt neben den Telefon- und Kundenmenüpasswort noch E-Mailpostfächer, SSH, FTP, Datenbanken.Wenn man es genau nimmt, müsste man die Passwörter innerhalb einer Applikation (z.B. CMS) auch ändern, oder? So wie ich das bisher verstanden habe, könnte er auch Datenbanken für CMS einzelner Kunden kopiert haben. Zwar legen die CMS die Passwörter verschlüsseld (Hash und Salt) ab, aber der Login wäre trotzdem angreifbar.
Gruß,
Dani
Moin
Zitat von @Dani:
ich kann mir gut vorstellen, dass sogar ein Exampel an dF durchgeführt wird. Um so zu zeigen, dass es DSGVO kein Ladenhüter ist. Alles andere wäre politisch gesehen für dei DSGVO ein Ente.
Schauen wir mal. Ich bin gespannt.ich kann mir gut vorstellen, dass sogar ein Exampel an dF durchgeführt wird. Um so zu zeigen, dass es DSGVO kein Ladenhüter ist. Alles andere wäre politisch gesehen für dei DSGVO ein Ente.
Zitat von @Dani:
Naja, was erwartest du denn? Eine extra Seite in Handelsblatt? Jedes Unternehmen versucht die PR so klein wie möglich zu halten. Ver schmückt sich schon gerne mit negativen Schlagzeilen.
Ein Newsletter an alle Kunden hätte ich erwartet.Naja, was erwartest du denn? Eine extra Seite in Handelsblatt? Jedes Unternehmen versucht die PR so klein wie möglich zu halten. Ver schmückt sich schon gerne mit negativen Schlagzeilen.
Zitat von @Dani:
Welches meinst du genau? Es gibt neben den Telefon- und Kundenmenüpasswort noch E-Mailpostfächer, SSH, FTP, Datenbanken.
Wenn man es genau nimmt, müsste man die Passwörter innerhalb einer Applikation (z.B. CMS) auch ändern, oder? So wie ich das bisher verstanden habe, könnte er auch Datenbanken für CMS einzelner Kunden kopiert haben. Zwar legen die CMS die Passwörter verschlüsseld (Hash und Salt) ab, aber der Login wäre trotzdem angreifbar.
Alle. Und die Rechnung für den Aufwand an DF sendenWelches meinst du genau? Es gibt neben den Telefon- und Kundenmenüpasswort noch E-Mailpostfächer, SSH, FTP, Datenbanken.
Wenn man es genau nimmt, müsste man die Passwörter innerhalb einer Applikation (z.B. CMS) auch ändern, oder? So wie ich das bisher verstanden habe, könnte er auch Datenbanken für CMS einzelner Kunden kopiert haben. Zwar legen die CMS die Passwörter verschlüsseld (Hash und Salt) ab, aber der Login wäre trotzdem angreifbar.
Hach.... nicht zu vergessen...
Jeder bei DF muss nun auch seine Kunden/Partner über den Einbruch bei DF informieren.
Gehen wir mal davon aus, dass man eine VM mit Plesk bei denen gebucht und an Kunden vermietet hat.
Durch den Einbruch könnten die bösen die SSH Zugangsdaten erhalten haben und sich die Postfächer kopiert haben.
Man müßte also seine Kunden darüber informieren und die wiederrum alle Mitarbeiter, Geschäftspartner und Kunden.
Wie Glück, dass ich da immer nur ein paar Demo-VMs laufen habe
Jeder bei DF muss nun auch seine Kunden/Partner über den Einbruch bei DF informieren.
Gehen wir mal davon aus, dass man eine VM mit Plesk bei denen gebucht und an Kunden vermietet hat.
Durch den Einbruch könnten die bösen die SSH Zugangsdaten erhalten haben und sich die Postfächer kopiert haben.
Man müßte also seine Kunden darüber informieren und die wiederrum alle Mitarbeiter, Geschäftspartner und Kunden.
Wie Glück, dass ich da immer nur ein paar Demo-VMs laufen habe
Zitat von @ipzipzap:
Was ist denn die Alternative zu DF? Ich habe da bisher keinen vergleichbaren Anbieter gefunden.
Gegenfrage: für was denn?Was ist denn die Alternative zu DF? Ich habe da bisher keinen vergleichbaren Anbieter gefunden.
Ich nutze eigentlich nur deren Jiffy-Box um mal schnell was auszuprobieren.
Ganz normal als Hoster. Also Webspace, SQL, SSH-Zugang, Mail, etc.
Ich lege nur Wert auf eine einfache und übersichtliche(!) Verwaltung. Bei 1&1 z.B. ist das Kundenmenü sowas von kompliziert und verbaut, das man zum anlegen oder ändern eines Nameserver-Eintrages 5 Minuten braucht. Und Übersichtlichkeit gleich null. Ok, 1&1 ist auf Consumer getrimmt, aber trotzdem finde ich die Verwaltung da grauenhaft.
Ich suche halt irgendwas, was da an dF rankommt.
cu,
ipzipzap
Ich lege nur Wert auf eine einfache und übersichtliche(!) Verwaltung. Bei 1&1 z.B. ist das Kundenmenü sowas von kompliziert und verbaut, das man zum anlegen oder ändern eines Nameserver-Eintrages 5 Minuten braucht. Und Übersichtlichkeit gleich null. Ok, 1&1 ist auf Consumer getrimmt, aber trotzdem finde ich die Verwaltung da grauenhaft.
Ich suche halt irgendwas, was da an dF rankommt.
cu,
ipzipzap
Ich würde jetzt mal all-inkl vorschlagen.
Als Schlund zu 1und1 wurde, haben wir gewechselt und es bis dato nicht bereut.
Die haben zwar ihre eigene (hässliche) Verwaltung, aber sie funktioniert einwandfrei. Achja, LetsEncrypt gibt's übrigens direkt per One-Click-Aktivierung.
Der Support ist tatsächlich 1A - kompetent und ziemlich schnell. Egal zu welcher Uhrzeit und an welchem Wochentag.
Obwohl wir den Support noch nie wegen Fehlern bei all-inkl gebraucht haben, waren dann eher Einstellungen die wir gesetzt haben wollten, mal eine Datenbankanforderung die uns über Nacht per Umzug auf einen anderen Server ermöglicht wurde, usw.
Ausfälle gab's auch keine ernstzunehmenden und was die Sicherheit angeht, nach dem was ich bisher so mitbekommen habe, wird das schon sehr ernstgenommen. Teils sehr restriktive Einstellungen.
Vor einigen Jahren habe ich mal bei dF reingeschnuppert, aber mir war das irgendwie alles zu überladen.
Gruß,
Michael
Als Schlund zu 1und1 wurde, haben wir gewechselt und es bis dato nicht bereut.
Die haben zwar ihre eigene (hässliche) Verwaltung, aber sie funktioniert einwandfrei. Achja, LetsEncrypt gibt's übrigens direkt per One-Click-Aktivierung.
Der Support ist tatsächlich 1A - kompetent und ziemlich schnell. Egal zu welcher Uhrzeit und an welchem Wochentag.
Obwohl wir den Support noch nie wegen Fehlern bei all-inkl gebraucht haben, waren dann eher Einstellungen die wir gesetzt haben wollten, mal eine Datenbankanforderung die uns über Nacht per Umzug auf einen anderen Server ermöglicht wurde, usw.
Ausfälle gab's auch keine ernstzunehmenden und was die Sicherheit angeht, nach dem was ich bisher so mitbekommen habe, wird das schon sehr ernstgenommen. Teils sehr restriktive Einstellungen.
Vor einigen Jahren habe ich mal bei dF reingeschnuppert, aber mir war das irgendwie alles zu überladen.
Gruß,
Michael
Hier die Update Mail von DF:
Wir möchten Ihnen heute ein Update zur Datenpanne senden, über die wir Sie am 7. Juli 2018 informiert haben.
Am 3. Juli 2018 behauptete ein Nutzer im DomainFactory Forum, Zugang zu Kundendaten der DomainFactory zu haben.
Das Ergebnis einer ersten Untersuchung war, dass nach einer Systemumstellung, die Ende Januar erfolgte, unbeabsichtigt bestimmte Kundeninformationen für außenstehende Dritte über einen Datenfeed zugänglich waren.
Dieser Datenfeed wurde ausgelöst, wenn Kunden an ihren DomainFactory-Konten Änderungen vorgenommen hatten, die beim Speichern jedoch Systemfehler ausgelöst haben. Die Informationen in dem Datenfeed umfassten:
Kundenname, Firmenname, Kundennummer, Kunden E-Mail-Adresse, Anschrift, Telefonnummer, DomainFactory Telefon-Passwort, Bankname und Kontonummer (z.B. IBAN oder BIC), sowie den Schufa-Score. Der Feed enthielt keine weiteren Zahlungsdaten.
Wir haben den Datenfeed unmittelbar nach Entdeckung geschlossen.
Nach unserem derzeitigen Untersuchungsstand gehen wir davon aus, dass der Datenfeed von einer Einzelperson eingesehen wurde. Dieser postete am 3. Juli Informationen über sechs Kunden in unserem Forum.
Das Forum wurde rasch geschlossen, um einen weiteren Zugang zu diesen Informationen zu verhindern.
Wir haben umgehend eine externe Sicherheitsfirma beauftragt, um uns mit zusätzlichen Ressourcen auf die Schadensbegrenzung konzentrieren zu können, um eine forensische Analyse der Situation vornehmen und um weitere möglicherweise problematische Systeme zu erkennen und zu schließen.
Als zusätzliche Vorsichtsmaßnahme wurde die Authentifizierung für telefonische Anfragen bei unserem Kundenservice mit dem DomainFactory Telefon-Passwort gesperrt. Außerdem wurden sämtliche Zugangsdaten von Mitarbeitern und alle sonstigen systemrelevanten Passwörter abgeändert.
Wir haben die Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnik sowie alle unsere Kunden über die Datenpanne informiert.
Bei unseren am Wochenende fortdauernden Untersuchungen haben wir weitere Systeme gefunden, auf die derselbe Angreifer zugegriffen hat.
Sofort nach Entdeckung dieser Aktivität haben wir Gegenmaßnahmen ergriffen, um weiterem Missbrauch entgegenzuwirken – insbesondere durch die Aktualisierung von Accounts, um diese Teile unseres Systems zu sichern.
Wie bereits oben beschrieben gehen wir auf Grundlage unserer Untersuchungen davon aus, dass der unbefugte Zugriff durch eine Einzelperson erfolgte.
Wir haben derzeit keinen Hinweis, dass weitere Personen Zugriff auf unsere Systeme hatten; und wir gehen davon aus, dass diese Zugangsmöglichkeit nunmehr geschlossen ist.
Wir überwachen die Systemumgebung genau und optimieren sie weiter, falls erforderlich.
Derzeit können wir noch nicht feststellen, auf welche Kundendaten der Angreifer zugegriffen hat. Daher handeln wir sicherheitshalber so, als wären sämtliche Kunden der DomainFactory betroffen.
Zur Erinnerung: Wir empfehlen sämtlichen Kunden, ihre Passwörter bei DomainFactory so schnell wie möglich abzuändern. Eine genaue Anleitung zur Änderung Ihrer Passwörter finden Sie hier: blog.df.eu/pw.
Weiter bitten wir Sie, Ihre Bankkontoauszüge zu überwachen. Sollten Sie verdächtige Kontobewegungen feststellen, ziehen Sie bitte in Erwägung, die Polizei zu verständigen.
Sobald wir weitere Informationen für Sie haben, aktualisieren wir unsere Statusseite unter status.df.eu.
Wir möchten erneut betonen, dass wir diese Datenpanne zutiefst bedauern, da uns die Privatsphäre unserer Kunden sehr wichtig ist. Seien Sie versichert, dass wir daran arbeiten, dass eine derartige Situation nicht erneut auftreten kann.
Sofern Sie weiterer Unterstützung benötigen, senden Sie uns bitte eine E-Mail an serviceinfo@df.eu.
Mit freundlichen Grüßen
Dr. Claus Boyens
Geschäftsführer, DomainFactory
Also ich kann dir noch die Hetzner Cloud empfehlen, ist sogar wesentlich günstiger
https://hetzner.cloud
https://hetzner.cloud
@LukasK, @magicteddy, @normic
Bitte diskutiert das in einem seperaten Thread oder über PN, aber nicht hier.
Gruß,
Dani
Bitte diskutiert das in einem seperaten Thread oder über PN, aber nicht hier.
Gruß,
Dani
Update von DF, gerade reingekommen:
Gruß
Frank
Während es zunächst nicht erkennbar war, ob auch für frühere Kunden ein Risiko bestand, glauben wir jetzt, dass es möglich ist, dass auch Ihre personenbezogenen Daten eingesehen wurden. Aus diesen Gründen haben wir vorsorglich Ihre bei uns eingerichteten Zugänge zu Ihrem DomainFactory-Konto zurückgesetzt und es besteht hierzu kein weiterer Handlungsbedarf Ihrerseits.
Es ist für jemanden, der unbefugt Zugang zu Ihren Daten erhalten hat, möglich, sich Ihrer Identität zu bedienen oder Lastschriften für Ihr Bankkonto zu erzeugen oder sonst Ihre bei DomainFactory liegenden Informationen zu missbrauchen.
Wir möchten Sie bitten, Ihre Bankkontoauszüge zu überwachen. Sollten Sie verdächtige Kontobewegungen feststellen, ziehen Sie bitte in Erwägung, die Polizei zu verständigen.
Gruß
Frank
Ich bekomme eben von DF die Mail, das auch ich unter den beroffenen Kunden bin, und das damit auch ehemalige Kunden betroffen sind.
Ich habe schon einige Jahre (ca. 10 Jahre) kein DF-Konto mehr. Wie kann es also sein, dass die noch meine Kundendaten vorliegen haben (inl. Bankverbindung)??
Das ist eigentlich schon nach altem BDSG nicht zulässig, erst recht nicht nach der DSGVO.
Der eigentliche "Skandal" ist nicht das "hacken" bzw. der Programmierfehler, sondern der Umgang mit den Daten bei DF und die Informationspolitik im Schadensfall.
Eigentlich wäre das wirklich mal ein Fall für den Landesbeauftragten.
SH
Ich habe schon einige Jahre (ca. 10 Jahre) kein DF-Konto mehr. Wie kann es also sein, dass die noch meine Kundendaten vorliegen haben (inl. Bankverbindung)??
Das ist eigentlich schon nach altem BDSG nicht zulässig, erst recht nicht nach der DSGVO.
Der eigentliche "Skandal" ist nicht das "hacken" bzw. der Programmierfehler, sondern der Umgang mit den Daten bei DF und die Informationspolitik im Schadensfall.
Eigentlich wäre das wirklich mal ein Fall für den Landesbeauftragten.
SH
Das ist ja das was ich Oben meinte.
Die sagen sie hätten die Behörden informiert.
Eigentlich winkt jetzt ein fettes Bußgeld. Wenn also nix passiert ist die DSGVO quasi schon tot.
Die sagen sie hätten die Behörden informiert.
Eigentlich winkt jetzt ein fettes Bußgeld. Wenn also nix passiert ist die DSGVO quasi schon tot.