Angriffe auf Hetzner-Server bereits vor einer Woche
Mehrere Hetzner-Systeme wurden von Hackern kompromittiert, wie der Hoster heute in einer ausführlichen Mail an seine Kunden mitteilt. Der Einbruch war bereits Ende letzter Woche entdeckt worden und fand auf einem technisch ungewöhnlich hohen Niveau statt, sagte Martin Hetzner.
Der Hack war entdeckt worden, als Mitarbeiter von Hetzner Online in der Überwachungssoftware Nagios eine Backdoor entdeckten. Über welche Komponente die Täter in die Systeme eindringen konnten, ist dagegen bisher nicht bekannt. Das Rootkit, das für die Tat verwendet wurde, war bisher in der Form unbekannt. Die Angreifer hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Die Kundendaten wurden aus der als Hetzner-Robot bekannten Verwaltungsoberfläche für dedizierte Server entwendet, die ebenfalls kompromittiert wurde.
Die Menge an Daten, die im Robot entwendet worden sind, ist noch nicht näher quantifizierbar. Dort liegen auch Zahlungsinformationen wie etwa Bankdaten von Kunden. Diese sind zwar symmetrisch verschlüsselt, allerdings kann derzeit nicht ausgeschlossen werden, dass auch die zur Entschlüsselung notwendigen privaten Schlüssel entwendet wurden. Darüber hinaus hatten die Cyber-Einbrecher Zugriff auf die letzten drei Ziffern der Kreditkartennummer, das Ablaufdatum sowie den Kartentyp von dort gespeicherten Kreditkartendaten sowie „gesalzene“ SHA256-Passwort-Hashes, die dank erhöhter Entropie nur schwer zu knacken sind.
Das verwendete Rootkit soll den OpenSSH-Daemon und Apache im Arbeitsspeicher gepatched haben, ohne dazu die involvierten Dienste neu starten zu müssen. Auch wurden keine weiteren Dateien des Systems angefasst. Ein Novum scheint zu sein, dass die Manipulation ausschließlich im Arbeitsspeicher stattfindet.
Hetzner hat das BKA zur weiteren Klärung des Vorfalls eingeschaltet und den Vorfall der zuständigen Datenschutzbehörde gemeldet. Für Kunden wurde eine Hilfeseite eingerichtet, die bei Bekanntwerden weiterer Informationen ständig aktualisiert werden soll. Kunden sind angehalten, ihre Passwörter und Zugangsdaten zu erneuern.