Penny.de nach angeblichem Hackerangriff offline
Unbekannte brüsten sich damit, den Webauftritt der Supermarktkette Penny gehackt zu haben. Dabei sollen Systemdateien kompromittiert worden sein. Die Betreiber haben die Seite daraufhin vorsichtshalber vom Netz genommen.
- Ronald Eikenberg
Offenbar haben Unbekannte nun auch den Server der Supermarktkette Penny gehackt. Bei dem anonym nutzbaren Text-Hoster Pastebin.com waren Systemdateien aufgetaucht, die vom Server Penny.de stammen sollen. Das Unternehmen nehme die Hinweise sehr ernst und habe mit der Analyse des Vorfalls begonnen, erklärte ein Sprecher des Mutterkonzerns Rewe Group gegenüber heise Security. Das Unternehmen hat die Penny-Website vorsichtshalber vom Netz genommen. Vergangenen Montag hatten Unbekannte bereits die Daten von über 50.000 Rewe-Kunden ins Netz gestellt.
Die von den Unbekannten veröffentlichten Daten stammen angeblich aus den Systemdateien /etc/passwd und /etc/shadow der Penny-Server, in denen die Namen der auf dem Server angelegten Admin- und Benutzer-Accounts enthalten sind. Auch die Passwort-Hashes und die Namen zahlreicher Mitarbeitern der Firma Nexum finden sich hier. Nexum ist für die Entwicklung der Webseiten von Penny und Rewe verantwortlich. Einige der Namen sind auch in den am Montag veröffentlichten Rewe-Daten enthalten.
Darüber wurde angeblich die Konfigurationsdatei des Content-Management-Systems (CMS) Typo3 veröffentlicht, das auf dem Penny-Server zum Einsatz gekommen sein soll. Darin befinden sich unter anderem Zugangsdaten für einen Datenbankserver. Kundendaten wurden nicht ins Netz gestellt, allerdings deutet ein englischsprachiger Kommentar der mutmaßlichen Täter darauf hin, dass sie auch darauf Zugriff hatten: "Du kannst die Datenbanktabelle mit den Kundendaten selbst klauen, ich werde es nicht tun."
Ein Hinweis auf eine Local-File-Inclusion-Lücke erweckt den Eindruck, dass die Penny-Seite einen ihr übergebenen Parameter nicht ausreichend gefiltert hat und die lokalen Dateien dadurch nach der Eingabe bestimmter Parameter als Teil einer Webseite ausgeliefert hat. Als die Penny-Seite heute Vormittag noch erreichbar war, konnte heise Security die Lücke allerdings nicht nachvollziehen. Sollten die veröffentlichten Informationen echt sein, wurde die Lücke geschlossen, bevor die Seite vom Netz genommen wurde. (rei)
