Hoster OVH gehackt: "Wir waren nicht paranoid genug"

Die französische Hosting-Firma OVH hat einen Angriff auf ihre internen Systeme registriert. Kunden werden dazu aufgerufen ihre Passwörter zu ändern. Es könnten über 400.000 Personen betroffen sein.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
Lesezeit: 3 Min.

Unbekannte Hacker haben sich Zugriff auf die internen Systeme des Hosters OVH verschafft. Dies gab das französische Unternehmen in einer E-Mail an seine Nutzer bekannt. Hacker konnten sich über den E-Mail-Account eines Systemadministrators Zugriff auf das interne Netz (VPN) und dann auch Zugriff auf das interne Backoffice verschaffen. Der Gründer der Firma, Octave Klaba, kommentierte den Vorfall in einer Stellungnahme: "Wir waren nicht paranoid genug".

Demnach basierte die interne Sicherheit zum Zeitpunkt des Angriffs auf zwei "Überprüfungsebenen". Mitarbeiter mussten sich an einem der OVH-Standorte befinden (Quell-IP) oder das interne VPN verwenden. Hinzu kam das persönliche Passwort.

Laut OVH sollen der oder die Hacker versucht haben, die Datenbank der europäischen Kunden abzurufen und sich Zugang zum Installationssystem der Server in Québec zu verschaffen. Über die Datenbank könnten die Hacker an persönliche Angaben wie Name, Vorname, Kundenkennung, Adresse, Stadt, Land, Telefon, Fax und das verschlüsselte Passwort gelangt sein. Die Passwörter sind mit ("salted") SHA512 verschlüsselt. Auch wenn für die Entschlüsselung eine enorme Rechenleistung und Zeit benötigt wird, sind die Passwörter knackbar. OVH bittet seine Kunden deshalb um eine rasche Änderung ihrer Passwörter. Laut dem Unternehmen gibt es über 400.000 OVH-Kunden. Informationen zu Kreditkarten sollen nicht abhanden gekommen sein, da diese Daten nicht bei der Firma gespeichert werden.

Gefahr bestand unterdessen für all jene Kunden, die den OVH SSH-Key nicht von ihrem Server entfernt und auch das root-Passwort nicht geändert hatten. Der oder die Hacker könnten versucht haben sich über die OVH-Systeme mit einem beliebigen Server zu verbinden um das dort in einer Datei gespeicherte Passwort auszulesen. Die Nutzung des SSH-Key soll nur über den Standort Québec möglich gewesen sein. OVH hat nach Bekanntwerden des Einbruchs das Passwort der Server im Rechenzentrum geändert. Betroffene Kunden erhalten E-Mails mit neuen Passwörtern.

Wann genau der Angriff stattfand, gab OVH nicht bekannt. In seiner Stellungnahme spricht das Unternehmen von "vor einigen Tagen". Wie ein Leser berichtet, waren am 18. Juli aber bereits zentrale Router ausgefallen. Ob dies mit dem Hack im Zusammenhang steht, ist noch unbekannt.

Um gleichartige Attacken zukünftig verhindern zu können, wird ein neues VPN nun nach den Anforderungen der PCI-DSS-Norm eingerichtet. Zugriff auf interne E-Mails soll nun nur noch an OVH-Standorten und im internen VPN möglich sein. Sämtliche Mitarbeiter, die an kritischen Stellen im Einsatz sind, müssen dann drei Überprüfungsebenen durchlaufen. Die Quell-IP und das Passwort müssen stimmen, darüber hinaus wird ein persönliches Hardware-Token – ein YubiKey – benötigt. Der SSH-Key soll nun standardmäßig nach jeder Auslieferung gelöscht werden. Für den Support muss dann zukünftig ein neuer Key installiert werden. OVH wird seit 2012 als einer der größten Server-Hoster der Welt eingestuft. Das Unternehmen hat Strafanzeige gestellt. (kbe)