Webhoster 1blu gehackt und erpresst
Ein Online-Erpresser hat sich weitreichenden Zugriff auf die Infrastruktur von 1blu verschafft – darunter Passwörter und Bankverbindungen sämtlicher Kunden. Um die Veröffentlichung zu verhindern, sollte der Hoster 250.000 Euro zahlen.
- Ronald Eikenberg
Die Webhosting-Firma 1blu ist Opfer eines Cyber-Erpressers geworden. Ein bislang unbekannter Täter ist in die Infrastruktur des Unternehmens eingedrungen und konnte dabei unter anderem auf die Daten sämtlicher Kunden zugreifen.
Betroffen sind unter anderem die bei 1blu gespeicherten Passwörter, persönliche Daten, Bankverbindungen und Interna. Anschließend versuchte er das Unternehmen zur Zahlung von umgerechnet 250.000 Euro in Bitcoins zu erpressen, wie das Unternehmen im Gespräch mit heise Security erklärte. Andernfalls wolle er die erbeuteten Daten veröffentlichen.
Erpressung
1blu erklärte, dass es für das Unternehmen nie eine Option gewesen sei, den geforderten Betrag zu zahlen. Stattdessen wandte sich der Hoster an das LKA Berlin, das daraufhin die Ermittlungen aufnahm. Der Erpresser hatte 1blu bereits am 1. Juli kontaktiert, auf Anraten der Ermittler hat der Hoster den Vorfall jedoch bis heute unter Verschluss gehalten.
Das Unternehmen hat seine Kunden am heutigen Donnerstag per Mail über den Erpressungsversuch informiert und sie aufgefordert, die Passwörter für die Dienste E-Mail, FTP, MySQL und 1blu-Drive zu ändern. Die alten Passwörter wurden gesperrt.
Entschlüsselte Passwörter
Nach Angaben des Hosters wurden die Kundenpasswörter zwar "verschlüsselt gespeichert"; dem Täter sei es jedoch gelungen, die Passwörter zu entschlüsseln. heise Security hat weitere Informationen zu dem eingesetzten Verschlüsselungsverfahren angefordert.
Üblicherweise werden Passwörter bei Online-Diensten nicht verschlüsselt, sondern gehasht gespeichert. Kommt dabei ein etabliertes Hash-Verfahren wie PBKDF2 zum Einsatz, kann man von den beim Anbieter gespeicherten Passwort-Hashes nur mit extrem hohen Aufwand auf die Klartext-Passwörter schließen.
Fehlerhafte Konfiguration
Der Cyber-Einbruch ist laut 1blu durch eine fehlerhafte Serverkonfiguration gelungen. Nachdem der Angreifer durch dieses Schlupfloch eingestiegen war, hangelte er sich nach und nach weiter.
Das Unternehmen erklärt, dass er Angriff durch nachlässige Mitarbeiter erleichtert wurde, die sich nicht an "die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern" gehalten habe. Der Hoster will daraus "unmittelbar Konsequenzen für die interne personelle und technische Organisationsstruktur gezogen" und seine Infrastruktur weitmöglichst abgesichert haben. (rei)