Hoster Linode durch ColdFusion-Lücke kompromittiert
Eine Cyber-Gang hat sich Zugriff auf einen wichtigen Server des Hosters verschafft. Betroffen sind auch Kreditkartendaten. Die Eindringlinge drohen jetzt mit der Veröffentlichung ihrer Beute.
- Ronald Eikenberg
Unbekannte sind in einen wichtigen Server des Hosters Linode eingedrungen und konnten dabei auf Kreditkartendaten, Klartext-Passwörter und Quellcode zugreifen. Jetzt drohen die Angreifer mit der Veröffentlichung der Daten. Der Einbruch gelang offenbar durch ein Sicherheitsloch in Adobes Anwendungsplattform ColdFusion, das vergangene Woche Dienstag durch einen Hotfix provisorisch abgedichtet wurde.
Das Unternehmen erklärte Ende vergangener Woche zunächst lediglich, dass der Account eines Kunden angegriffen wurde, die Daten der anderen Hosting-Kunden jedoch nicht in Gefahr seien. Trotzdem hat das Unternehmen bei allen Kunden einen Passwort-Reset durchgeführt. Am gestrigen Dienstag gab der Hoster dann zu, dass die Kundendaten betroffen sind. Die Eindringlinge hatten nicht nur Zugriff auf Quellcode, sondern auch auf die Kronjuwelen: die Datenbank.
Darin sind laut dem Unternehmen sogar Kreditkartendaten gespeichert, die allerdings größtenteils nach dem Public-Key-Verfahren verschlüsselt seien. Ob auch der Private Key zum Entschlüsseln der Daten entwendet wurde, geht aus dem Blog-Eintrag nicht eindeutig hervor. Das Unternehmen betont allerdings wohl nicht ohne Grund, dass der Key mit einer Passphrase verschlüsselt sei, der nicht elektronisch gespeichert wurde.
Die letzten vier Ziffern der Kreditkartennummern sind laut Linode darüber hinaus auch noch mal im Klartext in der Datenbank abgelegt. Außerdem konnten die Eindringlinge potenziell auch auf die gesalzenen Passwort-Hashes der Kunden zugreifen sowie auf Klartext-Passwörter zum Zugriff auf die Adminstrations-Shell Lish. Die ebenfalls kompromittierten API-Keys will der Hoster bereits für ungültig erklärt haben.
Linode gibt an, dass der Einbruch wahrscheinlich über eine Schwachstelle in Adobe ColdFusion gelang, die zum Zeitpunkt des Vorfalls noch nicht öffentlich bekannt war. Einen passenden Hotfix bietet Adobe seit rund einer Woche an.
Zu dem Angriff hat sich eine Hackergruppe namens Hack The Planet bekannt. Im IRC hat eine Person mit dem Pseudonym ryan_, der offenbar der Gruppe angehört, Auszüge aus den kopierten Daten veröffentlicht. Neben Zugangsdaten, die zur Linode-Datenbank passen sollen, hat der Unbekannte auch Passwort-Hashes, Quellcode-Auszüge und eine angebliche Dateiliste des Servers veröffentlicht. ryan_ droht mit der Veröffentlichung der übrigen Datenbeute, weil die Hostingsfirma angeblich gegen eine Abmachung verstoßen habe, indem sie die Polizei eingeschaltet hat.
Linode war bereits im vergangenen Jahr Opfer eines folgenschweren Hackerangriffs. Damals wurden die Accounts von acht Hosting-Kunden geknackt und deren Bitcoin-Vermögen anschließend um umgerechnet rund 150.000 Euro erleichtert. (rei)
