Datenleck bei Domainfactory: Hacker knackt Systeme, lässt Kundendaten mitgehen

Die Systeme des Hosters Domainfactory wurden offensichtlich von einem Hacker kompromittiert, der nun Zugang zu sensiblen Daten der Kunden hat.

In Pocket speichern vorlesen Druckansicht 433 Kommentare lesen
Datenleck bei Domainfactory

Kundendaten des Autors, mutmaßlich aus einer Domainfactory-Datenbank

(Bild: Fabian A. Scherschel / heise online)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Die Host-Europe-Tochter Domainfactory, einer der größten Webhoster auf dem deutschen Markt, hat mit einem Einbruch in ihre Systeme zu kämpfen. Ein Unbekannter hatte am Dienstag im Support-Forum der Firma behauptet, in deren Kundendatenbank eingebrochen zu sein. Als Beweis dafür gab er interne Daten mehrerer Kunden preis, die dann prompt die Korrektheit der Informationen bestätigten.

Zuerst ging Domainfactory wohl davon aus, dass es sich um einen Wichtigtuer handelte, der im Forum Verwirrung stiften wollte. Nun wird klar, dass ein Angreifer in der Tat Kundendaten abgegriffen hat – das belegen Auszüge aus einer Datenbank, die heise online vorliegen.

Der unbekannte Angreifer behauptet, er habe den Hoster im vergangenen Jahr und auch in dem jetzt vorliegenden Fall gehackt, um an die Daten einer Person zu kommen, die ihm angeblich einen siebenstelligen Betrag schuldet. Im Domainfactory-Forum gab er zu Protokoll, diese Person unter Druck setzen zu wollen. Als er dann aber gemerkt habe, dass Domainfactory die Tatsache, dass er in die Server der Firma eingebrochen war, nicht den eigenen Kunden mitteilen wollte, habe er seinen Hack offengelegt.

Der mutmaßliche Hacker antwortet uns auf Twitter.

(Bild: Fabian A. Scherschel / heise online / Twitter)

Nachdem Domainfactory die Forenbeitrage und Threads mit den persönlichen Informationen der Kunden aus dem Netz genommen hatte, diskutierte der unbekannte Hacker, der sich selbst als Österreicher bezeichnet, auf Twitter mit Domainfactory-Kunden weiter über den Hack. heise online schickte er einen mutmaßlichen Auszug aus einer Domainfactory-Datenbank mit dessen persönlichen Daten. Die Informationen sind korrekt, soweit wir das einschätzen können.

Welche Daten Domainfactory genau abhanden gekommen sind, woher genau sie stammen und wie viele Kunden betroffen sind, ist momentan nicht bekannt. Sollte der uns vorliegende Auszug sich mit dem decken, was der Angreifer über andere Kunden erbeutet hat, so hat er Kenntnis der Klarnamen, Adressen, Telefonnummern, Mailadressen, Telefon-Passwörter, Bankdaten und einiger anderer persönlicher Informationen wie etwa Teile des Schufa-Scorings der Kunden. Passwörter für das Domainfactory-Kundenmenü scheinen in der Datenbank nur als Hashes vorzuliegen. Zugang auf die Konten im Kundenmenü hat der Angreifer demnach wohl nicht, er könnte die erbeuteten Informationen allerdings für Social-Engineering-Angriffe und Identitätsdiebstahl missbrauchen.

Bisher macht der unbekannte Hacker nicht den Eindruck, als wolle er die erbeuteten Daten verkaufen oder online stellen. Wie genau er in die Systeme von Domainfactory eingestiegen ist, kann beim jetzigen Stand der Recherche nicht beantwortet werden. Selbst sagt der Angreifer, er habe die Kontrolle über einen einzigen Shared Server übernommen, auf dem die Webseite des Domainfactory-Kunden gehostet wurde, der ihm Geld schuldet. Von da aus habe er sich dann im internen Domainfactory-Netz durchgehangelt. Bis zum gestrigen Donnerstag will der Angreifer noch Zugang zu einer Kundendatenbank gehabt haben, habe nach eigenen Angaben aber nur gezielt Datensätze von Kunden abgerufen, denen er beweisen wollte, dass er wirklich in die Systeme des Hosters eingebrochen ist.

Gegenüber heise online äußerte sich Domainfactory mit den Worten "wir wissen Bescheid über den Vorfall und werden noch heute zu einem späteren Zeitpunkt mehr Details bekannt geben". Wir stehen mit dem Hoster seit Mittwoch früh in stetigem Kontakt, als die ersten Leseranfragen zu dem Thema bei uns eingingen. (fab)