Nach Kundendaten-Hack: Was Domainfactory-Kunden jetzt tun können
Uns erreichen immer wieder Anfragen von Lesern zum Domainfactory-Hack. Wir beantworten hier die häufigsten Fragen zum Datenleck der Kundendaten.
Nach dem Datenleck beim Hoster Domainfactory erreichen uns immer wieder Fragen beunruhigter Leser, die wissen wollen, was sie als Domainfactory-Kunden nun tun müssen, um Gefahr abzuwenden. Zuerst einmal sei kurz zusammengefasst, was wir über den Hack wissen: Ein Unbekannter hat einen öffentlich verfügbaren Atom-Feed mit Kundendaten des Hosters entdeckt, der es ihm erlaubte, Systeme im Netz von Domainfactory zu knacken. So gelangte er wohl an mindestens eine weitere Datenbank mit Kundeninformationen.
Domainfactory selbst sagt, man habe mittlerweile alle Sicherheitslücken, die man gefunden hat, geschlossen. Ob Domainfactory allerdings alle vorhandenen Lücken gefunden hat, ist unbekannt. Eben so wissen wir nicht, wer außer dem benannten Angreifer auf die Kundendaten im XML-Feed zugegriffen hat. Bisher ist unseres Wissens nach nur Domainfactory betroffen, andere Host-Europe- oder GoDaddy-Angebote sind bisher außen vor.
Was Domainfactory empfiehlt
Die Daten aus dem Leak, über die sich Domainfactory-Kunden Sorgen machen sollen, sind die folgenden: Bei Domainfactory hinterlegter Vor- und Nachname, Firmenname, E-Mail-Adressen, Anschrift, Geburtsdatum, Telefonnummer, Telefonpasswort, Bankname und IBAN sowie der bei der Schufa abgefragte Score des Kunden. Auch die Passwörter in der Datenbank müssen nach den Informationen von heise online als kompromittierbar angesehen werden.
Domainfactory empfiehlt allen Kunden pauschal, jegliche Passwörter bei Domainfactory zu ändern. Intern wurden wohl ebenso alle Passwörter der eigenen Mitarbeiter geändert, was zeigt, wie ernst der Angriff auf den Hoster dort genommen wird.
(Bild: Fabian A. Scherschel / heise online)
Wegen der Gefahr, dass jemand anderes als der ursprüngliche Hacker in den Besitz der Domainfactory-Daten gelanden könnte und damit bei Betrugsversuchen die Identität der Kunden annehmen könnte, rät der Hoster dazu, Kontobewegungen bei betroffenen Bankdaten im Auge zu behalten. Entsprechende Betrugsversuche sollten mit einem Hinweis auf den Domainfactory-Hack der zuständigen Polizeistelle gemeldet werden.
Weitere Vorsichtsmaßnahmen
Kunden, die ihren E-Mail-Verkehr über die Systeme von Domainfactory abwickeln, sollten der Sicherheit halber wohl auch die dort im Einsatz befindlichen Passwörter austauschen. Neben einer Änderung aller Passwörter bei Domainfactory empfiehlt sich, auch bei allen anderen Konten das Passwort zu ändern, wenn dieses auch bei Domainfactory zum Einsatz kam oder ein Angreifer aus dem Domainfactory-Passwort auf dieses schließen könnte.
(Bild: Fabian A. Scherschel / heise online)
Zwar deutet bisher nichts darauf hin, dass der Angreifer die Kontrolle über Server oder Webpräsenzen von Domainfactory-Kunden übernommen hat, ausgeschlossen werden kann das aber nach momentanem Kenntnisstand nicht. Alles was Domainfactory zu diesem Thema bisher zu Protokoll gegeben hat, ist, dass der Angreifer definitiv Zugang zu bestimmten Systemen hatte und das man den Fall weiterhin untersucht. Daher kann es wohl auch nicht schaden, die eigenen, bei Domainfactory gehosteten Webseiten gründlich auf Schadcode zu durchsuchen. Findet man zufällig nebenbei Schadcode aus anderen Quellen, ist das ja durchaus ein nützlicher Nebeneffekt, der den Aufwand der Untersuchung rechtfertigt. Findet man nichts kann man beruhigt sein, dass die eigenen Webseiten sicher sind.
Support-Forum nicht erreichbar
Da das Domainfactory-Forum nach wie vor "aufgrund von Wartungsarbeiten" nicht erreichbar ist, können Kunden sich momentan bei Fragen zu dem Angriff auf Domainfactory nur schwer gegenseitig informieren. Auch Anfragen an den Hoster unterliegen momentan "längeren Wartezeiten an der Hotline und bei der Ticketbearbeitung", so Domainfactory. Uns schrieben mehrere Leser, die nach dem Hackerangriff gerne den Hoster wechseln wollen und nun keine Details zum Domain-Umzug (KK-Antrag) von Domainfactory weg finden, da fast alles zu diesem Thema anscheinend im momentan abgeschalteten Forum des Hosters zu finden ist. Immerhin hat Domainfactory nach wie vor eine Support-Seite mit Informationen zur Kündigung von Verträgen online.
Nach wie vor ist eine Anfrage von heise online zu den Hintergründen des Hacks bei Domainfactory offen. Wir werden weiter berichten, sobald wir mehr Details zu den Vorgängen vom Hoster selber bekommen. Bisher stammt ein überwiegender Teil der Informationen zu dem Angriff von einem Twitter-Konto, das vom mutmaßlichen Hacker angelegt wurde. (fab)
